Day: November 30, 2022

CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府

CISA’s Strategic Plan Is Ushering in a New Cybersecurity Era

2022/11/30 DarkReading — 連邦政府が改めて示しているのは、サイバー・セキュリティに対する従来のアプローチは、すなわち予防と境界防御のみを前提としたアプローチは、失敗に終わっているという認識である。この2年間だけでも、76% の組織がランサムウェアの攻撃を受け、66% が少なくとも1回のソフトウェア・サプライ・チェーン攻撃を経験している。いまの米国において、サイバー・セキュリティのベストプラクティスを刷新する連邦機関である Cybersecurity and Infrastructure Security Agency (CISA) は、今日のダイナミックな脅威の状況に耐えるための、抜本的な変革が必要であることを強調している。 

Continue reading “CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府”

npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意

Researchers Find a Way Malicious NPM Libraries Can Evade Vulnerability Detection

2022/11/30 TheHackerNews — サイバー・セキュリティ企業である JFrog の最新調査によると、npm エコシステムを標的とするマルウェアは、npm Command Line Interface (CLI) ツールの “unexpected behavior” を悪用することで。セキュリティ・チェックを回避できることが判明した。

Continue reading “npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意”

Log4Shell の発見から1年:残存率は 2.5% にまで減ったが 再発率は 29%

A year later, Log4Shell still lingers

2022/11/30 HelpNetSecurity — 2022年10月1日時点で、72% の組織が Log4Shell の脆弱性に対して依然として脆弱であることが、5億回以上のテストから収集したデータを基にした、Tenable の最新のテレメトリ調査により明らかになった。2021年12月に Log4Shell が発見された当時、世界中の組織は、そのリスクの調査に奔走していた。

Continue reading “Log4Shell の発見から1年:残存率は 2.5% にまで減ったが 再発率は 29%”

LastPass のシステムで不正侵入:8月に窃取された情報により顧客データにアクセスか?

Lastpass says hackers accessed customer data in new breach

2022/11/30 BleepingComputer — LastPass の発表によると、2022年8月に発生したセキュリティ・インシデントで窃取した情報を悪用する未知の攻撃者が、同社のクラウド・ストレージに侵入し、顧客データへのアクセスに成功したようだ。 LastPass は、「当社と関連会社である GoTo の両社が現在共有している、サードパーティのクラウド・ストレージ・サービス内における異常な活動を検出した。不正な第三者が、2022年8月のインシデントで入手した情報を悪用して、顧客データの特定の要素にアクセスしたようだ」と述べている。

Continue reading “LastPass のシステムで不正侵入:8月に窃取された情報により顧客データにアクセスか?”

米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合

Majority of US Defense Contractors Not Meeting Basic Cybersecurity Requirements

2022/11/30 InfoSecurity — CyberSheath が委託した調査により、米国の防衛関連請負業者の 87% が、基本的なサイバー・セキュリティ規制の要件を満たしていないことが判明した。米国国防総省 (DoD) の請負業者 300社を対象にした調査では、Supplier Risk Performance System (SPRS) スコアが 70点以上である回答者は、わずか 13% であることが明らかになった。国防連邦調達規則補足文書 (DFARS: Defense Federal Acquisition Regulation Supplement) では、完全なコンプライアンスを得るためには、110点のスコアが要求されている。

Continue reading “米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合”

サイバー侵害の手口を分析:33% の証明書アクセスや 35% の Cobalt Strike 利用など

33% of attacks in the cloud leverage credential access

2022/11/30 HelpNetSecurity — Elastic Security Labs が発表した 2022 Elastic Global Threat Report は、サイバー・セキュリティ脅威の進化と、クラウド/エンドポイントに関連する攻撃の高度化について詳述するものだ。クラウド上の攻撃の 33 %は、クレデンシャル・アクセスを利用している。言い換えるならば、クラウド環境のセキュリティを、ユーザーが過大評価していることになる。その結果として、適切な設定や保護を行われないケースが多発している。

Continue reading “サイバー侵害の手口を分析:33% の証明書アクセスや 35% の Cobalt Strike 利用など”