【インシデントに関する情報】
・三菱商事が偽サイトに注意喚起、URL 確認を | ScanNetSecurity
→偽サイトにてIDPWの詐取、マルウェアのダウンロード等につながる可能性あり?
【攻撃の傾向・手法】
・Proofpoint Blog 34回「コミュニティアラート:Azureクラウド環境に影響を及ぼす継続的な攻撃キャンペーン」 | ScanNetSecurity
→攻撃グループは、共有ドキュメント内に個別のフィッシング・ルアーを仕込み、ユーザーを標的としています。例えば、いくつかの武器化されたドキュメントには「View document / ドキュメントを見る」へのリンクが埋め込まれており、その URL をクリックすると、ユーザーは悪意のあるフィッシング・ウェブページにリダイレクトされます。
→ほとんどの MFA操作の事例において、攻撃者は通知とコードを含む認証アプリを追加することを好んでいました。
→メールボックスへのアクセスは、影響を受けた組織内でのラテラルムーブメントや、パーソナライズされたフィッシングの脅威で特定のユーザーアカウントを標的にするために活用されます。金融詐欺を行うために、被害を受けた組織内の人事部や財務部をターゲットに、内部電子メール・メッセージが送信されます。
・サイバーレジリエンスから考える脅威─情報窃取型マルウェア「インフォスティーラー」対策とは─ (1/3)|EnterpriseZine(エンタープライズジン)
→感染したコンピュータのレジストリ情報などからアプリケーションや認証情報、その他の情報を盗むものさえあります。つまり、対象の標的を自由かつ動的に変化させることができるため、マルウェアのファイルを静的に解析し、あらかじめフィルタリングを行うといった対策が困難だったりするのです。
→インフォスティーラーやフィッシング詐欺などの被害があった時には、早急にパスワードはリセットし変更する必要があります。なおこれらのガイドラインでは、パスワードの使い回しについての危険性についても語られています。インフォスティーラーに感染し、あるアプリケーションの認証情報が漏洩した場合、パスワードを様々なサイトで使い回していると当然他のサイトへの侵入被害が発生します。被害を最小化するためにはシステムごとに異なるパスワードを設置することが当然必要になります。
→Segmentation(分離)についても配慮する必要があります。最近サプライチェーン攻撃の一環で発覚したのですが、個人のchromeプロファイルを職場で利用したところ、業務パスワードを保存していたため、個人所有のデバイスが侵入された際に職場のパスワードも漏洩したというということがありました。在宅勤務が許可されている今日は、特に職場と個人用の環境の分離は当然実施する必要があります。
・Dropbox Used to Steal Credentials and Bypass MFA in Phishing Campaign - Infosecurity Magazine
→dropboxを装ったメールの指示に従い、フィッシングサイトにアクセスし認証情報が漏洩。さらにMFAもバイパス(おそらくユーザーが誤って承認)
→メールにアクセスされ、組織内の他者にさらに認証情報の奪取を目的とした不審メールを送信。
【調査結果・ベンダーレポート】
・日本の従業員、半数近くがリスク承知で危険行動 ~ プルーフポイント「2024 State of the Phish」 | ScanNetSecurity
→日本の従業員の47%(世界平均:71%)が、パスワードの再利用や共有、未知の送信者からのリンクのクリック、信頼できない送信元への認証情報の提供などのリスクのある行動を取っていることを認めており、そのうち98%(世界平均:96%)は、内在するリスクを承知の上で行動していたことが判明した。危険な行動の動機はさまざまで、ほとんどの日本の従業員は利便性(54%)や時間の節約(34%)、緊急性(19%)を主な理由として挙げている。
→過去1年間にランサムウェアの感染を経験した日本の組織は38%(世界平均:69%)で、被害組織のうち32%(世界平均:54%)が攻撃者への支払いに同意したが、1回の支払い後にデータへのアクセスを回復したのはわずか17%(世界平均:41%)と、前年の50%から減少している。
【コラム系】
・SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
・機密情報を共有するためのURLが分析ツールに入力されることで情報漏えいにつながりまくっていることが明らかに - GIGAZINE
→スキャンツールに機密情報にアクセス可能なURLを掲載し、漏洩につながっている模様。。
・生成AIを利用したライフリンクの自殺対策サービス「かくれてしまえばいいのです」を個人情報保護法などから考えた : なか2656のblog
→当該システムに入力される情報の特性を踏まえ、利用規約にて利用者に同意させていることを以て問題なしとしていいのか?(サービス利用前に、明示的に利用目的に対する本人同意はなく、寧ろ何を言っても問題ないという旨の案内がある」同意内容についても、警察への通報やマイクロソフト、学者も情報が提供の目的も記載されているが、このような内容を同意させて良いのか?
→生成AIからの回答について、「利用者に影響を及ぼす可能性があるが、過度に依拠して行動を行うな」と書いてあるが、生成AIが不適切な回答を行う可能性がはらんでいることに対して、追い込まれている(と想定される)利用者に全面的に責任を負わせてもよいのか。
→要配慮個人情報が含まれないように取り組みを行うことが個人情報保護委員会から注意喚起として出ているが、大丈夫か?
【その他】
