【インシデントに関する情報】
・「ロックビット」メンバーか 2人を検挙 警察庁 世界中の企業など標的にサイバー攻撃繰り返す | NHK | サイバー攻撃
・名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる - GIGAZINE
・Feds Seize LockBit Ransomware Websites, Offer Decryption Tools, Troll Affiliates – Krebs on Security
・Law enforcement trolls LockBit, reveals massive takedown | Malwarebytes
→Lockbitのメンバーが検挙され、サーバが差し押さえられたとのこと。
・Ransomware Group Takes Credit for LoanDepot, Prudential Financial Attacks - SecurityWeek
→BlackCatがLoan DeptとPrudentialに対してランサムウェア攻撃を行い、情報を窃取したと公表。
【攻撃の傾向・手法】
・脅威とレベルが増し続けるDDoS攻撃──最新の傾向と、いま再考すべき予防策の要点とは (2/3)|EnterpriseZine(エンタープライズジン)
→最近では、いわゆる「ランダムサブドメイン攻撃」がよく用いられている。これはインターネット上に多数存在するオープンリゾルバーに対して、DNSの持つ階層型キャッシュの仕組みで応答できない、「実際に存在しないサブドメイン付きのリクエスト」を送ることで、権威DNSサーバーをクエリ責めにする攻撃だ。DDoSによる応答障害を回避するためには、利用する権威DNSサーバーが膨大なDNSクエリをすべて受け止め、応答しきれる総処理キャパシティを持つ必要がある。
→HTTP/HTTPSを使った、いわゆるレイヤ7DDoSが頻繁に用いられるようになった。GETリクエストによるDDoSだけでなく、キャッシュが効かないHTTPリクエスト、たとえばBOTによってログインページへPOSTリクエストを大量に送りつける攻撃が、日本でも頻繁に観測されている。
【当局関連の動き、法規則等】
・ENISA サイバー保険 - モデルと手法、AIの活用: まるちゃんの情報セキュリティ気まぐれ日記
・経産省SBOM手引書作成メンバーが1章~3章までを解説 - ログミーTech
【調査結果・ベンダーレポート】
・TSUBAMEレポート Overflow(2023年10~12月) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
→他社製品を組み込んだシステムの開発を行っていたところ、当該製品について複数ポートが空いていることに気づかず、不正アクセスを受けていた事例の紹介。
→法人や団体がサイバー攻撃を受けた攻撃の「攻撃発生」から、攻撃に気づいた「攻撃発覚」までに平均397日を要していることがわかりました。
→「攻撃発覚」から被害が公表された「公表」までには、本調査で平均77日を要しており、過去調査と比較すると5日短くなっています。
→「攻撃発生」から「攻撃発覚」までに要する期間について上場企業と非上場企業で比較したところ、上場企業が平均103日だったのに対し、非上場企業は平均647日となりました。また「攻撃発覚」から「公表」までに要する期間は上場企業が37日だったのに対し、非上場企業は111日となりました。
・78% of Organizations Suffer Repeat Ransomware Attacks After Paying - Infosecurity Magazine
→Cybereason の Ransomware: The Cost to Business Study 2024 によると、身代金要求を支払った組織の 5 分の 4 (78%) が 2 回目のランサムウェア攻撃 (多くの場合同じ攻撃者による) に見舞われています。
→1000人以上のサイバーセキュリティ専門家を対象に調査が行われ、なんと84%の組織が侵害後に身代金要求の支払いに同意したことが判明した。このうち、データとサービスが破損していない状態で戻ってきたのは半数未満 (47%) であり、一般に料金を支払うことが解決策ではないことを強調しています。
・【セキュリティ ニュース】ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古(1ページ目 / 全4ページ):Security NEXT
→2023年の1年間を通じてリークサイトに投稿されたデータの公開件数は3998件。前年の2679件から約49.2%増となった。1日あたりに換算すると平均11.0件の投稿があり、前年の7.3件から大きく増加している。
【セキュリティ対策機器、ツールの紹介記事】
・知らないと損する「RASP」とは? 「Webアプリの脆弱性対策=WAF」はもう古い:これで分かる「DevSecOps」の課題と解決【第4回】 - TechTargetジャパン システム開発
→RASPは内部から攻撃を検出します。Webアプリケーションに組み込んだエージェントソフトウェアを使ってデータの流れを確認し、そこから得られたコンテキスト(複数の兆候)を基にして発生した攻撃を検出し、食い止める仕組みです。RASPは、Webアプリケーションの内部関数や、外部ライブラリのAPI(アプリケーションプログラミングインタフェース)の呼び出し内容を追跡し、関数やAPIの呼び出し時点で攻撃を特定可能です。
【コラム系】
・徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 - @IT
→安全なパスワードを設定することや、認証のための設定は、利用者の責務だ。会社ではさまざまな人がサービスを使うが、それぞれが安全なパスワードを設定するかどうかに課題がある。
→フィッシングも以前より1段階発展しており、対策の一つだった「2段階認証」さえも突破できるようになっている(中継型フィッシングでは、攻撃者が偽のログイン画面を表示させるだけでなく、4~6桁のワンタイムパスワードを背後で本物のサイトに送信することも行われ、ログインが成功してしまう)
→スワードレス認証にはまだ課題も多く、普及に時間がかかる。利用者にはパスワード管理ツールの利用を進める。パスキーの利用も積極的に行ってほしい。サイト運営者には、まずは2段階認証の利用、そしてIDaaS(IDentity as a Servic)の利用を検討してほしい
【その他】
・【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
・How to Analyse Linux Malware in ANY.RUN
→ANY.RUNの使い方を少し。
・Insurers Use Claims Data to Recommend Cybersecurity Technologies
→保険金請求データの分析によると、マネージド検出および対応 (MDR) プロバイダーを使用している企業は、サイバー インシデントへの応答時間の中央値が半分に短縮され、各インシデントの影響がそれに見合った、そして大幅な軽減を示したことがわかりました。
→「点滅するライトを購入するためだけに点滅するライトを購入するのではなく、実際にセキュリティを向上させるものにお金を費やしてください。」管理対象外のエンドポイント検出および応答 (EDR) プラットフォームには割引の価値はないと彼は言います。
→Google Workspace を使用している組織の金融取引詐欺 (FTF) 請求率が Microsoft Office 365 を使用している企業に比べてわずか 43% であることを発見しました。一方、保険テック会社 At-Bay は、Microsoft 365 を使用している企業の請求件数が Google Workspace の 2 倍であることを確認しました。
→インシュアテック企業が追求する保険へのデータ重視のアプローチにより、どのサイバーセキュリティ製品が機能し、どの製品が機能していないかに関する最も正確なデータが収集される可能性があります。保険契約の節約により、サイバー保険会社は、保険金請求の減少と小規模化につながる特定のソリューションを企業に推奨する方向に進む可能性があります。
