The Digital Pandemic – Ransomware
2021/09/19 StateOfSecurity — サイバー・セキュリティの専門家や、ビジネス・リーダーにとって、この 2021年は、背筋が寒くなるよう年かもしれない。データ分析とトレーニングを行っている CybSafe の調査によると、2021年 Q1 に報告されたサイバー・インシデントのうち、22% がランサムウェアによる攻撃だった。Information Commissioners Office から入手した数字によると、2020年と比較して 11% の増加となっている。この増加は重要であり、より詳細に調査する必要がある。
Continue reading “ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!”Why ‘Role’ Permissions Are So Dangerous To Your Cloud Environment
2021/09/17 SecurityBoulevard — クラウドを利用する企業が直面するものに、過剰なパーミッションの適切な抑制という、重要な課題がある。クラウドでの運用には、俊敏性と柔軟性が求められる。しかし、この問題は、そのメリットによりセキュリティを犠牲にされることが多く、また、クラウド上には不要で過剰なパーミッションが蔓延していることである。このウェビナーでは、クラウドにおける過剰なパーミッションの問題と、それをコントロールする方法について説明していく。
Continue reading “クラウド環境の危険性:Role パーミッションについて再考しよう”Infrastructure, Security, and the Need for Visibility
2021/09/17 DarkReading — 米国をはじめとする政府機関は、国が関与したと思われる不正侵入事件や、犯罪者が関与したと思われるランサムウェア事件が頻発していることから、重要インフラのネットワーク・セキュリティを強化しようとしている。2020年に発生した SolarWinds や Microsoft への攻撃や、最近発生した Colonial Pipeline でのランサムウェア事件などは、経済的に重要な企業のセキュリティ態勢に対する、潜在的かつ広範な脆弱性や弱点があることを示している。
Continue reading “可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?”Industrial Companies At Risk As Attacks Double
2021/09/17 CyberSecurityIntelligence — Positive Technologies のエンタープライズ・セキュリティ専門家によると、2020年におけるサイバー脅威を広範に分析した結果、2019年と比較して、産業系製造業への攻撃が 91% 急増し、マルウェア関連の攻撃が 54% 増加したことが明らかになった。産業系製造業では、自動化の導入に伴い、これまで以上にデジタル化が進んでいる。IIoT (Industrial Internet of Things) により、人工知能/クラウド/ロボット工学などが工場に導入されている。
Continue reading “Positive Technologies 調査:製造業への攻撃が倍増している”British Organisations Are Unready For Remote Work
2021/09/15 CyberSecurityIntelligence — コロナウイルスが出現して以来、あらゆる業界が何らかの影響を受けている。コロナウイルスは、私たちの仕事のやり方を変え、サイバー犯罪者がリモート・ワーカーを狙うという、新たな機会を生み出した。自宅で仕事をすることは、犯罪者が別の手段でデータを盗むための入り口となっている。今回の調査では、英国企業の半数が、最も基本的なサイバー・セキュリティ・スキルを身につけていないことが明らかになり、また、雇用主に対して対策を講じるよう緊急の呼びかけを行うものとなる。
Continue reading “英国事情:大半の企業がリモートワークに対応できていない”Supply chain attacks against the open source ecosystem soar by 650% – report
2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。
Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”IBM Report Shows Severity of Cloud Security Challenges
2021/09/15 SecurityBoulevard — 今日、IBM Security Services は、ダークウェブ・マーケットプレイスで隠れて販売されている約 30,000 のクラウド・アカウントを含む、一連のクラウド・セキュリティの問題を詳述するレポートを発表した。このレポートは、ダークウェブの分析および、IBM Security X-Force Red ペンテストのデータ、IBM セキュリティ・サービス指標、X-Force Incident Response の分析、X-Force Threat Intelligence などの調査に基づくものである。
Continue reading “IBM レポート:クラウド・セキュリティの課題を調べてみた”Nearly 50% of On-Premise Databases Have Vulnerabilities
2021/09/15 DarkReading — インターネット・セキュリティ企業の Imperva が、過去5年間に収集したデータを分析したところ、全企業の約半数が保有する内部データベースには、既知の脆弱性が存在することが分かった。それらのデータベースにおける公開された脆弱性の平均は 26個であり、そのうち半数以上が Critical もしくは High という、深刻度の高い問題である。
Continue reading “オンプレ・データベース:企業の 50% が深刻な脆弱性を放置している”Brute-Force Attacks, Vulnerability Exploits Top Initial Attack Vectors
2021/09/14 DarkReading — 物事が変われば変わるほど、同じことが繰り返されているように見える。少なくとも、一部の企業のサイバー・セキュリティ対策に関しては、それが言える。2020年に Kaspersky が対応した、セキュリティ・インシデントのデータを分析したところ、原因の 63% がパッチやパスワード管理の不備によるものだった。
Continue reading “ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?”Security Fears & Remote Work Drive Continued 2FA Adoption
2021/09/14 DarkReading — Cisco System の Duo Labs が隔年で実施している調査によると、2年前には二要素認証 (2FA : Two Factor Authentication) に触れたことのなかった、米国と英国の人口の4分の1に相当する人々が、2021年には少なくとも1回は、同技術を使用していることが分かった。
Continue reading “加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因”Costly DNS Attacks on the Rise
2021/09/12 SecurityBoulevard — DNS セキュリティに対する意識は、高まりを維持しているが、攻撃が生じるコストや、その頻度は依然として高く、パンデミックやハイブリッドな労働環境により、組織は大きな混乱に陥っている。調査会社の IDC が実施した 2021 DNS Security Survey では、ほぼすべての企業 (調査対象の87%) が、DNS 攻撃によりアプリやサービスに支障をきたしたことが確認されている。
Continue reading “DNS 攻撃がもたらす深刻な被害:その理由と対策について”My “Cybercrime” Isn’t Your “Cybercrime”
2021/09/12 StateOfSecurity — サイバー・セキュリティの専門家たちと、ネットワーク上のサイバー犯罪について話をすると、スキャン/攻撃/イベント/インシデントなどの、悪意の活動について言及されるだろう。おそらく、どこかの時点で、悪名高い攻撃手法や内部プロトコルといった、業界の略語を参照しながら戦術/技術を説明し、膨大な数の紛らわしい略語や専門用語を使って、マニアックな話をすることになるだろう。
Continue reading “サイバー犯罪の定義:あなたの法務論と わたしの技術論が 噛み合いません”Building a Unified BCDR Strategy to Protect Data
2021/09/10 SecurityBoulevard — すべてのビジネスにとって、データは生命線である。しかし、そのデータを保護することが、企業にとって大きな課題となっている。その理由は、さまざまな法律や規制のコンプライアンス基準があり、また、サイバー犯罪者による攻撃や、従業員が犯す失敗などにより、常にデータが脅威にさらされるからだ。
Continue reading “従業員教育から災害復旧まで:包括的なデータ保護でサイバー犯罪を無力化する”2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。
Continue reading “Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?”OWASP shakes up web app threat categories with release of draft Top 10
2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー/コメント/翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。
Continue reading “OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ”Attackers Moving Faster Inside Target Networks
2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。
Continue reading “企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始”Securing AI and ML at the Edge
2021/09/08 SecurityBoulevard — いくつかの組織においては、サイバー・セキュリティ運用を強化するために、AI/ML が利用されるようになってきた。最も面倒であっても必要な作業を、アルゴリズムに任せることで、過労気味のセキュリティ・チームのストレスが大幅に軽減される。しかし、組織内の多様なエリアに AI/ML が遍在するようになると、そのテクノロジー自体が攻撃を受けるという危険性が生じる。
Continue reading “エッジにおけるセキュリティ AI/ML:自身が標的とされるリスクと期待される貢献”Securing Networks in a Perimeterless World
2021/09/07 SecurityBoulevard — 従来から、ネットワークには境界線があると理解されているが、それは死んだと言っても過言ではない。かつてファイアウォールは、サイバー・セキュリティの頂点だと考えられていた。ネットワークの周囲に、十分な強度のファイアウォールを設置すれば、内部の全てが安全になると考えられていた。
Continue reading “ネットワーク境界が消えた世界:どのようにセキュリティを確保するのか?”What Is Log Management and Why you Need it
2021/09/06 StateOfSecurity — デジタルの時代で競争力を維持するために、企業の恒常的な投資は、新しいハードウェアやソフトウェアの、IT 環境への導入へと向かっていく。ただし、問題がある。これらの IT 資産には脆弱性があり、パッチが適用されない場合には、その脆弱性を脅威アクターが悪用し、組織内のデバイス設定の不正変更や、機密情報の変更/漏えいなどが生じることになる。
Continue reading “ログの管理とは何か? ログは何故に必要なのか?”New Chainsaw tool helps IR teams analyze Windows event logs
2021/09/06 BleepingComputer — インシデント・レスポンダーやブルー・チームは、Windows のイベントログ記録の検索を高速化し、脅威を特定するための、Chainsaw という新しいツールを手に入れた。このツールは、セキュリティ関連業務における、最初の対応ステップを支援するために設計されており、ブルーチームの調査でエントリをトリアージする際にも役立つ。
Continue reading “Windows イベントログ切り刻む Chainsaw ツールとは?”Ransomware gangs target companies using these criteria
2021/09/06 BleepingComputer — 最近のランサムウェア・ギャングは、ダークウェブのマーケット・プレイスや他の脅威アクターから、標的のネットワークへのアクセス権を購入するケースを増やしている。こうした取引を仲介する広告を分析することで、どのような企業をランサムウェアが攻撃対象としているのかを知ることができる。
Continue reading “ランサムウェアが好む企業:地域/規模/業種などを分析する”Office 365 to let admins block Active Content on Trusted Docs
2021/09/05 BleepingComputer — Microsoft は、Trusted Documents 上の Active Content を、Office 365 管理者がブロックするように設定する、組織全体のポリシーをエンド・ユーザーが無視できなくすることを計画している。同社によると、Trusted Documents とは、Active Content (ActiveX Ctrl/Macro/Dynamic Data Exchange)を含むファイルのことであり、現状のポリシーでは、有効になったコンテンツは警告なしで開くことができる。
Continue reading “Office 365 ポリシー変更:すべての Active Content に対して Admin 管理を優先”New Malware Uses Novel Fileless Technique to Evade Detection
2021/09/03 DarkReading — FireEye の Mandiant Advanced Practices チームは、新しいメモリ常駐型のマルウェア・ファミリーとインストーラを発見した。この、FireEye のチームは、このマルウェアを PRIVATELOG と、インストーラを STASHLOG と命名しましたが、顧客のネットワーク上では確認したことはなく、マルウェアが起動した結果である、第2段のペイロードも回収していないとしている。
Continue reading “ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ”Over 60,000 parked domains were vulnerable to AWS hijacking
2021/09/03 BleepingComputer — ドメイン・レジストラの MarkMonitor は、60,000件以上のパークドメインをハイジャックに対して脆弱な状態にしていた。Clarivate 傘下となった MarkMonitor は、世界のトップ・ブランドと、それを利用する何十億もの人々の、オンライン・プレゼンスの確立/保護を支援するドメイン管理会社である。そこにパークされたドメインは、存在しない Amazon S3 バケットのアドレスを指していることが確認されており、ドメイン乗っ取りの弱点が存在することを示唆している。
Continue reading “6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が”Translated Conti ransomware playbook gives insight into attacks
2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。
Continue reading “Conti PlayBook 英訳版:ランサムウェアの手口が明らかに”Facebook Pays Out $40,000 for Account Takeover Exploit Chain
2021/09/02 SecurityWeek — 9月1日に、SNS 大手の Facebook は、脆弱性ハンターに与えられるバグバウンティの内訳について、より理解が進むよう、新たな支払いガイドラインを発表した。具体的は、新しいガイドラインでは、「あなたが提供した電子メール・アドレスまたは電話番号を用いてあなたを検索できる人」の項目にある、「コンタクト・ポイントの可視化設定におけるセキュリティ問題」が対象となる。
Continue reading “Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消”DDoS Attacks Hitting Victims in High-Bandwidth ‘Bursts’
2021/09/02 DarkReading — 2021年の上半期、分散型サービス拒否 (DDoS) 攻撃の件数は4倍に増加し、攻撃量も2倍になったことが、新しいデータで明らかになった。セキュリティ企業の Imperva は、同社の顧客が遭遇した約5,600件の攻撃から情報を抽出し、攻撃の強度が高まり続ける一方で、攻撃時間は短縮されていることを明らかにした。Imperva によると、攻撃の半数以上は8分以内に終了し、攻撃者は同じ企業に繰り返し大量のデータを送りつけていた (1Tbpsを超える攻撃もあり)。
Continue reading “DDoS 調査:短時間と高帯域というトレンドに緩和策は有効なのか?”Eight US financial services firms given six-figure fines over BEC data breaches
2021/09/01 DailySwig — 米国証券取引委員会 (SEC : Securities and Exchange Commission) は、サイバー・セキュリティの不備により企業の電子メールア・カウントと数千人分の個人情報が漏洩したとして、複数の金融サービス企業に制裁を科した。このインシデントは、シアトルに本社を置くKMS Financial Services および、カリフォルニアの Cetera Financial Group と、アイオワの Cambridge Investment Group の子会社において、クラウド・ベースの電子メール・アカウントが不正に乗っ取られたことを受けて提起された。
Continue reading “BEC 被害:米金融サービス8社の不適切な対応に高額の制裁金”2021/09/01 SCMP — この水曜日に中国政府は、ネットワーク/アプリ/産業用制御システム/スマートカーなどの脆弱性を報告させるための、4つの Web サイトを立ち上げた。それにより、北京政府がインターネットのセキュリティを、さらに重視するようになってきたことが示される。
Continue reading “中国政府の脆弱性報告 Web サイトは4つの分野に対応する”A CISO’s Perspective on Ransomware Payments
2021/09/01 DarkReading — ランサムウェア攻撃に対して、どのように組織は対応すべきか? 身代金を支払うべきか、それとも、サイバー保険に頼るべきか、その議論はつきない。最近のバイデン政権が発表した、サイバー・セキュリティに関する大統領令に加えて、身代金支払いの制限/禁止や、ランサムウェア攻撃報告の義務化などの、さまざまな法案が提出されたことで、企業は戦略を更新し、変化に備える必要に迫られている。
Continue reading “ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?”Threats Grow as Digital Wallets Gain Popularity
2021/09/01 SecurityBoulevard — 今回のパンデミックと、ユーザーの個人的な好みが重なり合い、デジタル決済アプリやデジタル・ウォレットが急速に台頭し、その勢いはクレジット・カードや現金と競い合うまでに至っている。セキュリティ分析ソフトウェアのスペシャリストである Cognyte のレポートによると、Google Pay / Samsung Pay / Apple Pay などのデジタル・ウォレットの人気が高まるにつれて、脅威アクターたちの大きなターゲットになったようだ。
Continue reading “デジタル・ウォレットの人気が高まれば犯罪もついてくる”Palo Alto Networks Adds Cloud Misconfiguration Tool
2021/08/31 SecurityBoulevard — 今日、Palo Alto Networks は、Bridgecrew by Prisma Cloud の機能を拡張し、複数のクラウド間でのコンフィグレーション・ドリフトを検出するためのツールを発表した。Bridgecrew Drift Detection は、オープンソースの Yor Project をベースにし、IaC テンプレートに属性と所有権の詳細を自動的にタグ付けするとともに、クラウド・リソースに伝達される固有の ID を付与する。
Continue reading “Palo Alto Networks のクラウド誤設定検出ツール:背景にある問題とは?”Improving Cyberinsurance with APIs
2021/08/31 SecurityBoulevard — サイバー保険に加入することは、あらゆる組織のセキュリティ・プランの必須条件であり、とりわけ中小企業にとっては必須となる。データ侵害が発生した場合に、サイバー保険で侵害に伴うコストを担保することで、企業のビジネスを維持するためのセーフティネットとなり得る。
Continue reading “サイバー保険は API により進化していく”Rethinking Cloud Infrastructure Authentication
2021/08/30 SecurityBoulevard — 願わくば p4$$w0r9s を超えて、すべてのクラウド・インフラでセキュアなキーと多要素認証 (MFA) を使ってもらいたいものだ。しかし、それぞれの小さなノードや、ソフトウェア、サーバ、管理コンソールなどにアクセスできる人が、何人いるか把握されているだろうか?スクリプトが実行できるようにするために、どれだけのキーが散らばっているだろうか?信頼できる IP は何個あるだろうか?もし悪意のある人が、これらのうちの1つを手に入れたら、ネットワークがダウンする可能性があるのだろうか?誰かが退職したときに、変更しなければならないパスワードは何個あるのだろうか?
Continue reading “クラウド・インフラの認証を再考:GitOps のすすめ”Unmanaged SaaS Data Brings Supply Chain Risks
2021/08/30 SecurityBoulevard — SaaS (Software-as-a-Service) のデータに対するアクセスが管理されていなと、内部および外部からの脅威が発生する可能性が高まる。その理由を、DoControl Inc の新しいレポートが示している。この SaaS セキュリティ企業は、平均 1,000人の従業員を抱える企業と、50万件〜1,000万件の資産を持つデータストアを評価した結果として、SaaS データ・アクセスの40%が管理されていないことを発見した。つまり、膨大な資産が、パブリックに共有される可能性があるのだ。
Continue reading “SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる”CISA: Don’t use single-factor auth on Internet-exposed systems
2021/08/30 BleepingComputer — 今日のこと、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、一要素認証 (SFA : Single Factor Authentication) を、同機関が推奨するサイバー・セキュリティのバッド・プラクティスに追加した。CISA のバッド・プラクティス・カタログには、連邦政府機関が非常に危険と判断したプラクティスが含まれており、政府機関や民間企業のシステムが脅威にさらされる、不必要なリスクを負うことになるため、使用すべきではないとしている。
Continue reading “CISA スバラシイ:一要素認証をバッド・プラクティスと認定する”Don’t Leave Security to the Network
2021/08/27 SecurityBoulevard — これまでのエンタープライズ・ネットワークのセキュリティ・モデルには、未来がない。現在、ネットワークは継続的な攻撃を受けており、従来のセキュリティ・モデルは無防備であることが証明されている。Colonial Pipeline や、Kaseya、アイルランドのヘルスケアシステム、北ヨーロッパの鉄道切符販売機へのランサムウェア攻撃は、巨大な氷山の一角に過ぎない。最近のある推計によると、昨年、私たちが知っているだけで 65,000件の攻撃があったとされるが、この問題の本当の規模については、推測する以外に為す術がない。不安を抱える企業には、株主や顧客に知られたくないと思う攻撃が、報告された数だけあるのだ。
Continue reading “セキュリティを押しつけるな!ネットワークさんが怒ってます!”Engineering Workstations Are Concerning Initial Access Vector in OT Attacks
2021/08/26 SecurityWeek — 産業用制御システム (ICS : industrial Control Systems) や、運用技術 (OT : Operational Technology) を用いる組織は、サイバー脅威に対する関心を高めており、リスクに対処するための措置を講じてはいるが、多くの組織において侵害の有無が把握されていないことが、産業用サイバーセキュリティ企業である Nozomi Networks の委託を受けて、SANS Institute が実施した調査で明らかになった。SANS 2021 OT/ICS Cybersecurity Report は、多岐にわたる業界の 480人から提供された情報に基づいて作成されている。
Continue reading “OT への最初の攻撃ベクターとしてエンジニアリング WS が狙われる?”Microsoft and Google to invest billions to bolster US cybersecurity
2021/08/26 BleepingComputer — 昨日に、ホワイトハウスで開催された Cybersecurity Summit において、ビッグテック/教育/金融/インフラなどの、各分野におけるエグゼクティブおよびリーダーが、米国の利益の安全性を強化することに約束した。
Continue reading “Microsoft / Google / Amazon / Apple が セキュリティの未来を議論 @ White House”APIs Create New Security Headaches
2021/08/24 SecurityBoulevard — API への移行とは、セキュリティ・チームにとって最大の頭痛のタネであると同時に、脅威を生み出す新たな遊び場でもある。その背景には、ソフトウェア開発を加速し、一刻も早くソフトウェアをリリースしたいと考える、組織のマインドセットがある。Baffle の VP of Products and Marketing である Harold Byun は、「このような環境では、シフトレフト・モデルが加速する中で、セキュリティの評価や見直しが回避される可能性が高い。
Continue reading “API と セキュリティ:新たな頭痛のタネと処方箋”Attackers Increasingly Target Linux in the Cloud
2021/08/24 DarkReading — これまで、Linux という OS は、システム管理者やハッカーに好まれてきたが、今ではサイバー犯罪者にとっても重要なターゲットとなっている。Web シェルや暗号通貨マイニングなどのマルウェアが Linux コンテナから実行されることがあり、また、Linux に存在する約200種類の脆弱性も攻撃の対象となっている。Trend Micro が発表したデータによると、コンテナが広く普及している状況が示され、また、人気のコンテナには相当数の脆弱性が存在していることが分かる。
Continue reading “クラウドの Linux が標的になり始めている:コンテナの中身は大丈夫?”Top 15 Vulnerabilities Attackers Exploited Millions of Times to Hack Linux Systems
2021/08/23 TheHackerNews — 1,400万近くの Linux ベースのシステムが、インターネットにダイレクトにさらされており、悪意の Web シェルや、暗号通貨マイナー、ランサムウェア、トロイの木馬などのデプロイメントといった、実在する多様な攻撃の格好の標的となっている。この記事は、Trend Micro が発表した Linux の脅威に関する調査結果に基づくものであり、ハニーポット/センサー/匿名化されたテレメトリーから収集したデータを基に、2021 年前半の Linux OS に影響をおよぼした脆弱性の詳細に説明している。
Continue reading “Linux System をハックする深刻な脆弱性のリスト Top-15”Financial Services: Web Application Attacks Grow by 38% In First Half of 2021
2021/08/19 SecurityBoulevard — 前世紀の中頃、プロの銀行強盗である Willie Sutton は、推定で $2 million の盗みを働いたとされる。ある新聞記者が、Sutton に銀行を狙う理由を尋ねたところ、「そこに金があるから」と答えたらしい。その後のインタビューで、この言葉は否定されているが、いまの金融業界にも当てはまるものだ。昔ながらの銀行強盗も起こるだろうが、現実の銀行から金を盗むことは、前世紀的なアプローチだといえる。今日、サイバー犯罪者が狙っているのは個人情報であり、攻撃対象となるのは顧客や従業員やパートナーが使用する、多岐にわたるオンライン取引 Web アプリケーションである。
Continue reading “金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大”Over 600 ICS Vulnerabilities Disclosed in First Half of 2021: Report
2021/08/19 SecurityWeek — 2021年の上半期において、ベンダー 76社の製品に影響をおよぼす、637件の ICS (Industrial Control System) 脆弱性が明らかになり、そのうち 70%以上が Critical または High の評価を受けている。それに対して、2020年下半期に公開された脆弱性は、449件に過ぎなかった。Claroty の分析によると、2021年上半期に開示されたセキュリティ・ホールにおいて、大部分は特別な条件を必要とせず、4分の3は特権を必要とせず、3分の2はユーザー操作を必要せずに悪用できるという。また、脆弱性の 61% はリモートで悪用でき、65% はサービス妨害 (DoS) 攻撃に利用できるとしており、IT システムに比べて大きな影響を与える可能性があるとしている。
Continue reading “産業制御システム (ICS) に 637件の脆弱性:2021年上半期のレポート”Adopting Zero-Trust for API Security
2021/08/18 SecurityBoulevard — ゼロトラスト・アーキテクチャは、データ/クラウド/アプリケーションなどの、ネットワーク・インフラ内におけるあらゆる資産に採用されてい。そして今、開発者の間では、ゼロトラストが API のセキュリティ・アプローチとして有効であるとの見方が広がっている。
Continue reading “ゼロトラストを API セキュリティに適用するには”Bitcoin mixer owner pleads guilty to laundering over $300 million
2021/08/18 BleepingComputer — Larry Dean Harmon は、Helix というダークウェブにおける暗号通貨ロンダリング・サービスのオーナーでり、2014年から2017年の間に $300 million 以上の Bitcoin ロンダリングした。司法省は、「Helix が AlphaBay / Evolution / Cloud 9 などを含む、複数のダークネット・マーケットと提携し、顧客の Bitcoin のマネーロンダリング・サービスを提供していたことを、Larry Dean Harmon が認めた。
Continue reading “3億ドルを Bitcoin Mixer でマネロンした罪で懲役 20年”Salesforce Communities Misconfig Puts Clients, Partners at Risk
2021/08/17 SecurityBoulevard — Varonis の研究者たちが発見した、Salesforce Communities のミス・コンフィグレーションとは、大切なデータをインターネットに公開してしまう可能性を持つものだ。Varonis のブログには、「匿名のユーザにより、顧客リストや、サポート・ケース、従業員の電子メール・アドレスなどの、機密情報を含むオブジェクトの照会が可能になる」と述べている。
Continue reading “Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす”2021/08/17 SCMP — 中国政府は、国内データの管理を強化するために、通信/エネルギー/輸送/金融/防衛の各分野における企業を、サイバー・セキュリティの観点から厳しく監視する特別な規則を定めた。火曜日に国務院が発表した、この新しい規則は、中国のサイバー・セキュリティ法に含まれていても、具体的な指針のない重要情報インフラの確保に関する、北京の考え方をより明確にしている。
Continue reading “中国政府が推進する新たなルールと重要情報インフラの保護”Attackers Can Weaponize Firewalls and Middleboxes for Amplified DDoS Attacks
2021/08/16 TheHackerNews — ミドルボックスや検閲インフラにおける TCP プロトコルの実装上の弱点は、反射型サービス拒否 (DoS) 攻撃を行うベクトルとして武器になることであり、しかも、これまでの UDP ベースの増幅要因を上回る可能性をもたらすことだ。メリーランド大学とコロラド大学ボルダー校の研究者グループが、USENIX Security Symposium で発表した Volumetric 攻撃は、ファイアウォールや、侵入防止システム、DPI (Deep Packet Inspection) ボックスなどの、TCP 非準拠ネットワーク・ミドルボックスを用いてトラフィックを増幅するものであり、数十万の IP アドレスで DNS / NTP / Memcached を上回る増幅率を実現する。
Continue reading “ファイアウォールやミドルボックスは DDoS の最終ウェポン?”Dozens of STARTTLS Related Flaws Found Affecting Popular Email Clients
2021/08/16 TheHackerNews — セキュリティ研究者たちは、メールのクライアントやサーバにおける、オポチュニスティックな暗号化メカニズムに関連する、40件もの脆弱性を公開した。これらの脆弱性は、侵入者によるメール・ボックス内容の偽造や、認証情報の窃取などを可能にする、標的型中間者 (man-in-the-middle: MitM) 攻撃の扉を開くかもしれない。今回パッチが適用された欠陥は、多様な STARTTLS の実装で確認されており、30th USENIX Security Symposium において、Damian Poddebniak、Fabian Ising、Hanno Böck、Sebastian Schinzel などの各研究者のグループが詳細を発表している。
Continue reading “有名どころメール・クライアントにも影響する STARTTLS の脆弱性とは?”
IoT OT Security News 
You must be logged in to post a comment.