【攻撃の傾向・手法】
・Japan warns of malicious PyPi packages created by North Korean hackers
→このマルウェアにより、ハッキング グループは開発者のネットワークにアクセスし、金融詐欺を行ったり、ソフトウェア プロジェクトを侵害してサプライ チェーン攻撃を行ったりする
・カスタムGPTsを悪用した攻撃と対策について | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
→OpenAIは昨年11月、このGPTをユーザが任意にカスタマイズできるサービス「GPTs[2]」をリリースし、今年1月には、各ユーザが作成したGPTsを公開・共有できるGPT Store[3]を開設しました。これにより、特定の目的に特化したGPTをChatGPTのユーザが自在に作成・公開できるようになりました。
→GPTsによっては、任意のサーバに情報が送られる、マルウェアのDLや不審サイトへの誘導が行われる(ドメインまでしか見えないためよくわからない)、不正確な回答をされる等のリスクがある。そのため、GPTsの作成者や実施内容に不審な点がないか確認する、重要情報をアップしない等の対策が求められる。
【当局関連の動き、法規則等】
・NIST Releases Final Version of Cybersecurity Framework 2.0 - Infosecurity Magazine
・Top 3 NIST Cybersecurity Framework 2.0 takeaways | SC Media
・Industry Reactions to NIST Cybersecurity Framework 2.0: Feedback Friday - SecurityWeek
・NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?|ブログ|NRIセキュア
・NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表:初のメジャーアップデート - @IT
→「GOVERN」が導入され、組織は他の 5 つの機能によって意図された成果を測定および管理できるようになります。
→重要インフラ以外のすべての業界で適用ができるように変化。
・Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた - piyolog
→サイトは復活している模様
・Biometrics Regulation Heats Up, Portending Compliance Headaches
【調査結果・ベンダーレポート】
・攻撃経路で最も多かったものは「電子メール」 KPMGコンサルティングが2023年のセキュリティを振り返る:攻撃の被害額が「1億円以上」の企業が増加 - @IT
・ガートナージャパン、2024年のサイバーセキュリティのトップ・トレンドを発表 – SecurityInsight | セキュリティインサイト
・ガートナー、2024年サイバーセキュリティにおける6つのトレンドを発表|EnterpriseZine(エンタープライズジン)
→アウトカム・ドリブン・メトリクス(ODM:成果主導型の評価指標)は、ステークホルダーがサイバーセキュリティへの投資とそれによって得られる保護レベルを直接結びつけて理解できるため、採用される機会が増えている。
→自社の最重要資産を継続的に保護するために、サードパーティ・サービスのリスク・マネジメントを強化し、重要な外部パートナーと相互に有益な関係を構築することをセキュリティ・リーダーに推奨している。
・アバスト、2023年第4四半期脅威レポートを発表 – SecurityInsight | セキュリティインサイト
→世界のインターネットユーザーがサポート詐欺に遭遇するリスクは減少傾向ではあるものの、日本は改めて世界第1位となっていた。
【その他】
・フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | フィッシングメール詐欺の手口と対策 解説ドキュメントを公開
・英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁: まるちゃんの情報セキュリティ気まぐれ日記
・辻氏、piyokango氏、根岸氏はセキュリティレポートをどの“断面”で切り取るのか:ITmedia Security Week 2023 冬 - @IT
→ほかのレポートと比べたらどうか、経年で比べたらどうか。
→その数字が妥当なのか、なぜこれがランクインしているのか。
