_Statistics – IoT OT Security News

Gartner が予測する 2028年のセキュリティ：AI アプリがインシデント対応の半分を占める

AI Issues Will Drive Half of Incident Response Efforts by 2028, Says Gartner

2026/03/18 infosecurity — セキュリティ・チームがプロジェクト初期段階から関与しない限り、カスタム構築された AI アプリケーションにより、今後の数年間にわたり大きな問題が引き起こされると Gartner は警告した。2028年の時点では、エンタープライズにおけるインシデント対応の少なくとも半分が、AI アプリに関連するセキュリティ問題の影響対応に費やされると、同社のアナリストは予測している。

2025年の Zero‑Day 攻撃を分析：エンタープライズ・エッジデバイスの標的化がトレンド

Zero‑Day Attacks on Enterprise Software Reach Record High, Google Warns

2026/03/06 infosecurity — 企業向けのソフトウェア／アプライアンスで発見されたゼロデイ脆弱性の件数が、2025年に最高レベルに達したと、Google Threat Intelligence Group (GTIG) が警告している。3月5日に公開されたレポートで GTIG は、2025年中に実際の攻撃で悪用されたゼロデイ脆弱性 90件を追跡したと報告した。Google のゼロデイ定義は、”パッチが公開される前に、実際の環境で悪用された脆弱性” である。

AI がもたらす速度と代償：導入後のインシデント対応とコスト増について – Fastry

Survey Surfaces Increased Cybersecurity Risks Following AI Adoption

2026/02/25 SecurityBoulevard — 新たに公表された Fastly の The AI Speed Tax レポートは、2,000 名の IT 意思決定者を対象とする調査結果であり、AI アプリケーションの導入拡大に伴うサイバー・セキュリティ・リスクの上昇を示している。Fastly の委託により Sapio Research が実施した調査によると、AI を中核プロセスへ統合した組織で発生したセキュリティ・インシデントは、未導入組織と比較して 135％増という高いコストを抱える。

45 万件超の悪意のオープンソース・パッケージを確認：Sonatype が警告

Researchers Uncover 454,000+ Malicious Open Source Packages

2026/01/28 InfoSecurity — 2025年に再確認された悪意のパッケージの急増を受け、セキュリティ研究者たちが警告するのは、オープンソース・エコシステムが抱える構造的なリスクである。Maven Central／PyPI／npm／NuGet 全体でのコンポーネントが、昨年は 9.8 兆回もダウンロードされたと、2026 State of the Software Supply Chain レポートで Sonatype は述べている。問題とされるのは、その中の相当数にマルウェアや脆弱性が含まれていたことだ。

CISA KEV 2025：４年間で蓄積された 1,484 件の脆弱性と最新の動向を分析する

CISA Expands KEV Catalog with 1,484 New Vulnerabilities as Active Exploitation Surges 20% in 2025

2026/01/06 CyberSecurityNews — 2025年12月時点で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログを、1,484 件まで拡大した。それは、現在も実運用で悪用されている脆弱性に対抗するための、連邦政府における取り組みの重要な節目である。このデータベースは、2021年11月に 311 件の脆弱性から始まったが、これまでの４年間で大幅に拡張されており、公共／民間の両部門が直面する脅威環境の高度化を反映している。

Degital デバイドから AI デバイドへ：インフラへの投資と言語人口がカギになる – Microsoft

The next tech divide is written in AI diffusion

2025/11/17 HelpNetSecurity — Microsoft のレポートによると、あらゆる主要技術の歴史において、AI は最も速いペースで普及しているという。最初の主流リリースから３年以内に、12 億人以上が AI ツールを使用している。この成長は著しいものであるが、政府／産業界／セキュリティ・チームにおける負担は不均等である。

最初の侵入から横方向への移動までの平均時間は 18 分：最新の脅威について調査

Threat Actors Breach Enterprise Infrastructure Within 18 Minutes of Initial Access

2025/09/23 gbhackers — 攻撃者たちは、企業ネットワーク侵入の足掛かりを加速させている。ReliaQuest が実施した 2025年 6月／7月／8月の調査では、最初の侵入から横方向への移動までの平均時間 (breakout time) はわずか 18 分に短縮されている。ある注目すべきインシデントでは、Akira ランサムウェアのオペレーターが、SonicWall VPN への初期侵入から６分後に横方向への移動を達成していた。この急速なペースアップが浮き彫りにするのは、検知ギャップを埋め、対応プロセスを自動化することが、ユーザー組織にとって急務であることだ。

大半のユーザー組織は承知の上で脆弱なコードを配布している：GenAI がもたらす危機的な状況とは？

Majority of Organizations Ship Vulnerable Code, Study Finds

2025/08/15 InfoSecurity — GenAI コードが主流になるにつれ、ユーザー組織の 81% が承知の上で、脆弱なコードを配布していることが、Checkmarx の最新調査により明らかになった。この調査は、CISO／開発者／アプリケーション・セキュリティ管理者たち 1,500 人を対象としたものであり、回答者の 50% が、すでに AI セキュリティ・コード・アシスタントを活用しているという。さらに、34% の回答者が、自社コードに占める GenAI コードの割合が 60% 以上に達することを認めているという。GenAI コードには、既知の脆弱性がデフォルトで含まれていることが多いが、それでも、このような状況となっている。

マルウェアの複雑さを定量化：89 万回以上のスキャンから得られた悪意の行動テレメトリとは？

Malware Complexity Jumps 127% in Six Months

2025/08/06 InfoSecurity — サイバー攻撃の標的に対して、脅威アクターが用いるツールセットが急速に進化しており、これまでの６ヶ月の間に、マルウェアの複雑性が 127% も増加したと、重要インフラに特化するサイバー・セキュリティ企業 OPSWAT が述べている。

Infostealer の驚異的な勢い：悪意のアクティビティが 2025年1月〜6月の間に 800% も増加

Staggering 800% Rise in Infostealer Credential Theft

2025/08/01 InfoSecurity — 2025年上半期には、18億件の認証情報が盗まれ、この６ヶ月間で 800% も増加したことを、セキュリティ専門家たちが明らかにし、ID ベースの攻撃が急増すると警告している。Flashpoint の “Global Threat Intelligence Index: 2025 Midyear Edition” は、同社が分析した 3.6 Peta Byte 以上のデータに基づくものである。このサイバー・インテリジェンス企業によると、一連の認証情報は、580万台の感染ホスト／デバイスから盗まれたという。

2024年の脆弱性を分析：Linux の発生件数は 967% 増／全体的な悪用件数は 96% 増

New Linux Vulnerabilities Surge 967% in a Year

2025/05/15 InfoSecurity — 2024年に Linux と macOS で発見された脆弱性の件数が劇的に増加したと、Action1 の最新分析が語っている。サイバー・セキュリティ・ベンダーである Action1 の、2025 Software Vulnerability Ratings Report は、National Vulnerability Database (NVD) とSecurityScorecard の CVEdetails.com サイトの詳細分析をベースにしたものだ。Action1 の推計によると、2024年に発見された脆弱性の総数は、前年比で 61% 増の 6,761件となるが、Linux の脆弱性は “前例のない” 967%増の 3,329件に達したという。

パスワードへの向き合い方：BB／X／Y／Z 世代ごとの感覚の違いと共有と再利用におけるギャップ

People know password reuse is risky but keep doing it anyway

2025/05/02 HelpNetSecurity — Bitwarden によると、Z世代の 35% は、自身のアカウントに影響を及ぼすデータ侵害の後であっても、”ほとんど” あるいは “まったく” パスワードを更新しないと回答しているようだ。侵害されたパスワードを、常に更新していると回答したのは、わずか 10% に過ぎないとのことだ。

2024年に発生したゼロデイ攻撃は 97件：50%以上がスパイウェア攻撃に関連 – Google 調査

Google: 97 zero-days exploited in 2024, over 50% in spyware attacks

2025/04/29 BleepingComputer — Google Threat Intelligence Group (GTIG) によると、2024年には 75件のゼロデイ脆弱性が実際の攻撃で悪用され、そのうちの半数以上がスパイウェアによる攻撃に関連していたという。この数値は、2023年の 97件から減少しているが、2022年の 63件からは増加している。GTIG のアナリストたちは、この変動について、「ゼロデイ脆弱性の悪用件数は全体として増加傾向にあり、このばらつきは想定内である」と分析している。なお、Google によるゼロデイ脆弱性の定義は、「ベンダーがパッチを公開する前に実環境で悪用された脆弱性」である。

DDoS 2025 Q1 – Cloudflare：急増するネットワーク層攻撃と CLDAP／ESP リフレクション攻撃

Cloudflare mitigates record number of DDoS attacks in 2025

2025/04/28 BleepingComputer — インターネット・サービス大手の Cloudflare は、2024年に過去最多となる DDoS 攻撃を緩和したと発表した。攻撃件数は前年比で 358%、前四半期比で 198%と、いずれも大幅な増加となっている。この数字は、Cloudflare が公開した 2025 Q1 DDoS レポートに基づくものであり、2024 年を通じて合計 2,130 万件の DDoS 攻撃を緩和したと、同社は報告している。しかし、2025 年はオンライン企業や組織にとって、さらに深刻な年となる兆しを見せている。Cloudflare は、2025 Q1 だけで、すでに 2,050 万件の DDoS 攻撃に対応したと報告している。

2025 Q1 に悪用された CVE は 159件：１日以内に攻撃が始まったのは 28.3% – VulnCheck 調査

159 CVEs Exploited in Q1 2025 — 28.3% Within 24 Hours of Disclosure

2025/04/24 TheHackerNews — 2025 Q1 において、実環境で悪用された CVE は 159件にのぼり、2024 Q4 の 151件から増加していることが明らかになった。セキュリティ企業 VulnCheck は、「脆弱性の情報が公開されてから、悪用されるまでの時間の短縮という傾向が続いており、CVE 公開から 1 日以内に悪用された脆弱性は、28.3% に達している」と、The Hacker News に共有したレポートで述べている。

Verizon DBIR 2025：脆弱性悪用とサードパーティ経由による侵害が急増

Verizon DBIR 2025: Vulnerability Exploitation Surges, Third-Party Breaches Double

2025/04/24 SecurityOnline — Verizon のデータ漏洩調査報告書 2025年版 (Data Breach Investigations Report：DBIR) が明らかにするのは、組織が注意を払うべき、サイバー脅威の状況における重要な変化である。このレポートでは、データ侵害が確認された 12,195 件のインシデントが分析されており、攻撃者による脆弱性の悪用が、主要なイニシャル・アクセスポイントとして増加している状況が示されている。

武器化された CAPTCHA に御用心：PowerShell の実行とマルウェアのデプロイ

Attackers Leverage Weaponized CAPTCHAs to Execute PowerShell and Deploy Malware

2025/03/21 gbhackers — 近ごろの高度なサイバー攻撃の急増の背景にあるのは、偽の CAPTCHA チャレンジを悪用してユーザーを騙す、脅威アクターたちの存在である。それにより、悪質な PowerShell コマンドを実行させ、マルウェア感染を引き起こしているという。HP Wolf Security Threat Insights Report for March 2025 が強調する、この戦術は、悪質な Web サイトへと潜在的な被害者を誘導し、検証手順を完了するように促すものである。

Web Browser フィッシング調査：2023-2024 比較で 140% 増の 752,000 件

752,000 Browser Phishing Attacks Mark 140% Increase YoY

2025/03/19 InfoSecurity — Web ブラウザ・ベースのフィッシング攻撃が急増し、この１年間で 752,000 件のインシデントが確認されている。この件数が示すのは、2023年と 2024年の比較における 140% の増加率である。人工知能 (AI) 主導のフィッシング手法の台頭と、エンタープライズでの Web ブラウザへの攻撃が、この傾向の要因となっている。

悪意の OSS パッケージを分析：1,000件以上に共通する特徴／戦術／手口とは？ – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

LLM Model 17 種類を調査：すべてのサービスでジェイルブレイクに成功

Researchers Jailbreak 17 Popular LLM Models to Reveal Sensitive Data

2025/03/07 gbhackers — Palo Alto Networks の Threat Research Center が発表した最新調査によると、研究者たちは 17 種類の GenAI 製品のジェイルブレイクに成功し、安全対策における脆弱性の存在が明らかになったという。この調査の目的は、有害／機密コンテンツの生成を防ぐように設計された、LLM のガードレールを回避する、ジェイルブレイク手法の有効性を評価することにあった。

Crime-as-a-Service の急速な成長：闇マーケットでは 24,000人が攻撃ツールを販売

Online crime-as-a-service skyrockets with 24,000 users selling attack tools

2025/03/03 HelpNetSecurity — iProov によると、AI ベースのテクノロジーの成長により新たな課題が生じ、リモート ID 検証システムは攻撃に対して、以前より脆弱になっているという。革新的で簡単にアクセスできるツールが提供され、脅威アクターたちは一夜にして洗練され、新しい手法を用いる脅威ベクターが増加している。

CrowdStrike の 2025 Global Threat Report：高度化する犯罪グループを数値で分析する

Unpatched Vulnerabilities Attract Cybercriminals as EDR Visibility Remains Limited

2025/02/27 gbhackers — CrowdStrike 2025 Global Threat Report によると、サイバー攻撃者たちの集団は、合法的なビジネスの業務効率を模倣し、高度に組織化されたプロ組織へと進化している。このレポートが強調するのは、2024年のサイバー脅威の状況が大きく変化し、高度な戦術を採用する攻撃者が、GenAI などの最新テクノロジーを活用して、そのアクティビティを拡大している状況である。

Phishing トレンド 2024：状況を分析して 2025年の攻撃に備える

2024 phishing trends tell us what to expect in 2025

2025/02/27 HelpNetSecurity — リスク・アドバイザリー企業 Kroll によると、2024年のサイバー犯罪者たちが、標的とする組織へのイニシャル・アクセスを達成するために頻繁に用いた手口はフィッシングであり、この傾向は 2025年も続くようだ。

大規模ブルートフォース・キャンペーン：280万の IP の悪用と VPN デバイスなどへの攻撃

Massive brute force attack uses 2.8 million IPs to target VPN devices

2025/02/08 BleepingComputer — 約 280 万の IP アドレスの悪用を試みる、大規模なブルートフォース・パスワード攻撃が進行中であり、Palo Alto Networks／Ivanti／SonicWall などの各種のネットワーク・デバイスの、認証情報が推測されようとしている。

2024年の脆弱性管理を総括：プロアクティブな対策が効果を上げ始めた – Kaseya

Navigating the Future: Key IT Vulnerability Management Trends

2025/02/05 TheHackerNews — サイバーセキュリティの状況が進化し続ける中、プロアクティブな脆弱性管理は MSP (Managed Service Providers) と IT チームにとって重要な優先事項となっている。最近のトレンドとして、潜在的なセキュリティ上の欠陥の特定／対処の頻度が高まっている状況が挙げられる。つまり、ユーザー組織において、セキュリティ脆弱性の評価を優先する傾向が強まっていることになる。

ランサムウェアの 2024年を分析：身代金総額 $813.55 M は前年比で 35% 減

Ransomware payments fell by 35% in 2024, totalling $813,550,000

2025/02/05 BleepingComputer — ランサムウェア攻撃者への、2024年の支払額は $813.55 million となり、2023年の $1.25 billion と比べて 35% 減となった。さらに、ランサムウェア攻撃者と交渉した被害者のうち、身代金を支払った組織は 30%ほどに過ぎなかった。

2024年に収集された 100万個以上のマルウェアを分析：25% が認証情報を標的にしている

Credential Theft Becomes Cybercriminals’ Favorite Target

2025/02/05 DarkReading — 2024年に収集された 100万個以上のマルウェアを分析した結果において、ユーザーの認証情報を標的にするものが 25%を占めていることが、研究者たちにより明らかにされた。この数値は 2023年の３倍に相当するという。パスワード・ストアから認証情報を盗むという行為は、MITRE ATT&CK フレームワークにリストされている Top-10 の手口にランクインし、2024年における悪意のサイバー活動全体の 93%を占めている。

2024年に悪用された CVE は768件：2023年の 639件から 20%増加 – VulnCheck

768 CVEs Exploited in 2024, Reflecting a 20% Increase from 639 in 2023

2025/02/03 TheHackerNews — 2024年に実環境での悪用が報告された CVE は 768件に上り、2023年の 639件から 20%の増加となった。VulnCheck のレポート “2024 Trends in Vulnerability Exploitation” は、「2024年は、脆弱性の悪用を狙う攻撃者たちにとって、新たに記録的な年となった」と評している。また、2024年には KEV (known exploited vulnerabilities) の脆弱性の 23.6%が、CVE が公開された当日あるいは、それ以前に悪用されていたと、同社は述べている。

SaaS におけるバックアップとリカバリーを考える：3,700 人を超える IT プロに聞いてみた

2025 State of SaaS Backup and Recovery Report

2025/01/24 TheHackerNews — いまのワークスペースは、劇的な変化を遂げている。ハイブリッド・ワークが標準となり、それを促進する企業により、クラウドベースの Software-as-a-Service (SaaS) アプリケーションが急速に導入されている。Microsoft 365 や Google Workspace などの SaaS アプリケーションは、いまのビジネス・オペレーションのバックボーンとなり、シームレスなコラボレーションと生産性を実現している。その一方で、SaaS ソリューションへの依存がサイバー脅威の急増を招き、ランサムウェアやフィッシングなどのリスクに、重要なビジネスデータがさらされている。

State of Web Exposure 2025：隠された弱点を新たな手法で分析する

New Research: The State of Web Exposure 2025

2025/01/23 TheHackerNews — あなたの Web サイトから、機密データが漏洩していないだろうか？最新の調査によると、サードパーティ製アプリの 45% が、適切な許可なくユーザー情報にアクセスしており、小売業における Web Exposure リスクの 53% は、追跡ツールの過度の使用によるものだという。これらの隠れた脅威とリスクを発見し、軽減していく方法を学ぶべきだ。このフルレポートは、ココからダウンロードできる。

Cloudflare が過去最大規模の DDoS 攻撃を阻止：ピーク時には 5.6 Tbps に到達

Cloudflare mitigated a record-breaking 5.6 Tbps DDoS attack

2025/01/21 BleepingComputer — セキュリティとコネクションを提供する Cloudflare の報告は、2024年10月下旬から発生した、前例のない大規模分散型サービス拒否 (DDoS) 攻撃を検知／軽減したというものだ。2024年10月29日に発生した UDP ベースの攻撃は、東アジアの ISP (internet service provider) のサービスを標的として、13,000台の感染デバイスで構成される Mirai ベースのボットネットから発信されたものであり、ピーク時には 5.6 Tbps に達したという。

2024年に盗まれたパスワードは 10億個：Redline／Vidar／Raccoon が悪意の Top-3

Redline, Vidar and Raccoon Malware Stole 1 Billion Passwords in 2024

2025/01/21 HackRead — Specops のサイバー・セキュリティ研究者たちが、パスワードに関連する重大な問題について警鐘を鳴らしている。2025年1月21日 (火) に公開された、Specops Software の “2025 Specops Breached Password Report” によると、この１年間で、10億を超えるパスワードが、マルウェアにより盗まれたという。また、盗まれたパスワードのうちの数百万件は、標準的な複雑さの要件を満たしていたとのことだ。

OWASP の Smart Contract 脆弱性 Top-10：2025年の傾向を探る

OWASP Unveils Top 10 Smart Contract Vulnerabilities for 2025

2025/01/20 SecurityOnline — Open Web Application Security Project (OWASP) は、2025年において Smart Contract に影響を与え得る、脆弱性の Top-10 リストを更新した。この包括的なドキュメントは、Smart Contract で最重視されるべき脆弱性を特定し、分散型エコシステムのリスクを軽減するためのロードマップを、開発者とセキュリティ専門家に提供するものである。

2024年の CVE データを総括：40,000件以上の脆弱性が公開された

Vulnerability Overload: 40,000+ CVEs in 2024

2025/01/06 SecurityOnline — 毎年恒例の CVE Data Review 2024年版を、セキュリティ研究者である Jerry Gamblin が公開した。この年の CVE 件数は、前例のない急増を見せ、過去最多の 40,009件に達した。この数字は、2023年の 28,902件と比べて 38% の増加であり、CVE の記録更新は７年連続となった。

ヨーロッパの Top-100 社：レジリエンス評価 A の企業は僅か 26% – SecurityScorecard

Only 26% of Europe’s top companies earn a high rating for cybersecurity

2025/01/06 HelpNetSecurity — 2025年1月17日に設定された EU の Digital Operational Resilience Act (DORA) の期限が迫っているが、ヨーロッパの Top-100 企業はというと、緊急のサイバー・セキュリティの課題に直面していると、SecurityScorecard が報じている。

クラウド・ネイティブの時代：マシン ID を狙う攻撃者が増えてくるはずだ

Machine identities are the next big target for attackers

2024/12/30 HelpNetSecurity — これまでの１年以内に、クラウド・ネイティブ環境に関連するセキュリティ・インシデントに、86% の組織が遭遇していると Venafi は指摘している。その結果として、53% の組織が、アプリケーションのリリース遅延や、開発ペースのスローダウンを経験し、45% の組織は、アプリケーション・サービスの停止／中断に見舞われたという。さらに、30% の組織は、データ／ネットワーク／システムへの、攻撃者による不正アクセスの可能性があると回答している。

Lumma インフォ・スティーラーの 400% 増が示す栄華盛衰：ESET Threat-Report-2024-h2

Infostealers Dominate as Lumma Stealer Detections Soar by Almost 400%

2024/12/26 InfoSecurity — サイバーセキュリティ企業 ESET によると、Lumma Stealer インフォ・スティーラーはサイバー犯罪者の間で人気を博しており、2024年後半にテレメトリでの検出数が 369% も急増したようだ。Lumma Stealer の登場は 2022年だが、2024 年の後半には、ESET が検出するインフォ・スティーラーの Top-10 のリストに入るようになった。

エンタープライズ・モバイル調査：iOS は Android よりもフィッシングで狙われやすい – Lookout

iOS devices more exposed to phishing than Android

2024/12/26 HelpNetSecurity — Lookout の最新レポートによると、サイバー犯罪グループが戦術を変更し、攻撃のイニシャル・ステップでモバイル・デバイスを標的にするため、モバイルの脅威の状況が驚くべき速度で拡大し続けている。この Mobile Threat Landscape Report では、 2024 Q3 と Q2 の比較において、企業を標的とする認証情報の窃取とフィッシング攻撃が 17% 増加し、悪意のアプリの検出が 32% 増加している。それに加えて、iOS デバイスが Android デバイスよりも、高い確率でフィッシング攻撃にさらされるという傾向が明らかにし、その背景にある洞察を強調している。

2024年の API セキュリティ課題と解決策 – Nightfall AI

API security blind spots put businesses at risk

2024/12/24 HelpNetSecurity — 2024年の API セキュリティの傾向と課題に関する調査で判明したのは、顧客向け API の多くは、依然として保護対策が不十分であり、企業は侵害に対して脆弱な状態にあるという現実だ。こうした脅威に対処するために不可欠なのは、API セキュリティに対する包括的なアプローチであり、また、ライフ・サイクルの全段階をカバーすることだ。本記事では、Nightfall AI による “2024 State of Secrets Report” から得られた、主な洞察を紹介する。

SonicWall VPN Firewall：インターネット露出する脆弱なデバイスの数は？ – Bishop Fox

Over 25,000 SonicWall VPN Firewalls exposed to critical flaws

2024/12/17 BleepingComputer — インターネットに露出する 25,000 台以上の SonicWall SSLVPN デバイスが、深刻な脆弱性を抱えているとされ、そのうちの 20,000 台に関しては、ベンダーがサポートを終了した SonicOS/OSX ファームウェア・バージョンを使用されているという。サイバーセキュリティ企業 Bishop Fox が実施した調査／分析によると、今年なって公開された一連の重要な脆弱性が、SonicWall デバイスに影響を及ぼしているとされる。

Malware から Microsoft LOLBin へ：2024年上半期の脅威データを分析 – Sophos

2024 Sees Sharp Increase in Microsoft Tool Exploits

2024/12/13 InfoSecurity — 最新の Sophos Active Adversary Report が示すのは、脅威アクターによる正規の Microsoft ツールの悪用が、2023 年と 2024 年上半期の比較において、51% も増加していることだ。2024 年上半期に分析された 190 件のサイバー・インシデントにおいて、187 件で Microsoft 製品を用いる、Living Off the Land Binaries (LOLbins) が観測された。そのうちの 64 件は、Sophos データセットに１回だけ出現していたと、研究者たちは述べている。

OSS リポジトリを汚染するマルウェア：2024 は前年比で 200% の増大

Open source malware up 200% since 2023

2024/12/11 HelpNetSecurity — Sonatype の 2024 Open Source Malware Threat Report によると、2019 年に追跡が開始された悪意のパッケージの数が 778,500 件を超えている。そして 2024年になり、カスタム AI モデルを構築する企業が、オープンソース・ツールを採用するケースが増えるにつれて、悪意のオープンソース・パッケージを用いる脅威アクターたちが、開発者を標的にするケースが増えている。この記事で概説するのは、こうしたトレンドについて調査した結果である。

Fortune 1000 企業に潜む脅威：3万の公開 API と10万の API 脆弱性 – Escape

Fortune 1000’s Hidden Threat: 30,000 Exposed APIs and 100,000 API Vulnerabilities Unveiled

2024/11/24 SecurityOnline — Escape チームの State of API Exposure 2024 レポートにより、世界で最大級の企業群の中に、膨大な数の脆弱な公開 API が存在することが明らかになった。Escape の分析が注視するのは、金融から医療にいたるまでの各業界に影響を及ぼし、また、Fortune 1000 企業に蔓延している可能性のある、重大なセキュリティ脆弱性である。

MITRE／CISA による CWE Top-25 リスト 2024年版：評価基準の更新と CNA の参加

Cross-Site Scripting Is 2024’s Most Dangerous Software Weakness

2024/11/22 DarkReading — 2024年に最も影響力の大きかったソフトウェア欠陥のリスト”2024 CWE Top 25 Most Dangerous Software Weaknesses” が公開された。この CWE リストは、MITRE と CISA により毎年作成されているが、2024年の評価基準には、深刻度 (Severity) と頻度 (Frequency) が追加された。新しい評価方法により、2024年で最も危険なソフトウェア欠陥のランキングは大きく変動した。その一方では、依然として根強く残る古典的な脅威が、組織にとって最大のリスクであることが証明され、安全なコードへの継続的な注力と投資の必要性が改めて浮き彫りとなった。

金融機関におけるセキュリティ負債：新たな概念でアプリの脆弱性を分類する – Veracode 調査

50% of financial orgs have high-severity security flaws in their apps

2024/11/01 HelpNetSecurity — Veracode のレポートが定義する、”セキュリティ負債” という言葉は、１年以上にわたって修正されず、放置されている、深刻な脆弱性により構成される概念を指す。このセキュリティ負債は、金融組織の 76% に存在しており、そのうちの 50% の組織は、深刻なセキュリティ負債を抱えていることが、Veracode の最新レポート “Research Highlights Financial Sector’s Escalating Security Debt” により明らかになった。

Enterprise Identity Threat Report 2024：企業による ID 管理の盲点

Enterprise Identity Threat Report 2024: Unveiling Hidden Threats to Corporate Identities

2024/10/31 TheHackerNews — いまの職場はブラウザ中心であり、企業 ID が組織の最前線の防御として機能している。この、新しい境界とも呼ばれる ID が、安全なデータ管理と潜在的な侵害の間で活躍している。しかし、LayerX の最新レポートによると、各種プラットフォームにおける ID の使用の実態を、正確に認識していない組織の多いとのことだ。このような曖昧な認識により生み出されるのは、データ侵害／アカウント乗っ取り／資格情報の盗難に対して脆弱な組織である。

サードパーティ ID というリスク：サプライチェーンを IAM で安全かつ効果的に統合する

Third-Party Identities: The Weakest Link in Your Cybersecurity Supply Chain

2024/10/28 SecurityAffairs — サイバー攻撃における 70% 以上と言われるほどの割合で、認証情報の侵害やアイデンティティの盗難が関係しており、この攻撃ベクターは重大な懸念事項とされている。ただし、この問題は、主として可視性の欠如に起因しているという。毎日システムにログインする ID の数と、その出所を認識しているだろうか？興味深いことに、その大多数は従業員からのものではない。

GRC ツールの価格設定は不明瞭？４つのカテゴリーへの理解が重要 – Gartner

Unclear pricing for GRC tools creates market confusion

2024/10/25 HelpNetSecurity — 昨今の GRC (government, risk, and compliance) ツールには、多様な価格設定が並存している。そのため、ERM (Enterprise Risk Management) のリーダーたちは、GRC ソリューションの４種類の価格カテゴリーを理解し、スコープ・フレームワークを適用した上でベンダーを選定し、コストを見積もる必要があると、Gartner は指摘している。

2023年に悪用された脆弱性の 70％はゼロデイ：Google Mandiant 調査

Google: 70% of exploited flaws disclosed in 2023 were zero-days

2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。