ParadigmShift – IoT OT Security News

AiTM フィッシング・キットを提供する DEV-1101：Microsoft を装う大規模キャンペーンに御用心

DEV-1101 AiTM phishing kit is fueling large-scale phishing campaigns

2023/03/14 SecurityAffairs — Adversary-in-the-middle (AiTM) フィッシング・キットは、サイバー犯罪のエコシステムにおける多数の脅威アクターたちが、フィッシング攻撃を仕掛ける際に用いる必須の技術になり始めてきた。AiTM フィッシングは、リバース・プロキシ機能により、脅威アクターたちに多要素認証 (MFA) 回避術を提供する。

NordVPN の Meshnet が無償で開放：誰もが簡単にプライベート・トンネルを作れる時代に

NordVPN makes its Meshnet private tunnel free for everyone

2023/03/13 BleepingComputer — NordVPN を契約していないユーザーであっても、プライベート・トンネル機能 Meshnet の Windows／macOS／Linux バージョンを、無料で利用できるようになった。2022年6月に NordVPN が、Meshnet の提供を開始したときは有償版だった。この製品を使えば、ネットワーク・トラフィックを受け渡すための、信頼できるデバイス間でのプライベートな暗号化トンネルが作成され、本質的に自分自身の VPN (仮想プライベート・ネットワーク) サーバが得られる。

ChatGPT に企業データを投げ込むという行為：潜在的なリスクについて考えよう

The risk of pasting confidential company data into ChatGPT

2023/03/13 SecurityAffairs — Cyberhaven Labs の研究者たちが、各企業で働く 160万人の従業員による ChatGPT の利用状況を分析した。その結果として、発売以来人気のチャットボット・モデルを、彼らの 5.6％が職場で使用し、4.9％が企業データを提供していることが判明した。この種のデータを用いて、ChatGPT のナレッジベースは構築され、さらに、構築された情報は一般に公開されていく。

Xenomorph は最凶のバンキング・トロイの木馬：侵入後の不正送金まで自動化している！　

Latest version of Xenomorph Android malware targets 400 banks

2023/03/10 SecurityAffairs — Android マルウェアである Xenomorph の作者 Hadoken Security Group は、悪意のあるコードを改良し続けている。ThreatFabric の研究者たちが Xenomorph マルウェアを発見した 2022年2月の時点で、Google Play ストア経由での配布が行われ、すでに５万以上のインストールに達していたという。このバンキング・トロイの木馬は、欧州の 56 の銀行を標的とし、顧客のデバイスから機密情報を盗み出すために使用されていた。そのコードの分析により、未実装の機能が存在すること、そして、大量のログが存在することが明らかになり、この脅威の活性化が示唆されている。

MFA の限界を知ろう：Active Directory との相性の悪さについて深堀りする

When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About

2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。

Google One の新機能：VPN アクセス／Dark Web レポートでセキュリティを強化

Google One expands security features to all plans with dark web report, VPN access

2023/03/08 HelpNetSecurity — Google One に、２つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。

Microsoft OneNote ファイルによるマルウェア感染：防止のための手順を詳述する

How to prevent Microsoft OneNote files from infecting Windows with malware

2023/03/05 bleepingComputer — 一見何の変哲もない Microsoft OneNote ファイルが、マルウェアの拡散／企業ネットワークへの侵入で悪用される、ハッカーたちの人気のファイル形式になっている。ここでは、OneNote のフィッシング添付ファイルが、Windows に感染するのをブロックする方法を紹介していく。Microsoft OneNote ファイルが、マルウェアをばらまくフィッシング攻撃のツールとして選ばれるようになった背景を、少し説明する必要があるだろう。まずは、ここに至るまでの経緯を説明する。

Brave Search が Summarizer を搭載：検索結果を AI で処理／表示するサービスを開始

Brave Search launches AI-powered summarizer in search results

2023/03/03 BleepingComputer — ユーザーが入力した質問に対して、要約された回答を検索結果よりも優先して提供する、新しい AI 搭載のツール Summarizer が、Brave Search に導入された。Brave Search は、ユーザーを追跡することなく匿名で Web 検索ができる、急成長中のプライバシー重視のインターネット検索エンジンである。いま、検索機能に AI 革命が起こっている。すでに Microsoft は、ChatGPT のアップグレード版を Bing 検索エンジンに組み込み、近い将来には Google も、Bard という独自の AI モデルで同様の機能を実装する予定だという。

Web Browser Security Report 2023：ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理／非管理デバイスで使用され、Web ブサイト／SaaS アプリケーション／社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した。

CISA の Decider というツール：観測された脅威の結果と MITRE ATT&CK をマッピング

CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping

2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定／追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見／出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。

GitHub のシークレット・スキャン・アラートが正式運用：誰もが犯す間違いを自動的にチェック

GitHub’s secret scanning alerts now available for all public repos

2023/03/01 BleepingComputer — GitHub が発表したのは、すべての公開リポジトリにおいて、シークレット・スキャン・アラート・サービスが利用できるようになり、公開履歴全体にわたって流出したシークレットを検出できるようになったことだ。このシークレットとは、GitHub のリポジトリに誤って追加された APIキー／アカウントパスワード／認証トークンなどの機密データであり、攻撃者によるセキュリティ侵害や非公開データへのアクセスなどへといたる可能を生じるものだ。

SaaS 内の資産は混乱している：3rd／4th パーティとの共有状況を定量化する

Public SaaS Assets Are a Major Risk For Medium, Large Firms

2023/03/01 InfoSecurity — 中堅企業の 81％および大手企業の 78％が、Google Drive/Workspace に暗号化ファイルを保存している。また、61% の組織には、会社が所有の資産を個人のメールで共有する従業員がいる。この調査結果は、DoControl の最新レポート Software-as-a-Service (SaaS) Security Threat Landscape から得られたものであり、機密資産の人手による追跡が、これまで想像されていた以上に複雑になる可能性を示唆している。

SaaS-to-SaaS 接続のリスク：人々の認識よりも遥かに根深い問題とは？

Shocking Findings from the 2023 Third-Party App Access Report

2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取／更新／作成／削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。

メール・フィルターを解剖する：自社に適した機能を選ぶために知っておくべきこと

How do mail filters work?

2023/02/20 TripWire — サイバー攻撃から組織を守るために、メール・フィルターは大きな役割を担っている。そのタスクは、きわめて小さいものだが、大量かつ悪質なフィッシング・メールやスパム・メールが、ユーザーの受信トレイに配信される前に抑止することは、組織の防御能力にとって極めて重要なことだ。IBM X-Force Threat Intelligence Index によると、製造業における攻撃の 40% はフィッシング攻撃であり、従業員の３人に１人がフィッシング詐欺に騙されるだろうと言われている。

ChatGPT とセキュリティの関係：ポジティブ？ネガティブ？判断は時期尚早？

ChatGPT Subs In as Security Analyst, Hallucinates Only Occasionally

2023/02/16 DarkReading — 今週に発表された調査結果によると、人気の Large Language Model (LLM) である ChatGPT は、その AI モデルが特定のアクティビティのために訓練されていなくても、潜在的なセキュリティ・インシデントのトリアージや、コード内のセキュリティ脆弱性を見つける防御者にとって、有益であると示唆される。

GitHub CoPilot への評価：AI モデルのトレーニングに開発者を利用して良いのか？

GitHub Copilot update stops AI model from revealing secrets

2023/02/15 BleepingComputer — GitHub の発表は、Visual Studio 上でソースコードや関数のレコメンドをリアルタイムに生成する、プログラミング・アシスタント Copilot の AI モデルを更新し、より安全で強力になったというものだ。今週からユーザーに展開される新しい AI モデルは、より質の高い提案を短時間で提供し、受け入れ率を高めることで、ソフトウェア開発者の効率をさらに向上させるという。

サイバー・セキュリティの意思決定：約８割の企業は攻撃者を把握していないが？

Majority of Firms Make Cybersecurity Decisions Without Attacker Insight

2023/02/13 infoSecurity — ５社中の４社 (79％) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67％が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68％は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。

エンドポイント・セキュリティは容易：残された問題はツール統合における混乱

Endpoint security getting easier, but most organizations lack tool consolidation

2023/02/10 HelpNetSecurity — Syxsense によると、IT とセキュリティのチームは、管理機能とセキュリティ機能の統合を進めているという。その背景にある目的は、エンドユーザーに対する新しいアプリケーションの適切な提供／コンプライアンスの改善／エンドポイント・セキュリティと管理チームの連携によるサイバー攻撃の低減などの達成である。

NIST が選んだ IoT デバイス向けの軽量暗号 ASCON：伝送中のデータの保護が目的

NIST chooses encryption algorithms for lightweight IoT devices

2023/02/09 HelpNetSecurity — 米国の National Institute of Standards and Technology (NIST) が発表したのは、IoT デバイス (エンベッド型医療機器／キーレスエントリー／スマートホームなど) が生成するデータを保護するための、軽量認証暗号化およびハッシュ・アルゴリズムに付けられた ASCON というグループ名である。ASCON のラベルの下には、７種類アルゴリズムが集められているが、今年の後半に NIST が発表するとしている、最終的な成果に含まれないものもある。

Microsoft の AI Chat：Bing と Edge を強化する OpenAI 言語モデルとは？

Microsoft launches new AI chat-powered Bing and Edge browser

2023/02/07 BleepingComputer — 火曜日に Microsoft は、ChatGPT よりもパワフルであり、Web 検索用に訓練された次世代 OpenAI 言語モデルを搭載する、Bing 検索エンジンの新バージョンを発表した。Microsoft の CEO である Satya Nadella は、「AI は、すべてのソフトウェア・カテゴリを根本的に変革するが、その中でも最たるカテゴリは検索であり、そこから始まる。今日、私たちは、AI 操作とチャットを搭載した Bing と Edge を発表し、人々が検索と Web から、より多くのものが得られる」と、今日のプレスイベントで述べている。

ChatGPT に関する調査：IT リーダーの 51% がサイバー攻撃の中核になると回答

IT Leaders Reveal Cyber Fears Around ChatGPT

2023/02/03 InfoSecurity — BlackBerry の最新調査によると、ChatGPT が１年以内にサイバー攻撃の中核として成功すると、セキュリティ・リーダーたちの過半数 (51%) が予想していることが明らかになった。この、北米／英国／オーストラリアの IT 意思決定者 1500人を対象にした調査では、すでに ChatGPT が他国への悪意の目的で使用されている可能性が高いと、71% が推定していることも判明した。ChatGPT とは OpenAI が開発した人工知能 (AI) 言語モデルをチャットボット形式で展開し、ユーザーの質問に対して迅速かつ詳細な回答を提供するものであり、2022年末に製品化されている。

SaaS Shadow IT をゼロにしたい：非侵入型ディスカバリー・ツールの無償版とは？

Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge

2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。

ChatGPT でセキュリティを強化：2023年を変えていく３つの視点とは？

3 Ways ChatGPT Will Change Infosec in 2023

2023/01/28 DarkReading — 2022年11月30日に OpenAI が、ChatGPT をテスト用に公開した直後から、世界中に嵐を巻き起こった。AI や ML の「革新」に満足できなかった業界にとって、この反応は非常に重要なものだった。情報セキュリティにとって AI が、まさに革命的なものであることが、ようやく明らかになった瞬間だと、私は捉えているが、その可能性に期待してきた多くの人々も同様だと思う。

クラウドストレージ調査：52% のユーザー企業で前年度の予算を上回る支出

50% of organizations exceed their budgeted spend on cloud storage

2023/01/27 HelpNetSecurity — Wasabi が明らかにしたのは、ユーザー企業はクラウド・ストレージに全力を注いでおり、2024年にはパブリック・クラウドの平均保存容量が、ストレージ全体の 43% に達すると予想されており、大多数 (84%) の企業が、その実現に向けて予算を増やしていることだ。この調査の目的は、パブリック・クラウド・ストレージ導入に対する考え方の変化と、ストレージ購入の意思決定に影響を与える要因を明らかにし、予算／ユースケース／セキュリティ／クラウドデータ移行における最優先事項を明らかにすることだ。

OSS の需要が継続して増大：ユーザー企業の 80% が深刻な “人材問題” を抱える

Open source skills continue to be in high demand

2023/01/27 HelpNetSecurity — Perforce Software と Open Source Initiative によると、これまでの 12ヶ月間において 80% の組織が、オープンソース・ソフトウェアの利用を増やしている。例を挙げると、データベース管理／コンテナ・オーケストレーション／DevOps／SDLC ツールといった、幅広いビジネス・クリティカルなアプリケーションで、５社のうち４社が OSS への依存度を高めている。しかし、このレポートでは、いくつかの障害が残っていることも明らかにされた。調査対象となった全テクノロジー・カテゴリーで、専門知識を持つ人材の不足が、最大の課題の１つとして挙げられている。

Web ブラウザのセキュリティ：体系化された５本の柱で分解／整理してみよう

The Definitive Browser Security Checklist

2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理／保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント／ネットワーク／クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。

ChatGPT がもたらす変化：Social エンジニアリングから Prompt エンジニアリングへ

Malicious Prompt Engineering With ChatGPT

2023/01/25 SecurityWeek — 2022年末に、誰もが OpenAI の ChatGPT を利用できるようになったことで、AI の可能性が良くも悪くも実証された。ChatGPT は、大規模な AI ベースの自然言語生成器であり、LLM (Large Language Model) と呼ばれるものである。そして、プロンプト・エンジニアリングという概念を、一般に知らしめたものでもある。ChatGPT は、2022年11月に OpenAI がリリースしたチャットボットであり、OpenAI の LLM である GPT-3 ファミリーの上に構築されている。

ダークウェブの監視が重要：Verizon DBI が示すインサイダー・リスク軽減のヒントとは？

Hunting Insider Threats on the Dark Web

2023/01/24 DarkReading — インサイダーによる脅威は、深刻な問題であり、拡大している問題でもある。最近の Verizon の調査によると、悪意の従業員がインシデントの 20% に関連しており、内部関係者が関与する攻撃は外部関係者によるが攻撃の 10倍ほどになる。また、ProofPoint のデータによると、パンデミックによるリモートワークでリスクが高まり、過去２年間においてはインサイダーによる攻撃の増加が示されている。

ChatGPT が明らかにした問題点： AI を騙して悪用するのは簡単だ

Learning to Lie: AI Tools Adept at Creating Disinformation

2023/01/24 SecurityWeek — 人工知能は小説を書き、ゴッホにインスパイアされた画像を作り、山火事の消火活動を支援するにまでいたった。そして今、人工知能は、かつて人間に限られていた活動において、つまりプロパガンダや偽情報の作成において競争を始めた。オンライン AI チャットボット ChatGPT に、広く否定されている主張 (たとえば COVID-19 ワクチンは危険だという主張) を支持する、ブログ記事／ニュース記事／エッセイを作成するよう、研究者たちは依頼してみた。すると、このサイトは応じることがあり、オンライン・コンテンツのモデレーターを長年にわたり悩ませてきた、同様の主張と見分けがつかないほどの出来栄えで、それらを作文したという。

SBOM の品質をチェック：米政府基準の最小限要素を満たすものは１％に過ぎない

Chainguard Trains Spotlight on SBOM Quality Problem

2023/01/19 SecurityWeek — ソフトウェア部品表で品質を管理しているソフトウェア・エンジニアが、驚くべき発見をした。現時点で作成されている SBOM のうち、米国政府が定義した「最小限の要素」を満たしているものは、わずか 1% に過ぎないというのだ。ソフトウェア・サプライチェーン・セキュリティの企業である Chainguard の新しいデータによると、既存のツールで生成された SBOM は、ソフトウェアの脆弱性／ライセンス／在庫の追跡を管理するために、SBOM 内で定義されている必要最小限のデータフィールドを満たしていないことが判明した。

ChatGPT でマルウェア開発：継続的な変異により捕捉／検出が困難になる

ChatGPT Creates Polymorphic Malware

2023/01/18 InfoSecurity — CyberArk のサイバー・セキュリティ研究者が、OpenAI の ChatGPT とテキストベースの対話を行い、新たな多形態マルウェア (Polymorphic Malware) を作成したと報告している。先日に同社が InfoSecurity と共有した技術文書によると、ChatGPT を用いて作成されたマルウェアは、「攻撃者による努力や投資を大幅に抑制した上で、簡単にセキュリティ製品を回避し、緩和を面倒なものにする」ことが可能だという。

GitHub Codespaces の悪用方法が判明：新たな侵害ベクターからマルウェアを配布

Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware

2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ／メンテナンス／変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト／デバッグを行うことも可能だ。

CircleCI／LastPass／Okta／Slack が狙われる：サプライチェーン攻防の要は ID 管理と開発環境だ

CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools

2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、１月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存／管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定／ソフトウェア改ざんの抑制／開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション／コンフィグレーションの変更／他のプロバイダーとの連携によるキーの失効／インシデント調査などを、同社は進めてきた。

ChatGPT の悪用が始まる：人工知能の倫理をバイパスするロシアのハッカーたち

Russian Hackers Try to Bypass ChatGPT’s Restrictions For Malicious Purposes

2023/01/13 InfoSecurity — ロシアのサイバー犯罪者たちが、OpenAI の API 制限をバイパスして ChatGPT チャットボットにアクセスし、不正なアクションを試みる様子が、ダークウェブ・フォーラムで確認されている。ある脅威アクターたちは、OpenAI の無料アカウント制限を回避するために、アップグレード・ユーザーとして支払いに盗んだカードを使用する方法を議論していた。また、OpenAI の地理的なコントロールを回避する方法についてブログを投稿した者や、半合法的なオンライン SMS サービスを使って ChatGPT に登録するチュートリアルを作成した者もいる。

GitHub に追加された脆弱性スキャン：1.2k のリポジトリで２万件の脆弱性を発見

GitHub makes it easier to scan your code for vulnerabilities

2023/01/09 BleepingComputer — GitHub が新たに導入したオプションは、”default setup” と呼ばれるリポジトリのコード・スキャンを設定するものであり、開発者が数回クリックするだけで自動的にコードがスキャンされるという。GitHub のコード・スキャンを支える CodeQL コード解析エンジンは、多くの言語とコンパイラをサポートしているが、この新しいオプションは Python／JavaScript／Rubyのリポジトリに対してのみ表示される。Product Marketing Manager である Walker Chabbott によると、GitHub は今後６ヶ月間において、より多くの言語へのサポート拡大に取り組んでいくとのことだ。

ChatGPT という人工知能：フィッシング／BEC／マルウェア開発に利用できる？

ChatGPT Artificial Intelligence: An Upcoming Cybersecurity Threat?

2023/01/06 DarkReading — 人工知能 (AI) に秘められる可能性は、サイバー・セキュリティへの取り組み方を含めて、私たちの生活の多くの側面に革命をもたらす。しかし、それは、慎重に管理する必要がある、新たなリスクと課題も提示している。AI をサイバー・セキュリティに活用する方法の１つは、サイバー脅威を検知して対応できる、インテリジェントなシステムの開発を通じてとなる。これは、ある AI チャット・ボットからの返答であり、私が AI とサイバー脅威について書いてほしいと頼んだときのものだ。もうお分かりだと思うが、この世で一番人気の ChatGPT である。

GitHub の 2FA 義務化：2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Google が OSV-Scanner を公開：OSS の脆弱性を網羅する分散型データベース

Google Launches Largest Distributed Database of Open Source Vulnerabilities

2022/12/13 TheHackerNews — 12月13日に Google は、さまざまなプロジェクトの脆弱性情報に簡単にアクセスするためのスキャナ OSV-Scanner の、オープンソース提供を発表した。Google のソフトウェア・エンジニアである Rex Pan は、「この Go ベースのツールは、Open Source Vulnerabilities (OSV) データベースを利用しており、プロジェクトの依存関係リストと、それに影響を与える脆弱性を結びつけるよう設計されている」と、The Hacker News に共有した投稿で述べている。

Chrome での Passkeys サポート開始：Android／iOS デバイスの生体認証を活用

Google Adds Passkey Support to Chrome for Windows, macOS and Android

2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。

Cloudflare の Zero Trust：ジャーナリスト／活動家／人道支援団体などに無償提供

Cloudflare’s Zero Trust suite now available for free to at-risk groups

2022/12/12 BleepingComputer — Cloudflare は、Project Galileo と Athenian Project に参加している、公益団体／選挙サイト／各州機関に対して、同社の Cloudflare One Zero Trust セキュリティ・スイートを無償で提供すると発表した。それにより、ジャーナリスト／活動家／人道支援団体／マイノリティ・グループ／州選挙サービスなどに対して、企業レベルのサイバー・セキュリティ・サービスを無償で提供されることになる。

Google の進化する機械学習：Android の PCC 機能によりプライバシーを保護

Google: How Android’s Private Compute Core protects your data

2022/12/08 BleepingComputer — Google は、Android 上のPrivate Compute Core (PCC) 機能のフローと、保護されたデバイス上でローカルに処理される機密ユーザー・データの保持について、より詳細な技術情報を開示した。Android 12で導入されたPCC は、GPS／センサー／マイク／カメラ／スクリーンからのデータを保存／処理し、ユーザーに機械学習機能を提供する、オペレーティング・システム内の安全で分離された信頼できる環境である。

Black Hat 2022：自社育成の Machine Learning で SOC の手法を転換

SOC Turns to Homegrown Machine Learning to Catch Cyber-Intruders

2022/12/03 DarkReading — フランスの銀行に所属する情報セキュリティ・チームが、ログデータを学習させた自社開発の機械学習モデルを用いて、ルールベースのセキュリティ・アプライアンスでは捕捉できなかった。３種類の新しいデータ流出パターンを検出できることを発見した。

CVE 管理は主要な戦略ではない：攻撃者が用いる手口に注目すべきだ

Why CVE Management as a Primary Strategy Doesn’t Work

2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。

CISA が SSVC を公開：パッチの優先順位とディシジョン・ツリー・モデル

CISA Releases Decision Tree Model to Help Companies Prioritize Vulnerability Patching

2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。

CISA の MFA ガイダンス：Number Matching 実装でフィッシングに対抗

CISA Urges Organizations to Implement Phishing-Resistant MFA

2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、２つ以上の異なる認証手段の組み合わせを要求するものだ。

MFA の未来：パスワードレス・ライクとフル・パスワードレスの違いは？

The future of MFA is passwordless

2022/10/19 HelpNetSecurity — Secret Double Octopus と Dimensional Research の両者は、従業員 1,000人以上の組織において従業員の ID とセキュリティを担当する300人以上の IT 専門家を対象に、従業員のパスワードレス認証と多要素認証 (MFA) の使用状況について調査を実施した。

CISA が RedEye をリリース：C2 ログの可視化や Cobalt Strike 追跡などに対応

CISA releases open-source ‘RedEye’ C2 log visualization tool

2022/10/14 BleepingComputer — 米国の Cybersecurity and Infrastructure Security (CISA) は、Command and Control (C2) アクティビティ可視化し報告するオペレーター向けに、オープンソースの分析ツール RedEye を発表した。この RedEye は、レッドチームとブルーチームの双方に対応し、実用的な意思決定につながるデータを、簡単に測定する方法を提供する。

Microsoft Office 365 の OME に問題：暗号化されたデータ・パターンの結合による情報漏えい

Weakness in Microsoft Office 365 Message Encryption could expose email contents

2022/10/14 HelpNetSecurity — Microsoft Office 365 Message Encryption (OME) に存在するセキュリティ上の弱点と、悪用に成功した攻撃者が機密情報を不正に取得する可能性について、WithSecure の研究者たちがユーザー組織に対して警告を発している。暗号化された電子メールを、社内外に送信するために組織的に使用される OME は、Electronic Codebook (ECB) 実装を利用しており、ある動作モードでは、メッセージに関する特定の構造情報の漏えいが生じる。

Microsoft が Security Update Guide を RSS フィードで提供：最新のセキュリティ・リスクを共有

Microsoft adds new RSS feed for security update notifications

2022/10/12 BleepingComputer — Microsoft は、Security Update Guide の RSS フィードを通じて、新しいセキュリティ更新プログラムに関する通知を可能にした。したがって、Microsoft が自社製品のセキュリティ脆弱性を修正した場合には、その詳細が Security Update Guide (SUG) で公開されることになる。現状において、Microsoft は月に２回、新しい脆弱性を開示しているが、その大部分は毎月の Patch Tuesday と Microsoft Edge の脆弱性を修正するときだ。

Google が展開する Passkey：Android／Chrome でパスワードレス認証をサポート

Google Rolling Out Passkey Passwordless Login Support to Android and Chrome

2022/10/12 TheHackerNews — 水曜日に Google は、次世代認証規格である Passkeys のサポートを、Android と Chrome に対して正式に展開した。Google は、「Passkeys は、フィッシングに狙われやすいパスワードなどの認証要素に代わる、より安全性の高い認証手段である。再利用できず、サーバーの侵入で漏れることもなく、フィッシング攻撃からユーザーを保護する」と述べている。この機能は、共通のパスワードレス・サインイン規格をサポートするための、広範なプッシュ規格の一部として、2022年5月に発表されたものだ。