ParadigmShift – Page 4 – IoT OT Security News

Black Hat 2021：Microsoft Exchange 問題の新たな観点

‘A whole new attack surface’ – Researcher Orange Tsai documents ProxyLogon exploits against Microsoft Exchange Server

2021/08/06 DailySwig — Black Hat USA 2021 において、ハッキング・マエストロである Orange Tsai は、Microsoft Exchange の脆弱性に関する待望の技術情報を公開した。2021年1月に Tsai が発見した認証前のリモートコード実行 (RCE : remote code execution) の欠陥は、Microsoft Exchange 史上で最も深刻な脆弱性かもしれないと、彼はリモート講演で語っていた。この欠陥は、３月にパッチが適用されたが、悪用されると世界の何十万ものエンタープライズ・メッセージング・サーバーがハッキングされるという、きわめて深刻なゼロデイ欠陥の１つだった。このバグを深く掘り下げた後に Tsai は、ProxyLogon は単一のバグではなく、研究者が新しい脆弱性を発見するために役立つ、まったく新しい攻撃対象領域であることに気づいた。

CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う

CISA teams up with Microsoft, Google, Amazon to fight ransomware

2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。

API セキュリティのためのベスト・プラクティスを策定する

Developing Best Practices for API Security

2021/08/03 SecurityBoulevard — デジタル・トランスフォーメーションの全体的な成功において、API は欠かせないものだ。API を利用することで、デジタル資産や複数のシステムの開発が容易になる。Google のレポートによると、より多くの組織が API イニシアチブを採用し、API ファーストの姿勢でデジタル・トランスフォーメーションに取り組んでいる。このレポートによると、「58％は、上位の API イニシアチブにより、新規のアプリケーション開発のスピードを向上させる。

Microsoft Azure WAF のボット防止機能がスタート

Bot protection now generally available in Azure Web Application Firewall

2021/08/01 BleepingComputer — Microsoft は、WAF (Web Application Firewall) のボット防止機能が、今週から Azure Application Gateway で提供開始されたと発表した。Azure WAF (Web Application Firewall) は、ボット攻撃やエクスプロイトのほか、クロスサイト・スクリプティング、SQL インジェクション、不正な認証、セキュリティの誤設定などの、一般的な Web の脆弱性から Web アプリケーションを保護するためにデザインされた、クラウド・ネイティブ・サービスである。Azure WAF は、Microsoft の Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) などのサービスを利用することで、ワンクリックで数分以内に導入が可能だ。

AMaaS ＞IDaaS：クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか？

Attackers’ Use of Uncommon Programming Languages Continues to Grow

2021/07/27 DarkReading — BlackBerry の研究者によると、Go / Rust / Nim / DLang などの一般的ではないプログラミング言語が、セキュリティ防御を回避することや、開発プロセスの弱点を突くことを目的とする、マルウェア作者たちの間で人気を集めているとのことだ。この研究チームが、これら４つの言語を選んだ理由は、悪意の目的で使用されるケースが増加していることや、これらの言語を使用するマルウェア・ファミリーの数が増加していることに注目したからだ。

ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する

Hiding Malware inside a model of a neural network

2021/07/26 SecurityAffairs — ３人の研究者、Zhi Wang と Chaoge Liu と Xiang Cui は、ニューラル・ネットワーク・モデルを介してマルウェアを配信し、ネットワークの性能に影響を与えることなく、また、検出を回避するテクノロジーを発表した。178MB の AlexNet モデルに 36.9MB のマルウェアを、１%以内の精度で埋め込むことに成功し、アンチ・ウイルス・エンジンに対して完全な透過性を持つ、脅威が可能になるという。この専門家たちは、人工知能の大規模な導入に伴い、マルウェアの作者はニューラル・ネットワークの悪用に関心を持つようになると考えている。

Microsoft Defender ATP によりプリンターと外部ストレージの運用が安全になる

Microsoft Defender ATP now secures removable storage, printers

2021/07/26 BleepingComputer — COVID-19 パンデミックに伴い、リモート・ワーカーが増大している。そして、彼らの家庭用のプリンターとリムーバブル・デバイスが、企業のデータと日常業務につながることで、サイバー攻撃の対象となる領域が拡大している。このようなセキュリティ・リスクの増大に対応するため、Microsoft は、Windows 10 Defender アンチ・ウイルスのエンタープライズ版である Microsoft Defender for Endpoint に、リムーバブル・ストレージとプリンターを制御するための機能を新たに追加した。

覚醒必須：API の脆弱性を先回りして特定する

Wake up! Identify API Vulnerabilities Proactively, From Production Back to Code

2021/07/23 TheHackerNews — 20年以上の歳月を経て、ようやく公知となった言葉は APIs are everywhere だ。2021年の調査では、すでに 73％の企業が、50個以上の API を公開していると回答し、この数は常に増え続けている。いまや API は、ほぼ全ての業界で重要な役割を担っており、ビジネス戦略の最前線において、その重要性は着実に増している。これは驚くことではない。API は、異なるアプリケーションやデバイスをシームレスにつなぎ、これまでにないビジネスの相乗効果や効率化をもたらすからだ。しかし、他のソフトウェア・コンポーネントと同様に、API にも脆弱性がある。さらに、セキュリティの観点から厳密にテストされなければ、新たな攻撃の対象となり、これまでにないリスクに晒されることになる。とは言え、API の脆弱性の発見を待ってから、プロダクション環境に移行するとなると、大幅なビジネス上の遅延が発生する。

Google Chrome のフィッシング検出が 50倍も高速化された

Google Chrome now comes with up to 50x faster phishing detection

2021/07/21 BleepingComputer — 火曜日に Stable Channel へと移行した Google Chrome 92 では、フィッシング・サイトの検出が最大で50倍まで高速化された。フィッシング・サイトの検出速度の向上は、Chrome の画像処理技術の改善によるものであり、訪れた Web サイトのカラー・プロファイルを、Phishing Landing Page に関連するシグナルのコレクションと比較している。

OWASP Top 10 脆弱性に対抗するための Top 10 Tips とは？

Top 10 Tips to Protect Against OWASP Top 10 Vulnerabilities

2021/07/20 SecurityBoulevard — OWASP (Open Web Application Security Project) Top 10 脆弱性は、Web アプリケーションにおいて最も頻繁に生じるセキュリティ脆弱性 10 項目のリストである。このリストは３～４年ごとに更新され、前回の更新は2017年となっている。最新の 2020年版リストで取り上げられている脆弱性は、以下の通りである。

・インジェクション
・破壊された認証
・機密データの露出
・XML External Entities (XXE)
・アクセス・コントロールの失敗
・セキュリティ設定ミス
・クロス・サイト・スクリプティング(XSS)
・安全でないデシリアライゼーション
・脆弱性が指摘されているコンポーネントの使用
・不十分なロギングとモニタリング

AI / ML はサイバー・セキュリティにとって諸刃の刃

7 Ways AI and ML Are Helping and Hurting Cybersecurity

2021/07/19 DarkReading — 人工知能 (AI: Artificial Intelligence) と機械学習 (ML: Machine Learning) は、いまでは日常生活の一部となっており、それにはサイバー・セキュリティへの応用も含まれる。適切な人の手にかかれば、AI/ML により脆弱性を特定し、インシデントへの対応時間を短縮することが可能だ。しかし、サイバー犯罪者の手にかかれば、大きな被害を生み出す可能性もある。ここでは、AI/ML がサイバー・セキュリティに与える、７つのポジティブな影響と、７つのネガティブな影響を紹介していく。

脅威モデリングを自動化する時代へと突入する？

Threat Modeling in the Age of Automation

2021/07/16 SecurityBoulevard — サイバー・セキュリティの脅威は急速に増加しており、アプリケーションを構築する企業は、将来の攻撃に耐えるためのコアとなる脅威モデルを含めて、予防原則に基づくセキュリティ対策を検討するようになってきた。しかし、Security Compass の最近の調査によると、ソフトウェア開発の初期段階 (要件の収集／設計) において、脅威モデルを取り入れている企業はわずか 25% だった。さらに、開発したアプリケーションの 90％以上において、脅威モデルを取り入れていると回答した企業は 10％未満であり、脅威モデルの自動化や統合において半数以上の企業が課題を抱えていることが分かった。

オンプレミスとクラウドの ID を効果的にブリッジするには

How to Bridge On-Premises and Cloud Identity

2021/07/15 DarkReading — 組織が管理すべき ID の数は膨大であり、気が遠くなるほどだ。場合によっては、何十万／何百万もの人々／デバイスが存在することもある。歴史的にみるとは、これらの ID は、ビジネスアプリケーションや、レガシーの ID インフラストラクチャ、そして特定のデータセンターにハードコードされた、いくつかの内部 ID サイロに分散していた。

Zerodium ゼロデイ・ブローカーが VMware vCenter の RCE 脆弱性を募集している

Exploit broker Zerodium is looking for VMware vCenter Server exploits

2021/07/15 SecurityAffairs — ゼロデイ・エクスプロイト・ブローカーである Zerodium が、VMware vCenter Server のゼロデイ・エクスプロイトを募集していることを発表した。vCenter Server は、VMware の集中管理ユーティリティであり、仮想マシン／ESXi ホストと、それらに依存するコンポーネントを、単一の集中管理理ケーションから管理するために使用される。

ペンテストを頑張っても同じ脆弱性が再発するのは何故だろう？

Despite Pen Testing Efforts, Stubborn Vulnerabilities Persist

2021/07/14 SecurityBoulevard — エンタープライズ・ソフトウェアの脆弱性対策に携わるセキュリティ専門家にとって、同じ種類の脆弱性に対してパッチや緩和策を繰り返すのは、まるで「聖濁節」のように思えることがある。クラウドソースのペネトレーション・テストを提供する、Cobalt が発表したレポートによると、この既視感は決して気のせいではないようだ。Cobalt のデータベースによると、ソフトウェアの脆弱性の中で最も一般的な５つのカテゴリーは、この３年間に渡ってほぼ同じであることが分かった。

Amazon の Ring がビデオの End-to-End 暗号化を開始

Amazon starts rolling out Ring end-to-end encryption globally

2021/07/14 BleepingComputer — Amazon 傘下の Ring は、ビデオの End-to-End Encryption (E2EE) のグローバルを、限定したデバイスを持つ顧客に向けて開始すると発表した。それに先立ち、2021年1月13日に Ring は、米国の顧客向けに E2EE テクニカル・プレビューをリリースすると発表している。Ring の説明によると「本日、テクニカル・プレビューから移行し、この機能の提供をグローバルに拡大できることを、喜んで発表する。Ring はデフォルトで、顧客の動画がクラウドにアップロードされた時（転送時）と、Ring のサーバーに保存された時（静止時）に、動画を暗号化している。

Microsoft 365 の新機能による侵害されたオンプレ AD アカウントのロックの実現

Microsoft 365 to let SecOps lock hacked Active Directory accounts

2021/07/06 BleepingComputer — Microsoft が、Defender for Identity のアップデートを行い、侵害されたユーザーのActive Directory アカウントをロックすることで、SecOps (security operations) チームによる攻撃のブロックが可能となる模様だ。Microsoft Defender for Identity (旧Azure ATP：Azure Advanced Threat Protection ) は、オンプレミスの Active Directory のシグナルを活用することで、登録されている組織を標的とした、高度な脅威や、漏洩したID、悪意のインサイダー活動などを検知／分析するクラウド・セキュリティ・サービスだ。

Google Scorecards は OSS のセキュリティリスクをスキャンする

New Google Scorecards Tool Scans Open-Source Software for More Security Risks

2021/07/02 TheHackerNews — Google がオープンソースとして主導する、リスクスコアを自動作成すセキュリティ・ツール Scorecards がアップデートされた。このバージョンでは、チェック機能が改善され、生成されたデータの分析機能が強化されている。この木曜日に Google の Open Source Security Team は、「今日、多くのソフトウェアがオープンソース・プロジェクトに依存しているため、依存関係が安全かどうかを判断するための、簡単な方法が必要とされている。

GitHub がリリースする Copilot は AI 搭載のコード・コンプリーション・ツール？

GitHub Launches ‘Copilot’ — AI-Powered Code Completion Tool

2021/06/30 TheHackerNews — 火曜日に GitHub がテクニカル・プレビューを開始した、AI 搭載の新たな Pair Programming Tool は、Python / JavaScript / TypeScript / Ruby / Go などでプログラミングする際に、ソフトウェア開発者がより良いコードを書けるようにすることを目的としている。この Copilot という名のツールは、OpenAI と共同で開発されたコード・シンセサイザーであり、Codex という新たな AI システムを活用している。

CISA がリリースしたランサムウェア自己監査ツールとは？

CISA releases new ransomware self-assessment security audit tool

2021/06/30 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cyber Security Evaluation Tool (CSET) の新モジュールである Ransomware Readiness Assessment (RRA) を公開した。RRA は、IT / OT / ICS の各資産を標的としたランサムウェア攻撃に対する、防御と復旧の能力を把握するために提供される、セキュリティ監査用自己評価ツールである。

MITRE の ATT&CK Framework に加わった D3FEND というキュリティ技術とは？

MITRE adds D3FEND defensive cybersecurity techniques to ATT&CK Framework

2021/06/23 SecurityAffairs — D3FEND は、MITRE Corporation が推進する新しいプロジェクトであり、ATT&CK フレームワークにサイバー・セキュリティ対策の、ナレッジ・グラフを追加することを目的としている。このプロジェクトは、今週に National Security Agency (NSA) が発表したものであり、脅威アクターが使用する技術に対して、防御的なサイバー・セキュリティ対策を記述するための、標準的なアプローチを提案している。

NIST が示す政府機関のためのセキュアなサプライチェーンとは？

NIST charts course towards more secure supply chains for government software

2021/06/22 DailySwig — UPDATED 米国の National Institute of Standards and Technology (NIST) は、急増するソフトウェア・サプライチェーン攻撃の脅威に対する連邦政府機関の防御力を強化するために、情報セキュリティ業界から提出された一連の提言をまとめた。

Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ

Google Launches SLSA, a New Framework for Supply Chain Integrity

2021/06/18 DarkReading — 今週の Google だが、ソフトウェアのサプライチェーン全体を通して、ソフトウェア成果物の整合性を確保するための End-to-End フレームワークである、Supply chain Levels for Software Artifacts (SLSA) を発表した。Salsa と発音される SLSA は、Google 社内で採用されている Binary Authorization for Borg (BAB) という、コード・レビュー・プロセスから着想を得ている。

NSA と ODNI が分析する 5G ネットワークの潜在リスクとは？

NSA and ODNI analyze potential risks to 5G networks

2021/05/12 SecurityAffairs — U.S. National Security Agency (NSA) と DHS Cybersecurity and Infrastructure Security Agency (CISA) と Office of the Director of National Intelligence (ODNI) は共同で、5Gネットワークの導入に伴う潜在的なリスクと脆弱性を分析している。Potential Threat Vectors to 5G Infrastructure と題した報告書には、IT や通信だけではなく、国防産業などの分野における代表者も協力している。

Rockwell と Cisco の提携は OT と IT の融合を意味するのか？

Rockwell Automation Expands its Threat Detection Services with Cisco Cyber Vision

2021/05/11 AutomationCom — Rockwell Automation と Cisco は、長年にわたる提携関係により、顧客に価値を提供するための新たな方法を模索し続けてきた。そして今日、Rockwell Automation は、Cisco Cyber Vision Solution を、従来からの LifecycleIQ Services ポートフォリオに追加し、サイバー攻撃の脅威を検知するための能力を高めると発表した。

PI North America が立ち上げる Process Field Bus Online Training とは？

PI North America Launches PROFIBUS Online Training Course

2021/04/21 AutomationCom — 北米において PROFIBUS、PROFINET、IO-Link、omlox technologies などを支援する非営利組織である PI North America は、新規の PROFIBUS Online Training Course を開始する。

Tesla が上海にデータセンターを建設する理由とは？

Tesla promises new China data centre as Beijing lays down the law on local storage of EV data

2021/04/21 SCMP — Elon Musk が立ち上げた電気自動車メーカーの Tesla だが、個人情報の取り扱いについて世間の注目が集まる中、6月末までに上海にデータセンターを建設し、同社の電気自動車から収集したデータを取り扱うことになった。

Google Chrome 90 はディフォルト・プロトコルとして HTTPS を選ぶ

Google Chrome 90 released with HTTPS as the default protocol

2021/04/14 BleepingComputer — 2021年4月14日に Google Chrome 90 Desktop の Stable Channel Update がリリースされ、セキュリティの改善や、新しい AV1 エンコーダの提供に加え、デフォルト・プロトコルの HTTPS への変更などが実施された。

Microsoft Edge Legacy が永遠の眠りに

RIP: Microsoft Edge Legacy nuked by April Windows Updates

2021/04/13 BleepingComputer — Microsoft は 4月13日にリリースされたパッチ・アップデートにより、Edge Legacy が自動的に削除され、新しい Chromium-based Edge に置き換えられることを認めている。Chromium-based Edge は 2020年1月にリリースされ、Microsoft は Windows 10 October 2020 Update 用いて出荷された、すべてのデバイスへのプレインストールを開始している。

Google Chrome の NAT Slipstreaming 対策で port 10080 が塞がれる

Google Chrome blocks port 10080 to stop NAT Slipstreaming attacks

2021/04/08 BleepingComputer — Google Chrome だが、NAT Slipstreaming 2.0 攻撃によるポートの悪用を防ぐため、HTTP/HTTPS/FTP による TCP Port 10080 へのアクセスをブロックすることになった。昨年に、セキュリティ研究者である Samy Kamkar が公開したのは、悪意の Web サイト上のスクリプトがビジターの NAT ファイアウォールを回避し、その内部ネットワーク上の任意のTCP/UDP ポートにアクセスする、NAT Slipstreaming における新たな脆弱性である。