Ransomware gangs rely more on weaponizing vulnerabilities
2022/05/19 BleepingComputer — セキュリティ研究者たちの指摘は、ランサムウェア・ギャングが企業ネットワークに侵入する際に、依然として外部リモート・アクセス・サービスが主要な経路であるが、脆弱性を悪用するケースも目立って増えてきているというものだ。フィッシングだけではなく、インターネットに公開されたアプリケーションの脆弱性を悪用は、脅威アクターによるデータの窃取や、システムの暗号化につながる、主要な侵害の方式となっている。
Continue reading “2022 Q1 ランサムウェア調査:最も好まれる脆弱性 Top-10 などが明らかに”7 Key Findings from the 2022 SaaS Security Survey Report
2022/05/19 TheHackerNews — Adaptive Shield は CSAと共同で、今日の企業における CISO やセキュリティ担当者から見た SaaS セキュリティの状況を調査し、2022 SaaS Security Survey Report として提供している。このレポートでは、CSA 会員 340社から匿名の回答を集めることで、SaaS セキュリティ・リスクの高まりと、各組織もおけるセキュリティ対策の現状を調査している。
Continue reading “SaaS ユーザー 340社を調査:ミス・コンフィグレーションを無くす7つのポイントとは?”65% of IT help desk teams report unsustainable levels of stress
2022/05/18 HelpNetSecurity — これまでの2年間において、IT 部門はビジネスの最前線に立ち、組織はデジタル・トランスフォーメーションを迅速に導入し、完全なリモートワークや分散型労働の実現を支援してきた。その一方で、Splashtop のレポートによると、米国内の IT ヘルプデスク・チームの 65% において、持続不可能なレベルのストレスを訴えるメンバーが増加しているようだ。さらに、回答者の 94% が、これまでの 12カ月間における自社のヘルプデスク部門が、雇用問題/人材確保問題/スキル不足の影響を受けたと回答している。その結果として、回答者の 67% が IT サポート目標の維持に問題があると報告している。
Continue reading “IT ヘルプ・デスクの調査:65% のチームが持続不可能なストレスを訴えている”Emotet is the most common malware
2022/05/17 HelpNetSecurity — HP の Wolf Security 脅威リサーチ・チームが、Emotet が再登場した 2021年 Q4 と 2022年 Q1 を比較し、Emotet 悪質スパム・キャンペーンによる検出数が 28倍に増加していることを確認し発表している。現実のサイバー・セキュリティ攻撃の分析を提供する、最新の HP Wolf Security Threat Insights Report Q1-2022 によると、Emotet は 36 ランク・アップして、2022年 Q1 で最も多く検出されたマルウェア・ファミリーとなった (捕捉した全マルウェアの 9%)。
Continue reading “Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1”Password reuse is rampant among Fortune 1000 employees
2022/05/11 HelpNetSecurity — SpyCloud は、テクノロジー/金融/小売/通信などの主要分野に属する、Fortune 1000 企業の従業員を対象とする、ID 漏洩に関する年次分析を発表した。2000億を超える漏洩資産のデータベースから、研究者たちは Fortune 1000 企業の従業員に関連する、6億8700万件以上の暴露された認証情報/個人情報を特定し、昨年の分析結果と比較して 26% 増であることを明らかにした。
Continue reading “Fortune 1000 従業員のセキュリティを調査:64% に達するパスワード再利用率などが判明”Companies poorly prepared to meet CCPA, CPRA and GDPR compliance requirements
2022/04/29 HelpNetSecurity — California Consumer Privacy Act (CCPA) および、California Privacy Rights Act (CPRA)、EU の General Data Protection Regulation (GDPR) への各企業の対応状況について、CYTRIO が 2022年 Q1 に行った独自調査の結果が発表された。2022年3月31日の時点において 90% の企業が、CCPA/CPRA の Data Subject Access Request (DSAR) 要件に対して、完全に準拠していないことが調査結果で明らかになった。さらに、95% の企業が、GDPR の DSAR の要件に対して、エラーの起こりやすい、時間のかかる手動プロセスを使用していることが分かった。
Continue reading “米企業のプライバシー管理:お粗末な CCPA/CPRA/GDPR コンプライアンス対応”Ransom payment is roughly 15% of the total cost of ransomware attacks
2022/04/28 BleepingComputer —ランサムウェアの攻撃がもたらす副次的な影響について、研究者たちが分析したところ、脅威アクターが要求した身代金の約7倍ものコストが掛かることが判明した。これらのコストには、インシデント対応作業/システムの復旧/弁護士費用/モニタリングなどに加えて、ビジネスの中断による全体的な経済的負担が含まれる。一般的に、ランサムウェア攻撃では、企業からデータが盗み出され、システムが暗号化されることで、被害者に圧力が掛かることで、ファイルを復号するための費用を支払い、データ漏洩を回避することになる。
Continue reading “ランサムウェアの調査:全体的な損失の 約 15% が身代金の平均値”API Attacks Soar Amid the Growing Application Surface Area
2022/04/27 DarkReading — アジャイル開発の普及に伴い、Web API の利用が劇的に増加し、ソフトウェア関連企業における攻撃面積が拡大したことで、より脆弱な状態へと陥っている。最近の2つのレポートによると、平均的な企業における API 保有数は 15,600 を数え、この1年で3倍増となり、トラフィック量は4倍増の 8億2000万リクエスト/年に達しているとのことだ。
Continue reading “API セキュリティの調査:悪意の API トラフィックが7倍に急増”Zero-Day Exploit Use Exploded in 2021
2022/04/22 DarkReading — 2021年の脅威アクターたちは、これまでと比べて数多くのゼロデイ脆弱性を悪用しているが、その大半で Microsoft/Google/Apple のソフトウェアが対象にされている。これまでと同様に、国家に支援された APT (advanced persistent threat) アクターたちが、これらのゼロデイ脆弱性を最も活発に悪用している。また、ランサムウェア運営者などの、金銭的な動機のあるグループもゼロデイ攻撃を急増させ、攻撃者の3人に1人を占めている。
Continue reading “ゼロデイ脆弱性調査 2021:悪用の件数は前年比で2倍以上に!”41% of businesses had an API security incident last year
2022/04/22 HelpNetSecurity — デジタル・トランスフォーメーションの波を受け、Web/Mobile ベースの統合型サービスが台頭し、製品間のデータ共有が大幅に増加したことで、Web API は急激な成長を遂げた。API への依存度が高まるにつれ、認証や認可の不備や、データの偶発的な漏洩や侵害など、API に関連するセキュリティ上の課題も増えている。
Continue reading “API セキュリティの調査:この1年間で41% の企業がインシデントを経験している”More Than Half of Initial Infections in Cyberattacks Come Via Exploits, Supply Chain Compromises
2022/04/20 DarkReading — Mandiant が実施した Incident Response (IR) 調査の最新レポートによると、攻撃者が被害者のネットワーク上で検知されずにいる日数は4年連続で減少し、2020年の 24日間から 2021年の 21日間へと短縮していることが明らかになった。この、Mandiant の IR 事例によると、最も危険な攻撃を素早く見つけるための検知能力は高まり、ランサムウェアは平均5日以内に検知され、ランサムウェア以外の攻撃は 2020年の45日間から 2021年の36日間へと短縮され、アクティブな状態を維持しているとのことだ。
Continue reading “サイバー攻撃の初期感染:脆弱性悪用とサプライチェーン侵害が 50% 以上を占める”LinkedIn brand takes lead as most impersonated in phishing attacks
2022/04/19 BleepingComputer — セキュリティ研究者たちの警告によると、フィッシング攻撃で最も詐称されるブランドは LinkedIn であり、世界レベルで全体の 52% 以上を占めているとのことだ。サイバー・セキュリティ企業の Check Point のデータによると、2022年 Q1 のフィッシング・インシデントにおける、LinkedIn ブランドの悪用が劇的に増加している。同社によると、2021年 Q4 は、LinkedIn はリストの5位であり、なりすまし攻撃の件数は 8% というレベルであった。
Continue reading “LinkedIn ユーザーなりすましが急増:大量の実用的な情報を狙うハッカーたち”80% of Software Codebases Contain at Least One Vulnerability
2022/04/13 DarkReading — 一般的なコードベースにおけるオープンソース・ソフトウェアの比率は、2021年に 78% にまで拡大したが、古くなりメンテナンスされなくなったコンポーネントを、つまり、潜在的に脆弱なソフトウェアを使い続ける企業が多いことが、新しい調査で明らかになった。今週に発表された Synopsys の年次レポート Open Source Software Risk Analysis (OSSRA) によると、ソフトウェア・コードベースの 81% は、少なくとも1つの脆弱性を含んでいる。また、85% は4年以上前のオープンソース・コンポーネントを使用し、88% は過去2年間に開発が行われていないコンポーネントを含むという。
Continue reading “Synopsys 調査:OSS コードベースの 80% には脆弱性が必ず存在する”Human activated risk still a pain point for organizations
2022/04/11 HelpNetSecurity — 広範囲に及ぶ業種の IT セキュリティ・リーダー 600人を対象に、脅威が高まる環境下という前提で、それぞれの組織のセキュリティ態勢について、匿名での調査が実施された。Egress の調査レポートによると、IT リーダーの 56% の回答として、セキュリティ攻撃に対して非技術系の従業員は、ある程度は備えている、あるいは、まったく備えていない、ことが明らかになった。さらに、回答者の 77% が、パンデミックが引き起こしたリモート化により、セキュリティ侵害が増加したと回答しており、組織には大きなリスクが存在し続けていることが判明した。
Continue reading “6000人を対象にセキュリティ調査:人為的なリスクが最大の痛みを伴うという結論”18% of the top 99 insurance carriers have a high susceptibility to ransomware
2022/04/08 HelpNetSecurity — Black Kite が発表したレポートは、保険分野におけるサイバー・リスクの高まりと、ランサムウェアの影響に対する懸念を示している。最も注目すべき点は、上位 99社の保険会社のうち、20% 近くがランサムウェアの影響を受けやすい状況にあることだ。Black Kite の CSO である Bob Maley は、「サイバー保険の状況は、かつてないほど不安定になっている。デジタル・サプライチェーンは急速に拡大しており、サードパーティにおけるデータ漏洩やランサムウェア攻撃のリスクにさらされている。ビジネスを保護するためには、デジタル・ネットワークのサイバー健全性を徹底的に評価し、継続的に監視する必要がある」と述べている。
Continue reading “保険会社とランサムウェア:上位 99社のうち 18% が影響を受けやすい状況にある”Consumer fraud tripled in the last two years
2022/04/08 HelpNetSecurity — Accenture の最新レポートによると、2020年から2021年にかけて、消費者詐欺の報告件数が前年比で3倍以上に増加しているという。また、この傾向に対抗する新しい戦略を見つけることが、公共の安全機関にとって困難になっていることが明らかになった。このレポートは、先進8カ国 (オーストラリア/カナダ/フランス/ドイツ/イタリア/シンガポール/英国/米国) における、消費者詐欺に関するデータをまとめたものであり、政府機関や企業を標的とした詐欺を除いた、コンシューマを標的とした詐欺と定義されている。
Continue reading “Accenture 調査:コンシューマを狙うサイバー詐欺が 2020〜2021 で 22.5% の増加”63% of organizations paid the ransom last year
2022/04/06 HelpNetSecurity — CyberEdge Group のレポートによると、昨年は 71% の組織がランサムウェア攻撃の被害を受け、2017年の 55% から増加し、過去最悪の結果となった。また、被害に遭った組織のうち、要求された身代金を支払ったのは 63% であり、2017年の 39% から大きく増加している。
Continue reading “ランサムウェアに関する 2021年の調査:63% の組織が身代金を支払っている”Cybercriminals launched 9.75 million DDoS attacks in 2021
2022/03/28 HelpNetSecurity — 2021年 2H において、サイバー犯罪者たちは約 440万件の DDoS (分散型サービス拒否) 攻撃を仕掛け、2021年の DDoS 攻撃の総数が 975万件に達したことが、NETSCOUT のレポートで明らかになった。これらの攻撃は、パンデミックの最盛期に記録したレベルからは 3% 減少しているが、パンデミック前のレベルを 14% 上回るペースで続いている。
Continue reading “2021年の DDoS 攻撃数は 975万件:パンデミック前のレベルを 14% 上回るペース”FBI: Ransomware hit 649 critical infrastructure orgs in 2021
2022/03/23 BleepingComputer — FBI は、Crime Complaint Center (IC3) の 2021 Internet Crime Report を引用するかたちで、昨年には米国の複数の重要インフラ部門の少なくとも 649 組織が、ランサムウェアによりネットワークを侵害されたと発表した。ただし FBI は、重要インフラ分野で報告されたランサムウェア・インシデントの追跡が、2021年6月に開始されていることから、実際の数字は増大するはずだと述べている。また FBI は、Crime Complaint Center (IC3) に被害者が苦情を申し立てなかった場合も、その攻撃は統計に含まれないとしている。
Continue reading “FBI レポート:2021年のランサムウェアは重要インフラ 649 件を攻撃”Building trust in a zero-trust environment
2022/03/14 HelpNetSecurity — 最近の MITRE と DTEX の調査では、インサイダー脅威に対する業界の長年の取り組みにもかかわらず、すべての悪意ある行動を発見するには、十分なデータも高度なシステムも存在しないことが明らかになっている。企業は、サイバー・セキュリティという企業文化を構築するために、ゼロトラスト・アーキテクチャに投資し、すべての攻撃表面を積極的にカバーし始めている。
Continue reading “ゼロトラスト環境の実践:どのようにして人の信頼を構築していくべきか?”Over 40% of Log4j Downloads Are Vulnerable Versions of the Software
2022/03/11 DarkReading — Apache Foundation が、問題となっている Lo4j の脆弱性 CVE-2021-44228 を公表し、その修正プログラムを発行してから3カ月が経過したが、Java パッケージ・リポジトリ Maven Central からダウンロードされる、このロギング・ツールの 10件中4件以上が、依然として既知の脆弱なバージョンのままとなっている。Maven Central の administrator である Sonatype が、いわゆる Log4Shell の欠陥が表面化した直後に立ち上げたダッシュボードによると、2022年2月4日〜3月10日にダウンロードされた Log4j パッケージの 41% が、Log4j 2.15.0 以前のバージョンであることが判明している。つまり、Log4Shell の欠陥が公開された 2021年12月10日に、Apache Foundation がリリースしたパッチ適用バージョンである。
Continue reading “Log4j とプロジェクトの関係:ダウンロードの 40% 以上が脆弱なバージョンという現実”ICS vulnerability disclosures surge 110% over the last four years
2022/03/08 HelpNetSecurity — Claroty が発表した調査結果によると、Industrial Control System (ICS) における脆弱性開示は過去4年間で 110%という驚異的な伸びを示し、2021年 2H は 1H と比べて 25% 増になっていることが明らかになった。また、ICS の脆弱性は OT にとどまらず、Extended Internet of Things (XIoT) にも広がり、2021年 2H に注目すると、その 34% が IoT/IoMT/IT Assets に影響を与えていることが分かった。
Continue reading “Industrial Control System における脆弱性の開示:過去4年間で 110% の急増”How frustrated and burned out are security analysts?
2022/03/07 HelpNetSecurity — セキュリティ・アナリストたちは、組織が安全/安心であることを保証するという、重要な役割を担っている。しかし、人手不足や、過重労働、退屈な作業など、彼らの仕事におけるさまざまな障壁が、不満や燃え尽きを引き起こしていることが、Tines のレポートで明らかになっている。
Continue reading “セキュリティ・アナリストの燃え尽き症候群:人手不足/過重労働などをどうする?”Security leaders want legal action for failing to patch for Log4j
2022/03/02 HelpNetSecurity — 昨年末に発見された Java ロギング・パッケージ Log4j の脆弱性は、世界中のセキュリティ専門家の頭痛の種となっている。2022年1月に実施された Neustar International Security Council (NISC) の調査に回答した組織の 61% が、この脆弱性を標的とする攻撃を受けたことがあると回答している。さらに、回答者の 75% が Log4j の影響を受けたと答え、21% が深刻な影響を受けたと述べている。
Continue reading “Log4j 調査:回答した組織の 61% が攻撃を受けている”Attacks abusing programming APIs grew over 600% in 2021
2022/03/02 BleepingComputer — セキュリティ・アナリストは、この1年間において API 攻撃が急増しているが、ほとんどの企業は、この問題に取り組むには適切ち言えない慣行をとっていると警告している。Salt Security は、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、具体的に報告している。一連の統計は、この業界が API ソリューションを採用するにつれて、それらに対する攻撃が不均衡に増加している現実を浮き立たせている。
Continue reading “API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び”Log4shell exploits now used mostly for DDoS botnets, cryptominers
2022/03/02 BleepingComputer — Log4j ソフトウェアの Log4Shell 脆弱性は、今日でも広く悪用されており、脅威アクターによる様々なマルウェア・ペイロード展開に利用されているが、そこには、DDoS ボットネット・デバイスへの取り込みや、クリプトマイナーの埋め込みなどもある。Barracuda のレポートによると、この数ヶ月のおいて、Log4Shell を標的とする動きは乱高下しているが、悪用の試行量は比較的一定している。これらの攻撃を分析した Barracuda は、大半の悪用の試みが米国ベースの IP アドレスから発生し、それに続いて、日本/中央ヨーロッパ/ロシアなどが悪用されている状況を確認している。
Continue reading “Log4j の問題は続いている:日本での悪用率は世界の 10% に達している”Automotive cybersecurity industry to reach $32.41 billion by 2030
2022/02/24 HelpNetSecurity — Allied Market Research によると、世界の自動車関連サイバー・セキュリティ産業は、2020年には $7.23 に、2030年には $32.41 に達し、2021年から2030年までの CAGR は 16.6% で成長すると予測されている。
Continue reading “自動車関連サイバー・セキュリティ産業の成長:2030年には $32.41 B に到達する”83% of employees continue accessing old employer’s accounts
2022/02/23 HelpNetSecurity — 最近に実施された Beyond Identity の調査において、米国/英国/アイルランドの元従業員から集めたデータは、以前の雇用主から提供されたアカウントへの継続的なアクセスを、83% の社員が認めていることが判明した。
Continue reading “離職と抹消に関する調査:83% の人々が元雇用先のアカウントにアクセスしている”Organizations paid at least $602 million to ransomware gangs in 2021
2022/02/13 SecurityAffairs — 先週に、英国/米国/オーストラリアのサイバー・セキュリティ機関が、2021年にランサムウェアの脅威がグローバル化したとする共同勧告を発表した。ブロック・チェーン分析企業の Chainalysis が発表したレポートによると、2021年中に組織が支払った暗号通貨は $602 million 相当となる。この数字は、2020年の $692 million と比べて僅かに減少しているが、Chainalysis の専門家は、今後の数週間で他の支払いが追加される可能性があると述べている。
Continue reading “2021年のランサムウェア総被害額は $602 M:トップの Conti は $180 M も稼いだらしい”Ransomware attacks, and ransom payments, are rampant among critical infrastructure organizations
2022/02/10 HelpNetSecurity — 2021年は、重要インフラ組織の 80% が、ランサムウェアの攻撃を経験している。そして、2020年以降は同数の組織が、セキュリティ予算を増加していることが、Claroty のレポートで明らかになった。このレポートは、重要インフラ分野に従事する情報技術 (IT) および運用技術 (OT) の専門家 1,100人を対象とした、独自のグローバル調査に基づいている。具体的には、2021年の重大な課題への対処方法や、回復力のレベル、今後の優先事項を探っている。
Continue reading “Claroty 調査:2021年は重要インフラ組織の 80% がランサムウェア攻撃を経験”Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
2022/02/09 DarkReading — Veracode の最新レポート State of Software Security によると、10年前との比較において企業は、アプリケーション・セキュリティ・テストの頻度を高めており、スキャンの対象となるアプリケーション数は3倍に、また、アプリケーションごとのスキャン回数は20倍になっている。
Veracode は、DevSecOps と呼ばれる文化的変化の特徴である、スキャン頻度の増加や、テストとデプロイの自動化、開発者の教育などに注力した結果として、脆弱なライブラリの数が 3分の2に減少し、欠陥の修正に要する時間が 3分の1に短縮されたとしている。
Continue reading “脆弱性スキャンの現状:対象は3倍になり頻度は 20倍になっている”Microsoft: Enterprise MFA adoption still low
2022/02/07 HelpNetSecurity — コンシュマー・ユーザーの間では、二要素認証の使用率が急速に上昇している一方で、エンタープライズでは、重要なアカウントを保護するための多要素認証 (MFA) の使用率が、依然として低いという現実がある。
Continue reading “Microsoft 警告:多要素認証 (MFA) 採用がエンタープライズで遅れている”Ransomware Often Hits Industrial Systems, With Significant Impact: Survey
2022/02/03 SecurityWeek — 木曜日に、OT および IoT のセキュリティ企業である Claroty が発表したレポートによると、ランサムウェアによる攻撃が、産業用制御システム (ICS:Industrial Control Systems) や運用技術 (OT:Operational Technology) 環境におよぶケースが増え、大きな影響を与えているようだ。Claroty のレポート Global State of Industrial Cybersecurity は、米国/欧州/APAC などの地域の IT/OT セキュリティの専門家1,100人を対象とした、Pollfish 調査に基づくものである。この調査は 2021年9月に実施され。回答者の半数以上が年間売上高が $1 billion を超える企業に勤務している。
Continue reading “産業用制御システムへのランサムウェア攻撃:頻度と影響力が増大している”FTC: Americans lost $770 million from social media fraud surge
2022/01/30 BleepingComputer — 米国連邦取引委員会 (FTC) が2021年に受理した数万件の報告書によると、ソーシャルメディア上の詐欺師に米国人が狙われるケースが増えているという。FTC が明らかにしたように、95,000人以上の米国の消費者が、ソーシャルメディア上で詐欺に遭い、約 $770 million の損失を被ったと報告している。この被害額は、2017年と比べて 18倍、2020年の2倍以上という大幅な増加を示し、2021年に報告された詐欺被害全体の約 25% に相当するという。
Continue reading “FTC 警告:ソーシャルメディア関連の詐欺で 2021年は $770 M が失われた”Ransomware families becoming more sophisticated with newer attack methods
2022/01/28 HelpNetSecurity — Ivanti/Cyber Security Works/Cyware の三社は、2021年には 32種類のランサムウェア・ファミリーが登場し、合計 157種類となり、前年比で 26% 増になったことを Ransomware 2021 Year End Report で明らかにした。同レポートによると、これらのランサムウェアは、パッチが適用されていない脆弱性を標的とし、ゼロデイ脆弱性を記録的な速さで武器化し、致命的な攻撃を仕掛けることが判明した。また、これらのランサムウェア・グループは、攻撃範囲を拡大し、組織のネットワークを危険にさらす新たな方法を見つけ出し、大きなインパクトを与える攻撃を大胆に仕掛けている。
Continue reading “2021 調査:288種類の脆弱性を悪用する 157 のランサムウェア・ファミリー”Linux malware sees 35% growth during 2021
2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。
Continue reading “Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増”The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”Google Finds 35,863 Java Packages Using Defective Log4j
2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)
Continue reading “Google 調査:Log4j の影響を受ける Java Packages は 35,863 種類”40% of Corporate Networks Targeted by Attackers Seeking to Exploit Log4j
2021/12/14 DarkReading — Log4j の脆弱性が、インターネット・セキュリティにとって最大の脅威の1つであるという初期の懸念は、週末に爆発的に増加した脆弱性の悪用と悪用活動により早急に確認されており、企業が行うべき修復作業の膨大さが明らかになっている。
Continue reading “Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る”Underinvestment in Multi-Cloud Security a Pressing Concern
2021/11/24 SecurityBoulevard — 大多数の企業は 2022年において、マルチクラウドを戦略的に優先させ、セキュリティを最重要視する計画を立てているが、それ実行するために必要なツールやスキルが不足しているとも感じている。実際のところ、成長するビジネスに伴い、いずれはマルチクラウドが必要になると、大多数の企業は考えているが、セキュリティ上の複雑さが原因となり、IT リーダーたちはマルチクラウドへの移行を躊躇している。
Continue reading “マルチ・クラウドへの移行が止まらない:追いつかないセキュリティ関連の予算”Ethical Hackers Prevented $27B in Cybercrime
2021/11/17 SecurityBoulevard — 倫理的ハッカーたちが、パンデミックが経済を破壊し、組織が最も脆弱になった14ヵ月間に、その価値を証明した。世界中のセキュリティ・チームが、ソフトウェアの欠陥に圧倒された時期に、$27 billion の被害額に相当するサイバー犯罪を未然に防いだのだ。Bugcrowd のレポートによると、2020年5月1日〜2021年8月31日に、倫理的ハッカーの10人に8人が、これまでに遭遇したことのない脆弱性を発見したという。
Continue reading “倫理的ハッカーたちを護れ:この一年で3兆円の経済効果を生み出している!”How To Prevent Your Employees Clicking On Phishing Links
2021/11/03 CyberSecurityIntelligence — フィッシングとは、信頼できる機関を装う詐欺師が、被害者を騙すサイバー攻撃の一種である。通常、フィッシャーは被害者の機密情報を入手し、マルウェアを展開する。フィッシャーは何十もの巧妙な手口を使うため、信頼できる送信者と詐欺師を見分けるのに苦労することがよくある。
Continue reading “フィッシング・リンクを従業員に踏ませないための5つのチップス”Lack of Threat Awareness Creates Hybrid Work Risks
2021/11/01 SecurityBoulevard — ほとんどの米国人は、サイバー・セキュリティの脅威に気づいておらず、また、サイバー・セキュリティに関心を持つ人は増えてあひても、10人に6人近くが IT 部門の承認を得ていないソフトウェア/アプリ/クラウドストレージをダウンロード/インストールしたことがあるといいう。
Continue reading “脅威に対する認識の欠如がリモートワークのリスクを生み出す”DDoS attacks against Russian firms have almost tripled in 2021
2021/10/20 BleepingComputer — あるレポートが分析したデータによると、ロシア企業に対する分散型サービス拒否 (DDoS) 攻撃が、昨年同期に比べて 2.5倍に増加したとのことだ。DDoS 攻撃とは、攻撃者がサービスやネットワークの帯域幅に、処理しきれないほどのリクエストを殺到させ、サービスを停止させることである。
Continue reading “DDoS レポート:ロシア企業に対する攻撃が前年比で 2.5 倍になっている”About 26% of all malicious JavaScript threats are obfuscated
2021.10/19 BleepingComputer — JavaScript で書かれた、悪意のソフトウェアの1万件以上のサンプルを分析した研究において、そのうちの約26%が、検出/分析を逃れるための難読化を用いていると、結論づけられている。難読化とは、意図した通りに動作させる、理解しやすいソースコードがあるにもかかわらず、理解し難く混乱したコードに変換することである。
Continue reading “JavaScript と難読化:脅威スクリプトの 26% が検知を逃れている”North American Orgs Hit With an Average of 497 Cyberattacks per Week
2021/10/09 DarkReading — 今週に発表された新しいデータは、COVID-19パンデミックにより職場や業務に劇的な変化がもたらされ、世界中の組織に対するサイバー攻撃が急増しているという、数多くの報告を裏付けるものとなった。
Continue reading “北米の組織に対するサイバー攻撃:平均で 497 件/週という密度”Microsoft: Russian state hackers behind 53% of attacks on US govt agencies
2021/10/08 BleepingComputer — Microsoft によると、ロシア由来のハッキング・グループが、米国の政府機関を標的にするケースが増えており、2020年7月〜2021年6月に観測された、国民支援型攻撃の 58% がロシアからのものだという。
Continue reading “Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来”More Than 90% of Q2 Malware Was Hidden in Encrypted Traffic
2021/10/01 DarkReading — 暗号化されたネットワーク・トラフィックに隠された、マルウェアを検出するための制御を実装していない組織は、悪意のツールの大部分が配布されるという現実があり、エンドポイント・デバイスへのアクセスを許すというリスクを持つことになる。
Continue reading “2021年 Q2 調査:マルウェアの 90% 以上は暗号トラフィックを介して侵入する”Password Reuse Problems Persist Despite Known Risks
2021/09/23 DarkReading — パスワード・セキュリティの危険性が認識されるようになった一方で、約3分の2の人々は、自身の複数のアカウントに同じパスワードを、または、そのバリエーションを使い続けている。最近の調査によると、平均的な人において、少なくとも 50のオンライン・アカウントが利用されていることを考えると、これは困ったことである。
Continue reading “パスワードに関する調査:再利用は? 難読化は? 多要素認証は?”Supply chain attacks against the open source ecosystem soar by 650% – report
2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。
Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”
IoT OT Security News 
You must be logged in to post a comment.