ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?

Dark Web Chatter: What Other Russian Hackers Are Saying About the REvil Arrests

2022/01/21 SecurityWeek — 2022年1月14日に実施された、ロシア連邦保安庁 (FSB) によるランサムウェア REvil の破壊は、世界を驚かせた。それまで、ロシアを攻撃しないハッカーは、ロシアにいても安全だという不文律があった。FSB の発表によると、今回の破壊は米国当局からの要請に応えたものだという。それは、サイバー犯罪者に対する国際協力の新時代の幕開けなのか、それとも、ロシア外交の一例に過ぎないのか。判断を下すのは時間だが、それまでの間、我々は推測するしかない。

Continue reading “ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?”

Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環

Microsoft disables Excel 4.0 macros by default to block malware

2022/01/21 BleepingComputer — Microsoft は、悪意のドキュメントから顧客を守るために、Excel 4.0 (XLM) のマクロをデフォルトで無効にすることを発表した。同社は2021年10月に、Microsoft 365 Message Center のアップデートにおいて、ユーザーや管理者が手動で機能の ON/OFF を切り替えていない場合、すべてのテナントで XLM マクロを無効にすることを初めて明らかにした。

Continue reading “Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環”

ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理

A Trip to the Dark Site — Leak Sites Analyzed

2022/01/20 TheHackerNews — ランサムウェアのオペレータが、侵入直後にファイルを暗号化し、被害者に復号化キーの代金を請求するという時代は終わった。現在、一般的に見られるのは、暗号化の脅威に加えて、盗んだデータの流出という脅威を伴うものであり、Double-Extortion (Cyber Extortion : Cy-X) と呼ばれている。それは、被害者を貶めるリークサイトを介して、サイバー犯罪の一部を観察/分析を可能にするという点で、価値を見いだせるものとなる。

Continue reading “ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理”

Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表

FBI links Diavol ransomware to the TrickBot cybercrime group

2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。

Continue reading “Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表”

2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題

Software Supply Chain Attacks Tripled in 2021: Study

2022/01/20 SecurityWeek — 2021年は、ソフトウェア・サプライチェーン攻撃の年だったと言えるだろう。SolarWinds が世界の目を見開かせ、脅威の大きさを明らかにした年だ。それ以外にも、Kaseya/Codecov/ua-parser-js/Log4j などの大規模な攻撃があった。いずれの場合も、攻撃者にとって魅力的なのは、分散したコードにおける1つの違反/危殆化/脆弱性が、数千人にもいたる犠牲者を出す可能性があることだ。

Continue reading “2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題”

奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている

‘Anomalous’ spyware stealing credentials in industrial firms

2022/01/20 BleepingComputer — 研究者たちにより、産業界をターゲットにした、いくつかのスパイウェア・キャンペーンが発見された。電子メールアカウントの認証情報が盗みだされたが、その目的は、金融詐欺や認証情報の転売だと考えられる。攻撃者は、既製のスパイウェア・ツールを使用しているが、検出を逃れるために、それぞれの亜種を、きわめて限られた時間において展開している。攻撃に使用される汎用マルウェアの例としては、AgentTesla/Origin Logger/HawkEye/Noon/Formbook/Masslogger/Snake Keylogger/Azorult/Lokibot などがある。

Continue reading “奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている”

米連邦通信委員会 FCC による新たな規則の提案:データ侵害の開示方式を厳しく

FCC Proposes Stricter Regulations for Data Breach Disclosure

2022/01/20 SecurityBoulevard — 米連邦通信委員会 (Federal Communications Commission : FCC) は、企業がデータ漏洩を開示する際の要件を、より厳格にすることを提案した。この提案によると、企業は不注意によるデータ漏洩の影響を受けた顧客に通知することが義務付けられ、開示前の1週間の待機期間は廃止される。この変更により FCC の規則は、他のセクターを対象とした連邦/州のデータ漏洩法の最近の動向と、より良く一致することになる。

Continue reading “米連邦通信委員会 FCC による新たな規則の提案:データ侵害の開示方式を厳しく”

Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく

Cloud Native Application Protection Platform (CNAPP): An Evolving Approach to Cloud Security

2022/01/19 SecurityBoulevard — CISO と CIO は、開発と運用のライフサイクル全体にわたって、数多くのクラウド・セキュリティの課題に取り組んでいる。IDC Survey Report: State of Cloud Security 2021 によると、98% の企業が過去18カ月間に、何らかのクラウド関連のセキュリティ侵害を経験している。今日、それぞれの企業が、特定のリスクに対応する様々なツールを導入することで、これらのギャップを解消しようとしている。

Continue reading “Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく”

Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進

Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware

2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。

Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”

サイバー脅威の可視化:XDR (Extended Detection and Response) ソリューションとは?

Cyber Threat Protection — It All Starts with Visibility

2022/01/19 TheHackerNews — 動物が五感を使って危険を察知するように、サイバー・セキュリティは、コンピュータ環境における危険を知らせる信号を識別するセンサーに依存している。この感覚が高度に調整され、多様で協調的であればあるほど、危険を示す重要な信号を検出できる可能性が高くなる。しかし、これは諸刃の剣でもある。信号が多すぎても、高度な信号処理がなければ、ただのノイズになってしまう。しかし、高度に進化した信号処理による適切で多様な信号の存在は、生存へとつながる。

Continue reading “サイバー脅威の可視化:XDR (Extended Detection and Response) ソリューションとは?”

2022年のクラウド・セキュリティ:Gartner が提唱する3つのトレンドとは?

3 Cloud Security Trends to Watch in 2022

2022/01/18 SecurityIntelligence — 数多くの企業が、2022年に向けて、クラウド・セキュリティを意識している。2021年4月に Gartner は、クラウド・マネージメント/セキュリティ・サービスに対して、世界のエンドユーザーが費やす費用は、2022年には $18 million に達すると予測していた。その規模は、過去2年間に比べて 30% の成長となる。上述の予測は、重要な問題を提起している。

Continue reading “2022年のクラウド・セキュリティ:Gartner が提唱する3つのトレンドとは?”

ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?

Five Key Signals From Russia’s REvil Ransomware Bust

2022/01/18 SecurityWeek — 突然にロシアの最高法執行機関が、ランサムウェア REvil を公開捜査したことで、大規模なランサムウェア攻撃を阻止する鍵は、外交が握っているのではないかと話題になっている。この囮捜査は、「米国の要請を受けて」という慎重な発表に続いて行われたが、その背景には、ロシアとウクライナの地政学的な対立がある。そして、すでに、データ消去などを目的とした、ウクライナ政府に対するマルウェア攻撃や標的型 Web サイトの改ざんに結びついている。

Continue reading “ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?”

クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために

The State of Credential Stuffing Attacks

2022/01/17 SecurityIntelligence — この数年において、クレデンシャル・スタッフィングが、デジタル攻撃者の間で好まれる手口となっている。Help Net Security の報告によると、研究者たちは 2020年に、世界で 1,930億件のクレデンシャル・スタッフィング攻撃を検出した。そのうち、金融サービス分野は 34億件の攻撃を受け、前年比で45%以上の増加となっている。Business Wire によると、2021年の上半期に詐欺師たちは、既存のユーザー・アカウントへの侵入や、新しいアカウントの作成などにより、デジタルア・カウントを標的にしてきた。そのうちの 30% ほどが、クレデンシャル・スタッフィングによる攻撃だった。

Continue reading “クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために”

Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増

Linux malware sees 35% growth during 2021

2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。

Continue reading “Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増”

Managed Security Providers を活用するための3つのヒントとは?

3 Pillars of a Successful Managed Security Services Deployment

2022/01/14 SecurityBoulevard — セキュリティの専門家で構成される、SWAT チームを社内に設置して、組織に対する最新の脅威に対応したいと思っても、それだけの余裕のある企業は多くない。数多くの企業が、時間とリソースの制約を受けている。また、スキル不足が深刻化し、優秀なサイバーセ・キュリティの専門家を雇用/維持することが、困難になっている企業もある。

Continue reading “Managed Security Providers を活用するための3つのヒントとは?”

クラウドの暗号化を改善するためのベスト・プラクティスとは?

Best Practices for Improving Cloud Encryption

2022/01/14 SecurityBoulevard — エンタープライズにおけるクラウドの採用が増大するにつれて、クラウド・セキュリティが最重要課題となっている。年々、クラウド・セキュリティへの脅威は増加しており、企業はオンプレミスからクラウドへの移行を再考し、クラウド・セキュリティを向上させる方法を検討している。クラウド・セキュリティを強化する1つの方法は、クラウドの暗号化を改善することだ。

Continue reading “クラウドの暗号化を改善するためのベスト・プラクティスとは?”

ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた

U.S. Government, Tech Giants Discuss Open Source Software Security

2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。

Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”

ウクライナ政府の 15 の Web サイトが一斉に攻撃されオフラインに追い込まれた

Multiple Ukrainian government websites hacked and defaced

2022/01/14 BleepingComputer — ウクライナにおける公的機関の Web サイトのうち、少なくとも 15 の Web サイトが不正アクセスを受け、改ざんされ、その後にオフラインに追い込まれた。その中には、外務省/農業省/教育科学省/安全保障・防衛省/閣僚内閣のオンライン・ポータルなどが含まれている。改ざんされたメッセージは、ウクライナ語/ロシア語/ポーランド語で書かれており、サイトの訪問者に対して、公共のネットワークにアップロードされている、すべての市民データが漏洩していることを警告していた。

Continue reading “ウクライナ政府の 15 の Web サイトが一斉に攻撃されオフラインに追い込まれた”

SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府

SEC, FTC Issue Warning on Log4j Vulnerabilities

2022/01/14 SecurityBoulevard — 米国連邦取引委員会 (Federal Trade Commission : FTC) および米国証券取引委員会 (Securities and Exchange Commission : SEC) は、Log4j の脆弱性がもたらすリスクに対処していない企業に警告を発している。特に FTC は、消費者向けの製品やサービスに含まれる、様々なシステム・アクティビティを記録するために使用されている、ユビキタス・ソフトウェアである Log4j のセキュリティ脆弱性を修正するよう企業に警告している。

Continue reading “SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府”

ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題

White House reminds tech giants open source is a national security issue

2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。

Continue reading “ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題”

API ゲートウェイと API プロテクション:違いを理解して協調させるには?

API Gateway Security – What kind of security do API gateways offer?

2022/01/13 SecurityBoulevard — API は、最新のアプリケーションを構成する重要な要素であると同時に、企業の攻撃対象として最も急増している要素の1つでもある。当然のことながら、企業は、これらの資産が適切に管理され、プロビジョニングされ、脅威や攻撃者から保護されていることを確認する必要がある。API プロテクション・ソリューションと API ゲートウェイは、どちらも、この点で重要な役割を果たしており、場合によっては重複した機能を持つこともある。しかし、それは互換性があるということではなく、それぞれの技術を使用すべき場所とタイミングを正確に知ることで、余計な混乱を招く恐れもある。

Continue reading “API ゲートウェイと API プロテクション:違いを理解して協調させるには?”

サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”

AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが

AWS fixes security flaws that exposed AWS customer data

2022/01/13 BleepingComputer — Amazon Web Services (AWS) は、他の AWS 顧客アカウントにリンクされたデータへのアクセス/変更を許す、AWS Glue のセキュリティ問題に対処した。AWS Glue は、サーバーレスのクラウド・データ統合サービスであり、アプリ開発/機械学習/分析のための、データの発見/準備/結合を支援するものだ。

Continue reading “AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが”

脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加

The Final Count: Vulnerabilities Up Almost 10% in 2021

2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。

Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”

CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件

CISA alerts federal agencies of ancient bugs still being exploited

2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。

Continue reading “CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件”

BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?

How to Proactively Limit Damage From BlackMatter Ransomware

2022/01/08 DarkReading — 米国の重要インフラ企業や大規模組織などへの攻撃に多用される、ランサムウェア BlackMatter のコードに重大な論理的欠陥があり、状況によってはマルウェアの有効性を制限できる。Illusive は、この欠陥のあるロジックを起動できれば、BlackMatter が自社の環境にもたらす被害を軽減できる可能性があると発表した。

Continue reading “BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?”

Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意

Google Docs Comments Weaponized in New Phishing Campaign

2022/01/07 DarkReading — 最近のフィッシング・キャンペーンにおいて、Google Docs のコメント機能を悪用することで、正当に見えるメールを送信し、ターゲットに悪意のリンクをクリックさせるものが発見された。このキャンペーンを発見した Avanan の研究者たちによると、Google Suite に対するユーザーの信頼性を悪用する方法は、今回が初めてではないとのことだ。

Continue reading “Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意”

HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点

5 Things New with Bug Bounty Programs

2022/01/07 SecurityIntelligence — 2021年9月29日に HackerOne は、Internet Bug Bounty (IBB) プログラムの最新版を発表した。この取り組みにより、2013年から2021年の間に生じている、オープンソース・ソフトウェアに存在する、1,000件以上の脆弱性を発見するよう調整がなされた。HackerOne の最新バージョンは、既存のバグバウンティから得られる防御力を蓄積し、脆弱性管理ライフサイクルに貢献する利害関係者を表彰する方法で報奨金を分割していく。さらに、脆弱性提出フローの統合により、参加する研究者のエクスペリエンスを向上させ、プログラムの範囲をさらに拡大することを目的としている。

Continue reading “HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点”

Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”

NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的

NIST Cybersecurity Framework: A Quick Guide for SaaS Security Compliance

2022/01/06 TheHackerNews — サイバー・セキュリティにおける最新のベストプラクティスを知りたいとき、私は米国の National Institute of Standards and Technology (NIST) を訪れる。最新のパスワード要件 (NIST 800-63) から、製造業者向けの IoT セキュリティ (NISTIR 8259) にいたるまで、NIST は常に出発点である。NIST は、組織の専門性と、NIST 文書の作成に協力する外部の専門家により、米国の標準制定者として重要な役割を果たしている。

Continue reading “NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的”

ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金

Russia Fines Google For Illegal Content Breach

2022/01/06 CybersecurityIntelligence — モスクワの裁判所が、ロシアで違法とされるコンテンツの削除を、繰り返して怠ったとして、Google に 7.2bn roubles ($98m : £73m) の罰金を科した。これは、欧米のテクノロジー企業を統制しようとするロシア政府において、最大の罰金額であり、ロシア国内での起訴が続く可能性がある。今回の判決は、ロシアでは初となる、収益に連携する罰金となる。インターネットの取り締まりが懸念される中、欧州連合 (EU) で初めて実施された年間売上高に基づく罰金が、さらに増える可能性もある。

Continue reading “ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金”

Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?

Researchers Uncover Hacker Group Behind Organized Financial-Theft Operation

2022/01/05 TheHackerNews — サイバー・セキュリティの研究者たちは、少なくとも4年間にわたって、主にラテンアメリカに所在するエンティティからのトランザクション処理とサイフォン資金を標的にする、慎重な脅威アクターにより実行される組織的な金融窃取作戦を暴いた。イスラエルのインシデント・レスポンス企業である Sygnia は、Elephant Beetle と名付けた悪質なハッキング・グループが、銀行や小売店を標的に、良心的な活動に紛れて不正な取引を注入していたと発表した。

Continue reading “Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?”

Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく

Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities

2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。

Continue reading “Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく”

FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?

FTC warns companies to secure consumer data from Log4J attacks

2022/01/04 BleepingComputer — 今日、米国連邦取引委員会 (FTC : Federal Trade Commission) は、継続して止まない Log4J 攻撃から、顧客データの保護を怠る米国企業を追及すると警告した。FTC は、「Log4j および、今後の類似する脆弱性の結果として生じる、消費者データの流出を止めるための合理的な措置を講じない企業を、法的権限をフルに活用して追及する意向だ」と述べている

Continue reading “FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?”

Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ

Log4j Highlights Need for Better Handle on Software Dependencies

2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。

Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”

安全なスマートシティ:IoT のインフラとリスクの関係を整理する

Securing Smart Cities: What You Need to Know

2022/01/03 StateOfSecurity — 経済/人口/社会/文化/技術/環境などに関連する、さまざまなプロセスが複雑に絡み合う都市化に伴い、各国政府は都市部特有の課題に対処するスマートシティを開発している。この開発は、無線技術とクラウドを利用したデータ転送により行われる。スマートシティには、IoT (Internet of Things)/ICT (Information and Communications Technology)/GIS (Geographic Information Systems) などの技術が使われていく。それぞれの技術が連携して大量のデータを収集し、そのデータを基に都市内のコンポーネントやシステムを改善する。

Continue reading “安全なスマートシティ:IoT のインフラとリスクの関係を整理する”

セキュリティ専門家たちの燃え尽き症候群:褒めずに責任を押し付けるのは間違いだ

Security Pro Burnout Signals IT Security Shift

2022/01/03 SecurityBoulevard — 世界的なパンデミックに端を発した、この世界の大きな変化は、IT セキュリティ専門家たちのメンタルヘルスに大きな負担をかけている。あらゆる組織において、リモートファーストの働き方への適応を求める動きが強まったことで、IT セキュリティの専門家たちは、迅速なデジタル・トランスフォーメーションだけでなく、安全なデジタル・トランスフォーメーションを実現するために、時間外労働を強いられている。

Continue reading “セキュリティ専門家たちの燃え尽き症候群:褒めずに責任を押し付けるのは間違いだ”

データ・プロテクション:データの発見/分類/保護とコンテキストを考える

Data Protection: What Needs to Be Protected?

2022/01/03 SecurityIntelligence — あなたの組織のデータは、どこあるのだろうか?グローバルなデータセンター/PC/モバイルアプリなど、あらゆる場所にデータは散らばっている。では、そのすべてを保護するには、どうすればよいのだろう?すべてのデータを暗号化することは不可能だろう。膨大な予算と時間が必要になる。最も厳しい規制でさえ、そこまでのデータ保護を要求していない。たとえば、GDPR は主に個人を特定できる情報 (PII : Personal Identifiable Information) に焦点を当てるが、データ侵害から知的財産を保護することも必要だ。

Continue reading “データ・プロテクション:データの発見/分類/保護とコンテキストを考える”

IoT デバイス上のスティルス性マルウェアを電磁放射を用いて検出

Detecting Evasive Malware on IoT Devices Using Electromagnetic Emanations

2022/01/03 TheHackerNews — サイバー・セキュリティ研究者たちが、IoT デバイスから放出される電磁界をサイドチャネルとして使用し、難読化技術により解析が妨げられているシナリオであっても、組み込みシステムを標的とする各種マルウェアに対しる、正確な情報が得られるという新しいアプローチを提案した。

Continue reading “IoT デバイス上のスティルス性マルウェアを電磁放射を用いて検出”

SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に

SEGA Europe left AWS S3 bucket unsecured exposing data and infrastructure to attack

2022/01/03 SecurityAffairs — サイバー・セキュリティ企業の VPN Overview の報告によると、年末にゲーム大手の SEGA Europe が、Amazon Web Services (AWS) の S3 バケットにユーザーの個人情報を誤って公開し、放置していたことが分かった。この S3 バケットには、複数の AWS キーが含まれており、これらのキーを使用することで、SEGA Europe の複数のクラウド・サービスにアクセスすることが可能だった。また、MailChimp や Steam のキーも含まれており、これらのサービスに SEGA の名前でアクセスすることもできた。

Continue reading “SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に”

Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ

AppSec and Software Community Respond to Log4j

2021/12/30 SecurityBoulevard — アプリケーション・セキュリティとオープンソース・ソフトウェアのコミュニティは、Java Log4j の脆弱性の問題に立ち向かい、ソフトウェアへのパッチ適用/情報の共有/緩和策やツールの提供などを行っている。まだ危機を脱したわけではないが、彼らのこれまでの行動には感銘を受けた。

Continue reading “Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ”

京都大学の 77TB の研究データが消えた:HP バックアップ・システムのエラーが原因

University loses 77TB of research data due to backup error

2021/12/30 BleepingComputer — Hewlett-Packard 製スーパー・コンピュータのバックアップ・システムのエラーにより、日本の京都大学が、約 77TB の研究データを失った。この事故は、2021年12月14日〜16日に発生し、14の研究グループにおける 3,400万ファイルが、システムおよびバックアップ・ファイルから消去された。この損失の影響を調査した結果、京都大学は、影響を受けたグループのうち、4つのグループの作業は、もはや復元できないと判断した。

Continue reading “京都大学の 77TB の研究データが消えた:HP バックアップ・システムのエラーが原因”

Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報

Experts monitor ongoing attacks using exploits for Log4j library flaws

2021/12/27 SecurityAffairs — DrWeb の研究者たちは、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104/CVE-2021-42550) を悪用した攻撃を監視し、また、防御策を講じる必要性を警告している。これらの脆弱性を悪用することで、脅威アクターによるターゲット・システム上での、任意のコード実行/サービス妨害 (Denial of Service)/機密情報の開示などを許してしまう。

Continue reading “Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報”

Log4j 問題に関する CISO の実践的なアドバイス:対処法の繰り返しで良いのか?

Log4j: A CISO’s Practical Advice

2021/12/24 DarkReading — あなたは、おそらく、Log4j の脆弱性について、信頼できる技術的分析をたくさん読んでいることだろう。しかし、そのような分析は、この記事にはない。その代わりに、CISO の役割に費やしてきた私の数十年からの視点と、CISO/CIO 仲間との会話から得られた視点を提供したい。

Continue reading “Log4j 問題に関する CISO の実践的なアドバイス:対処法の繰り返しで良いのか?”

Log4j インシデントに暴露されたサイバー・セキュリティの駄目なところ

Log4j Reveals Cybersecurity’s Dirty Little Secret

2021/12/23 DarkReading — 技術系メディアが、インターネットが炎上していると報じ始めたら、重大な事態に陥っていることを意味する。Log4Shell と呼ばれる Log4j の脆弱性は、時間の経過と伴に、その深刻さが判明し、範囲と影響が拡大する一方である。米国の Cybersecurity and Infrastructure Security Agency (CISA) や英国の機関などが、直ちに対策を講じることを推奨しており、また、現代のハイテク業界の有名企業たちは、この数年で最も深刻なゼロデイ脅威に対して、深刻な脆弱性を抱えていることが判明している。

Continue reading “Log4j インシデントに暴露されたサイバー・セキュリティの駄目なところ”

Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査

Arctic Wolf Script Can Discover Log4Shell Vulnerabilities

2021/12/23 SecurityBoulevard — 今週のこと、マネージド・セキュリティ・サービスを提供している Arctic Wolf は、スキャン・ツールによる Log4Shell 脆弱性の発見を支援するスクリプトを公開した。Arctic Wolf の Field CTO である Ian McShane によると、同社は Log4Shell Deep Scan スクリプトを使用して、ネストされた JAR/WAR/EAR ファイル内の CVE-2021-45046/CVE-2021-44228 の脆弱性を検出している。

Continue reading “Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査”

Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた

Bug bounty platforms handling thousands of Log4j vulnerability reports

2021/12/22 DailySwig — 世界のソフトウェア・エコシステムに衝撃を与え続けている、Apache Log4j のバグに関連する脆弱性報告が、バグバウンティ・ハンターにより何千件も提出されている。このバグは、オープンソースの Java ロギング・ライブラリ Log4j に存在する、CVSS 値 10 という深刻な欠陥であり、これまでにない数の潜在的な標的に対して、サイバー犯罪者によるリモートコード実行 (RCE) 攻撃を許してしまうものとなる。

Continue reading “Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた”

Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想

China disciplines Alibaba Cloud for handling of Log4j bug

2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。

Continue reading “Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想”

Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩

4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories

202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。

Continue reading “Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩”

CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応

CISA releases Apache Log4j scanner to find vulnerable apps

2021/12/22 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Log4j のリモートコード実行に関する2つの脆弱性 (CVE-2021-44228/CVE-2021-45046) の影響を受ける、Web サービスを特定するためのスキャナのリリースを発表した。

Continue reading “CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応”