Geopolitical Tensions Expected to Further Impact Cybersecurity in 2023
2022/12/29 InfoSecurity — 地政学は 2023年においても、組織のサイバー・セキュリティとセキュリティ態勢に影響を与え続けるだろう。2022年2月に、ロシアによるウクライナ侵攻の動きが始まったとき、世界的な紛争がサイバー・セキュリティに与える影響力がクローズアップされた。 それに伴い、ウクライナと西側同盟国が認識したことは、多額のロシア制裁に対する報復として、重要な国家インフラ (CNI : Critical National Infrastructure) へのサイバー攻撃の脅威が生じることだった。しかし、多くのサイバー・セキュリティ専門家が、2023年に向けて考えているのは、地政学的な問題である。
Continue reading “2023年の地政学を占う:国家に支援される脅威アクターは何を仕掛けてくる?”Why Attackers Target GitHub, and How You Can Secure It
2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。
Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”Internet AppSec Remains Abysmal & Requires Sustained Action in 2023
2022/12/27 DarkReading — 防御可能なインターネットを構築できるのか? 2023年におけるインターネットとクラウド・アプリケーションのセキュリティを向上させるために、より良い対策を講じる必要があると、専門家たちは指摘している。2022年の初めには、多くのアプリケーションで広く使われている、Log4j ライブラリというコンポーネントに存在する深刻な脆弱性が発見され、それを緩和するために企業が奔走したのは有名な話である。
Continue reading “2023年以降の Internet AppSec:依然として脆弱であり継続的な対策が必要”Enterprises waste money on identity tools they don’t use
2022/12/27 HelpNetSecurity — One Identity によると、複数の ID ツールに対する企業の誤った投資により、現在の脅威の状況に対する不十分な防御が生じているようだ。96%の企業が複数の ID 管理ツールを使用しており、41%はアクセス権を管理するために、少なくとも 25種類のシステムを導入していると報告されている。その一方で、70%の企業が、積極的に使用していない ID ツールのために、費用を支払っていると報告している。このように、複数の異なる ID ツールに投資することが、全体的なセキュリティ態勢に直接的な影響を及ぼしている。
Continue reading “Identity Tools の用法とコスト:統合できない企業は無駄なコストを費やす”Modern technology and cyber recovery will intersect in the next generation of attacks
2022/12/27 HelpNetSecurity — Experian によると、企業/個人で使用されえる技術が進化し続ける中、サイバー犯罪者たちもイノベーションを活用し、次世代型の攻撃を仕掛けているという。2023年のハッカーたちは、メタバース/宇宙/人工知能などの革新的な技術を取り込んだ、攻撃方法を開拓するための探索を進めてくるだろう。Experian の最新レポートでは、サイバー犯罪者が潜む場所や、攻撃の方法について、企業の理解を促すための、いくつかの予測について概説している。
Continue reading “2023年のサイバー攻撃を予測:テクノロジーとリカバリーが交差していく”Facebook to Pay $725 Million to settle Lawsuit Over Cambridge Analytica Data Leak
2022/12/27 TheHackerNews — Facebook/Instagram/WhatsApp などの親会社である Meta Platforms は、2018年からの長期間の集団訴訟に対して、$725 million を支払うことに合意した。この法的紛争が勃発した背景には、Cambridge Analytica が使用したようなサードパーティ・アプリが、政治的広告のためにユーザーの個人情報に同意なくアクセスすることを、Meta Platforms が許可していたことがある。
Continue reading “Facebook が $725 Million の罰金に同意:Cambridge Analytica のデータ流出問題”2022 Top Five Immediate Threats in Geopolitical Context
2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。
Continue reading “APT と地政学的な背景:2022年に猛威を奮った脅威 Top-5 を分析”Threat predictions for 2023: From hacktivism to cyberwar
2022/12/23 HelpNetSecurity — 2023年の脅威予測について Trellix は、アジア/ヨーロッパにおける地政学的な動機による攻撃の急増、および、対立する政治的な緊張に起因するハクティビズム、コアとなるソフトウェアのサプライチェーン脆弱性などを予測している。
Continue reading “2023年の脅威を予測:サイバー戦争から Alexa に指示する Bitcoin 採掘まで”LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen
2022/12/23 TheHackerNews — 2022年8月に発生した LastPass におけるセキュリティ侵害は、以前に同社が公表したよりも深刻なものだった可能性があるという。木曜日に、人気のパスワード管理サービスである LastPass は、前回の侵入で吸い上げたデータを悪意の行為者が利用し、暗号化されたパスワード保管庫を含む、同社の顧客に属する個人情報の山を入手したことを明らかにした。
Continue reading “LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている”Massive Twitter data leak investigated by EU privacy watchdog
2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。
Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”North Korea-linked hackers stole $626 million in virtual assets in 2022
2022/12/22 SecurityAffairs — 韓国の諜報機関である国家情報院 (National Intelligence Service) は、これまでの5年間において、北朝鮮に関連する脅威アクターたちが盗み出した暗号通貨などの仮想資産が、1.5 trillion won ($1.2 billion) 相当になることを明らかにした。AP 通信の報道によると、今年だけで暗号資産の半分以上に相当する、800 billion won ($626 million) が盗まれたと、この諜報機関は述べているようだ。
Continue reading “北朝鮮の脅威アクターの稼ぎ高:5年間で $1.2B で 2022年だけで $626 M”DuckDuckGo now blocks Google sign-in pop-ups on all sites
2022/12/22 BleepingComputer — DuckDuckGo の全てのアプリ/エクステンションは、Google サインインのポップアップをブロックする。つまり、ユーザーにとって迷惑でプライバシー・リスクであると、 DuckDuckGo が見なすものとして排除することになるし。DuckDuckGo が提供するのは、プライバシーに特化した検索エンジン/メールサービス/モバイルアプリ/データ保護用ブラウザ・エクステンションなどである。また、スタンドアロンの Web ブラウザも開発中だが、現在は macOS 向けのベータ版のみ利用可能だ。
Continue reading “DuckDuckGo が Google に強硬手段:SSO サインイン・ポップアップをブロック”Brave launches FrodoPIR, a privacy-focused database query system
2022/12/22 BleepingComputer — Brave Software の開発者たちは、ユーザーのクエリの内容を開示することなくサーバーからデータを取得する、プライバシー重視の新しいデータベース・クエリ・システム FrodoPIR を開発した。Brave は、Brave Browser に搭載される予定の漏洩認証情報チェッカーに FrodoPIR を使用し、チェックしたユーザー名とパスワードをサーバに開示することなく、既知のデータ・ダンプに照合することを計画しているという。
Continue reading “Brave が FrodoPIR を発表:プライバシーに配慮したデータベース・クエリを実現”Over 50 New CVE Numbering Authorities Announced in 2022
2022/12/22 SecurityWeek — 2022年には 50以上の組織が、CVE Numbering Authority (CNA) として追加され、35カ国で合計 260 の CNA が存在することになった。大半の CNA は、自社製品で見つかった脆弱性に対して、CVE 識別子を付与するものだが、一部の CNA はサードパーティ製ソフトウェアに関して、自社の研究者が見つけた不具合に対しても CVE を付与することが可能となる。
Continue reading “CVE ナンバリング機関が拡大:2022年に追加された 50 の組織とは?”Fortnite Dev to Pay $520m in Record-Breaking Settlement
2022/12/20 InfoSecurity — ゲーム大手の Epic Games は、FTC に数億ドルを支払うことで、子供のプライバシーとダークパターン使用に関する、2つの大きな疑惑を解決する予定だという。この支払いは、Children’s Online Privacy Protection Act (COPPA) 違反に関する $275 million と、明らかに怪しい課金を消費者に返金する $245 million の、2つの請求に対して適用される。
Continue reading “Fortnite のプライバシー違反:FTC が要求する $520M という巨額の罰金に同意”VirusTotal cheat sheet makes it easy to search for specific results
2022/12/20 BleepingComputer — VirusTotal が公開したチートシートは、このマルウェアの情報プラットフォーム上でクエリを作成するものであり、より具体的な検索結果を、研究者たちは得られるようになる。このチートシートは、検索結果の絞り込みに役立つファイル検索修飾子を、どのように組み合わせれば、特定のデータを検出できるのかを示している。
Continue reading “VirusTotal チートシートが登場:より具体的なデータ検索が可能に”Malicious Python Trojan Impersonates SentinelOne Security Client
2022/12/20 DarkReading — 最新のサプライチェーン攻撃を仕掛ける未知の脅威アクターが、SentinelOne の人気のSDK (Software Development Kit) を装う、悪質な Python パッケージを作成しているようだ。月曜日にサイバー・セキュリティ企業 ReversingLabs が発表したアドバイザリによると、この SentinelSneak と名付けられたパッケージは、高機能な SentinelOne クライアントのように見えるものであり、Python コードの主要リポジトリである Python Package Index (PyPI) で、頻繁に更新されながら開発中であるとのことだ。
Continue reading “SentinelOne SDK を装う悪意の PyPI パッケージ:SentinelSneak はトロイの木馬”Google introduces end-to-end encryption for Gmail on the web
2022/12/17 BleepingComputer — 12月16日 (金) に Google は、Web で利用する Gmail に対して、End-to-End Encryption (E2EE) を追加し、ドメイン内外で暗号化されたメールを、登録済みの Google Workspace ユーザーが送受信できるようにすると発表した。 なお、Google Drive/Google Docs/Sheets/Slides/Google Meet/Google Calendar (ベータ版) のユーザーたちは、すでにクライアント・サイドの暗号化 (E2EE) を利用できる状況にあった。
Continue reading “Gmail の End-to-End 暗号化:企業ユーザーなどにベータ提供が始まる”Social Blade Confirms Data Breach Exposing PII on the Dark Web
2022/12/16 InfoSecurity — ソーシャルメディア・データ分析ツールである Social Blade は、同社のシステムが 12月14日に侵害され、流出した PII (Personally Identifiable Information) がダークウェブに売りに出されていることを発表した。このインシデント関して、同社は公に警告を出さなかったが、電子メールで直接にユーザーに対して警告を発している。最近のことだが、ユーザーの1人が、アグリゲーター・プラットフォーム Ycombinator に、そのメールの内容を投稿した。
Continue reading “Social Blade という SNS データ分析ツール:盗まれた PII がダークウェブで売られている”Agenda Ransomware Switches to Rust to Attack Critical Infrastructure
2022/12/16 InfoSecurity — Agenda ランサムウェア・グループは、プログラミング言語 Rust で記述した新しいマルウェアにより、複数の企業に侵入している。Trend Micro の研究者たちは、この新たなキャンペーンを発見し、「この脅威アクターは、企業のサーバへの侵入を主張するだけではなく、その窃取したファイルを公開すると脅している」と述べている。
Continue reading “Rust への移行を進める Agenda ランサムウェア:検出と解析を困難にする亜種”Minecraft Servers Under Attack: Microsoft Warns About Cross-Platform DDoS Botnet
2022/12/16 TheHackerNews — 12月15日 (木) に Microsoft は、主にプライベートな Minecraft サーバに対して DDoS 攻撃を行うために設計された、クロスプラットフォーム・ボットネットにフラグを立てた。このボットネットは MCCrash と呼ばれ、Windows ホスト上でダウンロードされた悪意のソフトウェアから発生するが、Linux ベースのデバイスに伝播するという、独自の拡散メカニズムが特徴となっている。
Continue reading “Minecraft を狙う DDoS ボットネット:PC から IoT デバイスへと広がる感染経路”Over 85% of Attacks Hide in Encrypted Channels
2022/12/15 InfoSecurity — Zscaler の最新レポートによると、これまでの1年間におけるサイバー攻撃の大部分は、セキュリティ・チームによる検出を回避するために TLS/SSL 暗号化を使用しているという。セキュリティ・ベンダーである Zscaler は、2021年10月〜2022年9月においてブロックされた 240億件の脅威を分析し、その結果を 2022 State of Encrypted Attacks Report として提供している。
GitHub to require all users to enable 2FA by the end of 2023
2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。
Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”AgentTesla Remains Most Prolific Malware in November, Emotet and Qbot Grow
2022/12/14 InfoSecurity — 静かな夏を経て、最も流行しているマルウェアの1つとして、Emotet が戻ってきた。さらに、トロイの木馬 Qbot が 2021年以来のリスト入りを果たし、Raspberry Robin ワームも目立っている。しかし、昨日に発表された Check Point Research (CPR) の November 2022’s Most Wanted Malware レポートによると、11月に最も活発だったマルウエアとして、AgentTesla の存在が強調されている。Check Point は、全世界の 6% の組織に AgentTesla は影響を及ぼし、その後に Emotet と Qbot が 4% で続いていると述べている。
Continue reading “Check Point のマルウエア・レポート:AgentTesla/Emotet/Qbot が 11月の Top-3”Attackers use SVG files to smuggle QBot malware onto Windows systems
2022/12/14 BleepingComputer — QBot マルウェアのフィッシング・キャンペーンは、SVG (Scalable Vector Graphics) ファイルを悪用して Windows 用の不正なインストーラーをローカルに作成する、HTML スマグリングの新たな配布方法を採用している。この攻撃は、JavaScript を含むエンベッド SVG ファイルにより行われ、Base64 エンコードされた QBot マルウェアのインストーラーを再構築し、ターゲットのブラウザを通じて自動的にダウンロードさせるものだ。
Continue reading “QBot の新しい戦略:SVG ベクター画像ファイル内にマルウエアを隠し持つ”Google Adds Passkey Support to Chrome for Windows, macOS and Android
2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。
Continue reading “Chrome での Passkeys サポート開始:Android/iOS デバイスの生体認証を活用”Cloudflare’s Zero Trust suite now available for free to at-risk groups
2022/12/12 BleepingComputer — Cloudflare は、Project Galileo と Athenian Project に参加している、公益団体/選挙サイト/各州機関に対して、同社の Cloudflare One Zero Trust セキュリティ・スイートを無償で提供すると発表した。それにより、ジャーナリスト/活動家/人道支援団体/マイノリティ・グループ/州選挙サービスなどに対して、企業レベルのサイバー・セキュリティ・サービスを無償で提供されることになる。
Continue reading “Cloudflare の Zero Trust:ジャーナリスト/活動家/人道支援団体などに無償提供”Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls
2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング/監視/ブロックし、CSRF/XSS/SQL インジェクション/ファイル・インクルードなどの攻撃からシステムを保護するものだ。
Continue reading “WAF に JSON を投げ込む攻撃手法:バイパスが可能になるという Claroty の調査”Research reveals where 95% of open source vulnerabilities lie
2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。
Continue reading “OSS の乱用から生じる危険性:アプリ開発の 80% で依存しているという現実”BEC Attacks Expand Beyond Email and Toward Mobile Devices
2022/12/09 InfoSecurity — Business Email Compromise (BEC) は、SMS を中心とした攻撃を介することで、モバイル・デバイスを標的とするものが増えている。Trustwave のサイバー・セキュリティ専門家による勧告によると、この傾向は、テキスト・メッセージを介したフィッシング詐欺への幅広いシフトを示しているとのことだ。このレポートには、「フィッシング詐欺は、SMS の脅威の中で一般的なものだが、現在は BEC 攻撃もモバイル化されている」と記されている。
Continue reading “BEC 攻撃の標的が変化:83% の組織がモバイルの脅威に対して懸念を示す”Rackspace warns of phishing risks following ransomware attack
2022/12/09 BleepingComputer — 12月8日 (木) にクラウド・コンピューティング・プロバイダーの Rackspace は、同社の Microsoft Exchange ホスティング環境がランサムウェア攻撃を受けたことを受け、フィッシング攻撃のリスクが高まっていると、顧客に警告を発した。同社では、いまも調査が継続されており、影響を受けたシステムの復旧に取り組んでいるが、サイバー犯罪者が、このインシデントを悪用する可能性もあるとしている。
Continue reading “Rackspace の Hosted Exchange にランサムウエア攻撃:M 365 への退避などで対応”Software Supply Chain Attacks Leveraging Open-Sources Repos Growing
2022/12/09 InfoSecurity — 12月5日に発表された ReversingLabs のレポート The State of Software Supply Chain Security によると、2020年から2022年初頭にかけて急激に増加したサプライチェーン攻撃は、緩やかながらも 2022年を通じて着実に増加しているようだ。同社の調査は、npm/PyPi/Ruby Gems などのオープンソース・リポジトリにアップロードされた、悪意のパッケージの件数を対象に行われた。
Continue reading “OSS リポジトリを悪用するサプライチェーン攻撃が増加中:ReversingLabs レポート”Report: Air-Gapped Networks Vulnerable to DNS Attacks
2022/12/08 DarkReading — 企業環境における Domain Name System (DNS) の実装方法で、よく見かけられるミスコンフィグレーションが、きわめて気密性の高い資産の保護を得目的とするエアギャップ・ネットワークを、外部攻撃者による侵害にさらす可能性があることが、研究者により明らかにされた。セキュリティ企業である Pentera の研究者たちは、12月8日に発表したブログ記事で、DNS サーバに接続するエアギャップ・ネットワークを使用している組織が、重要な資産を不用意に脅威アクターにさらし、深刻なデータ侵害を引き起こす可能性があると指摘している。
Continue reading “DNS 攻撃によるエアギャップ破壊:重要なのは 正確な設定/特性の理解/アクティビティの監視”Shift to Memory-Safe Languages Gains Momentum
2022/12/07 DarkReading — 今週に、ソフトウェア・セキュリティの専門家たち発表したところによると、リモートからの悪用が可能で、野放し状態での攻撃の大部分に関与している、きわめて深刻な脆弱性のグループに対して、ソフトウェア業界は前進しているようだ。この脆弱性グループとは、いわゆるメモリ安全性の問題である。具体的には、バッファオーバーフロー/ユースアフターフリーなどを含むものであり、ソフトウェア会社が公表するアプリケーション・セキュリティ問題の大半を占めるものだ。今回の最新データでは、Java/C#/Rust などの、メモリ安全性の高い言語の使用が増加したことで、このクラスの脆弱性全体が急速に減少していることが示されている。
Continue reading “Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる”68% of IT leaders are worried about API sprawl
2022/12/06 HelpNetSecurity — Axway の 2022 Open Everything Strategy Survey Report により、約 40% の組織における IT インフラに、新しいハイブリッド・アプローチが採用されているという、新しいデータを発表した。この変革の原因として、回答者の 68% が無秩序な API の拡大を挙げている。Axway が実施した調査は、約 1,000人の IT リーダー/アーキテクト/開発者を対象にしたものであり、デジタル全般における戦略や懸念について質問するものだ。この調査データは、主に API Development (893人) と、Managed File Transfer (102人) に従事する人々の回答を反映している。
Continue reading “API の無秩序な広がり:IT リーダーの 68% が最大の懸念を示す”Understanding NIST CSF to assess your organization’s Ransomware readiness
2022/12/06 TheHackerNews — ランサムウェア攻撃の主な要因は、組織における脆弱なセキュリティ管理にあり、、その件数と影響が増え続けている。中堅企業が保有する貴重なデータが大量にあるが、大企業のような保護対策や人材が不足しているため、標的にされている。RSM の最新調査によると、中堅企業の 62% が今後の 12カ月間に、ランサムウェアの危険にさらされる可能性があると捉えている。サイバー・セキュリティのリーダーたちの感覚は、”まっさきに頭に浮かぶもの” から “深刻な頭痛のタネ” の間の、どこかにある。
Continue reading “NIST Cybersecurity Framework の概説:セキュリティの5つの要素を再確認する”Gen Z Internet Users “Normalize” Cybercrime – Report
2022/12/06 InfoSecurity — EU が資金提供した新しい大規模な研究によって、若いインターネットユーザーの大半が、マネーミュール/デジタル海賊行為/ヘイトスピーチ投稿などの、何らかのサイバー関連犯罪に関与していることが判明した。The University of East London (UEL) によるこの調査は、EU の Horizon 基金の資金を受け、欧州警察機構 (Europol) のサイバー犯罪センターと共同で実施された。この調査は、16歳〜19歳の 8000人を対象に、20種類のオンライン行動についてのアンケート結果が集約したものだ。
Continue reading “サイバー犯罪が常態化しているZ世代:UEL/Europol の共同レポート”Russian Hackers Use Western Networks to Attack Ukraine
2022/12/06 InfoSecurity — 英国/米国などの組織において、そのネットワークへのアクセスを不正に維持しているロシアン・ハッカーたちが、ウクライナに対して攻撃を仕掛けていることが、Lupovis の最新レポートで明らかにされたな。スコットランドのセキュリティ企業である Lupovis は、ロシアの脅威アクターをおびき寄せるために Web 上にルアーを展開し、その TTP (Tactics, Techniques and Procedures) の研究で成果をあげた。
Continue reading “ロシアン・ハッカーを釣ってみた:ウクライナと NATO への攻撃体制が浮き彫りに”SOC Turns to Homegrown Machine Learning to Catch Cyber-Intruders
2022/12/03 DarkReading — フランスの銀行に所属する情報セキュリティ・チームが、ログデータを学習させた自社開発の機械学習モデルを用いて、ルールベースのセキュリティ・アプライアンスでは捕捉できなかった。3種類の新しいデータ流出パターンを検出できることを発見した。
Continue reading “Black Hat 2022:自社育成の Machine Learning で SOC の手法を転換”NATO Launches Massive Cyber-Defense Exercise
2022/12/02 InfoSecurity — 今週に NATO は、加盟国間のサイバー耐性強化を目的とする、Cyber Coalition 22 演習を開始した。この軍事同盟には、加盟国26カ国に加え、フィンランド/スウェーデン/ジョージア/アイルランド/スイス/日本/EU から 1000人の防衛担当者が集まり、産業界や学術界からも参加者が集まった。5日間にわたる演習は、電力網や NATO の資産に対するサイバー攻撃といった、現実的な課題を参加者に与え、ネットワークを守り、サイバースペースでの協力能力を強化することを目的にしているとのことだ。
Continue reading “NATO の大規模サイバー演習:Cyber Coalition 22 の開催とウクライナへの意識”BlackProxies proxy service increasingly popular among hackers
2022/12/02 BleepingComputer — 新しい家庭用プロキシ市場が、ハッカー/サイバー犯罪者/フィッシャー/ダフ屋/詐欺師たちの間で人気を集めており、世界中で 100万のプロキシ IP アドレスへのアクセス権が販売されている。これらのサービスを監視してきた DomainTools のアナリストたちが発見した、新しいプラットフォーム BlackProxies は、この分野で急成長しているサービスの1つであると報告されている。
Continue reading “BlackProxies というプロキシ・サービス:18 万件もの IP アドレスが利用可能”Industry Coalition Urges Congress to Hold off on SBOMs Requirements for Defense Contractors
2022/12/02 infoSecurity — サイバー・セキュリティ業界団体の連合は米国議会に対して、防衛請負業者に対する Software Bill of Materials (SBOM) 要件を延期するよう求める、公開書簡を発表した。この書簡は、National Defense Authorization Act for Fiscal Year 2023 の第 4543条に関するものであり、米国防総省が請負業者に対して SBOM 要件を定めるよう求めるものだ。
Continue reading “SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述”CISA’s Strategic Plan Is Ushering in a New Cybersecurity Era
2022/11/30 DarkReading — 連邦政府が改めて示しているのは、サイバー・セキュリティに対する従来のアプローチは、すなわち予防と境界防御のみを前提としたアプローチは、失敗に終わっているという認識である。この2年間だけでも、76% の組織がランサムウェアの攻撃を受け、66% が少なくとも1回のソフトウェア・サプライ・チェーン攻撃を経験している。いまの米国において、サイバー・セキュリティのベストプラクティスを刷新する連邦機関である Cybersecurity and Infrastructure Security Agency (CISA) は、今日のダイナミックな脅威の状況に耐えるための、抜本的な変革が必要であることを強調している。
Continue reading “CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府”A year later, Log4Shell still lingers
2022/11/30 HelpNetSecurity — 2022年10月1日時点で、72% の組織が Log4Shell の脆弱性に対して依然として脆弱であることが、5億回以上のテストから収集したデータを基にした、Tenable の最新のテレメトリ調査により明らかになった。2021年12月に Log4Shell が発見された当時、世界中の組織は、そのリスクの調査に奔走していた。
Continue reading “Log4Shell の発見から1年:残存率は 2.5% にまで減ったが 再発率は 29%”Lastpass says hackers accessed customer data in new breach
2022/11/30 BleepingComputer — LastPass の発表によると、2022年8月に発生したセキュリティ・インシデントで窃取した情報を悪用する未知の攻撃者が、同社のクラウド・ストレージに侵入し、顧客データへのアクセスに成功したようだ。 LastPass は、「当社と関連会社である GoTo の両社が現在共有している、サードパーティのクラウド・ストレージ・サービス内における異常な活動を検出した。不正な第三者が、2022年8月のインシデントで入手した情報を悪用して、顧客データの特定の要素にアクセスしたようだ」と述べている。
Continue reading “LastPass のシステムで不正侵入:8月に窃取された情報により顧客データにアクセスか?”Majority of US Defense Contractors Not Meeting Basic Cybersecurity Requirements
2022/11/30 InfoSecurity — CyberSheath が委託した調査により、米国の防衛関連請負業者の 87% が、基本的なサイバー・セキュリティ規制の要件を満たしていないことが判明した。米国国防総省 (DoD) の請負業者 300社を対象にした調査では、Supplier Risk Performance System (SPRS) スコアが 70点以上である回答者は、わずか 13% であることが明らかになった。国防連邦調達規則補足文書 (DFARS: Defense Federal Acquisition Regulation Supplement) では、完全なコンプライアンスを得るためには、110点のスコアが要求されている。
Continue reading “米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合”33% of attacks in the cloud leverage credential access
2022/11/30 HelpNetSecurity — Elastic Security Labs が発表した 2022 Elastic Global Threat Report は、サイバー・セキュリティ脅威の進化と、クラウド/エンドポイントに関連する攻撃の高度化について詳述するものだ。クラウド上の攻撃の 33 %は、クレデンシャル・アクセスを利用している。言い換えるならば、クラウド環境のセキュリティを、ユーザーが過大評価していることになる。その結果として、適切な設定や保護を行われないケースが多発している。
Continue reading “サイバー侵害の手口を分析:33% の証明書アクセスや 35% の Cobalt Strike 利用など”Web App and API Attacks Surge 257% in Financial Services
2022/11/29 InfoSecurity — クラウド・セキュリティ・ベンダーの Akamai によると、過去 12ヶ月間に検出された Web アプリケーション/API への攻撃は、金融サービス分野においては前年比 3.5 倍に急増し、あらゆる業種の中で最多となっているという。同社の最新レポート Enemy at the Gates は、2021年10月1日から 2022年9月26日までの世界の顧客トラフィックの分析に基づいたものとなっている 。
Continue reading “金融サービス Web App/API への攻撃が 257% の急増:Akamai の調査レポート2022”Let’s Encrypt issued over 3 billion certificates, securing 309M sites for free
2022/11/29 BleepingComputer — Let’s Encrypt を運営する非営利団体 Internet Security Research Group (ISRG) は、オープンな認証局 (CA:Certificate Authority) が2022年に発行した証明書が、30億件に到達したと発表した。Let’s Encrypt は、2015年9月に helloworld.letsencrypt.org ドメインの最初の証明書を発行して以来、HTTPS (SSL/TLS) と暗号化通信を可能にするために必要な、X.509 デジタル証明書を Web サイトに無料で提供してきた。
Continue reading “Let’s Encrypt は無料の証明書認証局:2022 年の発行件数が 30億件に到達”Meta fined €265M for not protecting Facebook users’ data from scrapers
2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。
Continue reading “Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力”
IoT OT Security News 
You must be logged in to post a comment.