【インシデントに関する情報】
・Microsoft reveals how hackers breached its Exchange Online accounts
→非運用のテストアカウントへのパスワードスプレー攻撃により、不正アクセスが行われたとのこと。不正アクセス試行はロックがかからないほど少ない回数で実施されていた模様。
→当該アカウントは二要素認証が実装されていなかった&高い権限を持っていた模様。
【攻撃組織の動向】
・Chinese Hackers Hijack Software Updates to Install Malware
・Blackwood hackers hijack WPS Office update to install malware
・ソフト更新をハイジャックしスパイウェアを実行する脅威アクター
→中国政府に支援されている高度な脅威アクター「Blackwood」は、中国、日本、英国の企業や個人に対するサイバースパイ攻撃に NSPX30 と呼ばれる高度なスパイウェアを使用して、WPS Officeなどの正規更新メカニズムをハイジャックしマルウェアを配信しました。
→脅威アクターは AitM 攻撃を実行し、NSPX30 によって生成されたトラフィックを傍受して、コマンド アンド コントロール (C2) サーバーを隠した。
→NSPX30 の主な機能は、ファイル、スクリーンショット、キー押下、ハードウェアおよびネットワーク データ、資格情報などの情報を侵害されたシステムから収集することです。このバックドアは、Tencent QQ、WeChat、Telegram、Skype、CloudChat、RaidCall、YY、AliWangWang からチャット ログや連絡先リストを盗む可能性もあります。
→Blackwood の活動の注目すべき点は、Tencent QQ、WPS Office、Sogou Pinyin などの正規のソフトウェアによって行われた更新リクエストをハイジャックして NSPX30 を配信できることです。
【当局関連の動き、法規則等】
→情報セキュリティリスクを計量化して評価するガイド
【調査結果・ベンダーレポート】
・Monthly Threat Actor Group Intelligence Report, October 2023 (JPN) – Red Alert
→SectorB22グループの活動は、アメリカ、タイ、日本から確認された。このグループは、東南アジア諸国の政府をターゲットとして、様々なオープンソース(Open Source)ツールを悪用して攻撃活動を行い、機密文書や情報を奪取してファイルホスティングサービスであるDropboxにアップロードした。
・アカマイ、クラウドとセキュリティにおけるトレンドを予測 – SecurityInsight | セキュリティインサイト
→サードパーティ等の信頼できる接続を経由した侵害を防止するため、これまで手薄だった組織内部のセグメンテーションによるアクセス制御の強化が有望視されている。
・Splunk、セキュリテイに関する2024年の予測レポートを発表 – SecurityInsight | セキュリティインサイト
→レジリエンスの強化にはコラボレーションと統合が鍵となる
【セキュリティ対策機器、ツールの紹介記事】
・この診断ツールがいいねと顧客が言ったから これが LAC の AI 元年 ~ AeyeScan がスキャンエンジンに採用されるまで | ScanNetSecurity
→検証のポイントは、大きく分けて二つの観点がありました。ひとつは脆弱性を見つけるスキャンエンジンの品質に関わる「検出精度」、もうひとつは Web サイトを利用するユーザーが、たとえばログイン画面で ID とパスワードを入れてログインボタンを押すような動作がどれだけ AI に再現できるのか、専門用語で言うと「クローリング精度」です。
→ID とパスワードを入れてログインしたり、問い合わせフォームに氏名やメールアドレスを入力する一連の操作を「シナリオ」と呼んでいますが、そのような人間の操作をちゃんと実行できるかという点で AeyeScan はすごく精度が高いです。
→ AeyeScan には、管理画面上に報告書を自動作成してくれる機能があるのですが、完成度が高く、納期短縮に役立っています。
・IIJ、「IIJ SaaSセキュリティ監査ソリューション」を提供開始 〜企業が利用するSaaSのセキュリティリスクを可視化 – SecurityInsight | セキュリティインサイト
→米AppOmni社のサービスを採用し、SaaSアプリケーションのAPIを利用して脆弱な設定や不審な操作、アクセスの有無などを監視し、SaaS環境の是正を支援するとともに、世界中のセキュリティインシデント情報に基づいた脅威検出ルールを自動適用することで、システム管理者の負担なくSaaS環境における最新のセキュリティリスクの検出が可能となる。
【コラム系】
・「もしサイバー攻撃を受けたら?」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する(1/2 ページ) - ITmedia NEWS
→もし被害が発生しても致命傷を受けないようにしつつ、事業を継続する、素早く事業を復旧させる──これがサイバーレジリエンスの基本です。
→ソリューションを導入するだけでは、サイバーレジリエンスを手に入れることはできません。システムの設計段階からセキュリティを考えることや、組織自体のリスクや人/仕組みの脆弱性を評価すること、教育などを含めた対策が必要となります。
→本質的には勝ち負けという表現は適切ではなく「ビジネスにとって合理的な判断に至るかどうか」が全てです。決して、何が何でもセキュリティ担当の言いなりにさせることではないです。そういう勝ちにこだわっても長期的にはマイナスでしかないです。
→戦うことが目的ではないので「戦わずして勝つ」が理想だし、極力そう仕向けるべきです。
→(戦う場合)「Why」「What」の理解が重要であり、そこが腹落ちすると一気にトーンダウンすることが多いです。
→戦いながらも寄り添う考えが必要です
→セキュリティ担当側が間違っていた場合はどうするのでしょうか。
その場合は、変に意地を張って負けてませんよアピールをするよりも、相手の主張の正当性を理解したことをはっきり伝えるだけです。
特に謝罪することもなく、むしろ理解させてくれてありがとう!的に前向きに終わればよいと思います。
【その他】
・インシデント発生時に必要な「法的」対策を考える 強固なセキュリティガバナンス体制を作る5ステップとは (1/3)|EnterpriseZine(エンタープライズジン)
→法務部門やCSIRT、IT部門はもちろん、ベンダーなどの外部専門家との連携が極めて重要となります。平時から関係者が円滑に連携できるチーム体制を整えておくことが、サイバーインシデントレジリエンスを高める一助となることでしょう。
・ラック、「情報リテラシー啓発のための羅針盤 情報活用編」改訂版を無料公開、生成AIの注意点を追記 | IT Leaders
