Software Supply Chain Attacks Hit 61% of Firms
2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの1年間において米国企業の5分の3以上 (61%) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家/IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。
Continue reading “米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査”Google brings dark web monitoring to all U.S. Gmail users
2023/05/10 BleepingComputer — 5月10日に Google が発表した計画によると、米国のすべての Gmail ユーザーは、自身のメールアドレスがダークウェブ上で開示されているかどうかを確認するための、セキュリティ機能 Dark Web Report を近々に利用できるようになるようだ。さらに Google は、アニュアル・デベロッパー・カンファレンス Google I/O での発表で、この機能は今後の数週間をかけて展開され、一部のグローバル市場からのアクセスは対しても拡大される予定だと述べている。
Continue reading “Google の Dark Web Report が米国で発動:あなたの情報がダークウェブで見つかるかもしれない”2023/05/09 SecurityWeek — リスク管理や脆弱性の影響を判断する際に SBOM は有用であるが、複数のプラットフォームでデータが標準化されていないと、全体的なリスク・モデルを構築することは極めて困難になる。2021年5月に発せられたバイデン大統領の大統領令 14028号には、「ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを使って既知の脆弱性を分析することが、リスク管理において重要である」と記されており、ソフトウェアを政府調達する際の SBOM の必要性を訴えるものだった。 そのことが、セキュリティ分野における大きな契機となり、米政府の機関と請負業者の双方において、広く使われているソフトウェアの内部構造に関して、さまざまな疑問が生じることになった。
Continue reading “SBOM について考える:複数のプラットフォーム間でのデータの標準化は?”Microsoft issues optional fix for Secure Boot zero-day used by malware
2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。
Continue reading “Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?”Only 39% of IT Security Decision-Makers See it As Business Enabler
2023/05/09 InfoSecurity — ITセ キュリティの意思決定者 2000人以上を対象とした最近の調査で、ビジネスの成功におけるサイバー・セキュリティの役割を、自社のリーダーが的確に把握していると考えている人が、39% に過ぎないことが判明した。PAM (Privileged Access Management) ソリューション・プロバイダーの Delinea が発表したレポートでは、コンプライアンスや規制上の要求の観点からのみ、サイバー・セキュリティが重視されていると、回答者の 36% が捉えていることも示唆されている。
Continue reading “IT Security 意思決定者たちの困惑:分かっていない取締役が多すぎる – Delinea 調査”White hat hackers showed how to take over a European Space Agency satellite
2023/04/30 SecurityAffairs — 宇宙産業のサイバー・セキュリティに特化した、欧州のイベントである CYSAT の第3回目が開催された。同イベントで ESA (European Space Agency) は、衛星のテスト・ベンチを設置し、ホワイトハット・ハッカーを招き、デモンストレーション目的で運用している超小型衛星 OPS-SAT を制御する試みを行った。そこで、Thales の Offensive Cybersecurity Team は、世界初の倫理的衛星ハッキング演習とされる、ESA 衛星の制御方法を実演した。
Continue reading “人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?”Codenotary Previews Secure SBOM Creation Service
2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成/保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成/保存する機能を備えているという。
Continue reading “Codenotary SBOM Center のプレビューが公開:セキュアな SBOM の作成が可能に”VirusTotal now has an AI-powered malware analysis feature
2023/04/24 BleepingComputer — 4月24日 (月) に VirusTotal は、Code Insight と命名された AI ベースの新しいコード解析機能の提供について発表した。この新機能は、RSA Conference 2023 で紹介された Google Cloud Security AI Workbench を搭載しており、特にセキュリティのユースケース向けに細かく調整された Sec-PaLM LLM (Large Language Model) を使用している。VirusTotal Code Insight は、潜在的に有害なファイルを解析して、その悪意の挙動を説明し、実際の脅威をもたらすものを特定する能力を向上させるという。
Continue reading “VirusTotal の 新機能 Code Insight:AI を活用してマルウェアを解析する”5 free online cybersecurity resources for small businesses
2023/04/19 HelpNetSecurity — サイバー攻撃の頻度と巧妙さが増すにつれ、中小企業 (SMB:Small and Medium-sized Businesses) は、サイバー脅威に対してより脆弱になりつつある。大企業とは異なり、中小企業には、悪意の人物からネットワークやデータを効果的に保護するための資金や技術的リソースが不足している場合が多い。多くの中小企業は、予算や IT スタッフが限られているため、どこにリソースを配分するのかという難しい決断を迫られる。
Continue reading “中小企業でも OK:無料オンライン・サイバーセキュリティ・ツール5選”Cloud Security Alerts Take Six Days to Resolve
2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) /業界/国々にまたがる組織に配備された数万個のセンサーや、GitHub/NVD (National Vulnerability Database) などの公開ソースを調査した。
Continue reading “クラウド・セキュリティ警告の解決には約6日が必要:OSS への依存が要因 – Palo Alto 調査”Balancing cybersecurity with business priorities: Advice for Boards
2023/04/18 HelpNetSecurity — 今日の急速に進化する技術環境において、これまで以上に取締役会や経営陣にとって重要となるのは、テクノロジーやデジタルの最新の進歩や潜在的なリスクについて、常に情報を得ることである。この Help Net Security のインタビューでは、Google Cloud の Director, Financial Services, Office of the CISO である Alicja Cade が、 正しい疑問を持つことで、サイバー・パフォーマンスと準備状況を改善し、責任ある AI プラクティスを推進すべきだと述べている。それにより、サイバー・セキュリティの必要性と、ビジネスにおける他の優先事項をバランスさせる方法について、洞察が提供されるとしている。
Continue reading “ビジネスの優先順位とサイバー・セキュリティの均衡:Google が考える取締役会へのアドバイス”CISA Introduces Secure-by-design and Secure-by-default Development Principles
2023/04/14 SecurityWeek — CISA は、サイバー・セキュリティ製品を開発する際の、Security-by-Design および Security-by-Default の原則を公表した。2023年3月1日に発表された、Pillar Three of the National Cybersecurity Strategy published の三本目の柱は、Shape market forces to drive security and resilience (セキュリティとレジリエンスを推進するために市場の力を形作る) と題されている。このセクションの中では、2つのポイントが明確にされている。第一に、セキュリティの責任を、セキュリティ製品の使用から開発へとシフトさせることである。第二に、このシフトを促すために、連邦政府の調達力を利用することである。
Continue reading “Security-by-Design と Security-by-Default の原則:政府の調達力を用いて普及させる – CISA”Vice Society ransomware uses new PowerShell data theft tool in attacks
2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。
Continue reading “Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入”How to Define Tier-Zero Assets in Active Directory Security
2023/04/13 DarkReading — Active Directory 環境のセキュリティ向上を目指す企業は、「攻撃者の選択肢が多すぎる」というシンプルな問題に直面している。平均的な企業の AD 環境には、数千から数万もの攻撃経路が存在する。それは、低特権ユーザーのアカウントへの初期アクセスに成功した攻撃者が、特権を拡大し、高特権ユーザーへと移動し、ドメイン乗っ取りに可能にするという、ミスコンフィグレーションの連鎖である。すべてのミスコンフィグレーションの修正は不可能かもしれないが、セキュリティ/アイデンティティ/アクセスの管理者は、AD の安全性を確保するために、有意義な進歩を遂げていくはずだ。しかし、それを成功させるためには、作業に優先順位をつける方法が不可欠となる。
Continue reading “Active Directory のセキュリティ:Tier-Zero 資産の特定と保護を最優先すべきだ”LastPass Breach Reveals Important Lessons
2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。
Continue reading “LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず”Why Shadow APIs are More Dangerous than You Think
2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化/サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視/監査されない、最も脆弱な存在なのだ。
Continue reading “Shadow API の調査:監視/監査されない最も脆弱な存在について考える”Microsoft Azure Users Warned of Potential Shared Key Authorization Abuse
2023/04/11 SecurityWeek — Azure Active Directory (Azure AD) の認証情報と同様に、Microsoft Azure Storage アカウントで利用できる認証方法には Shared Key があり、Azure のデフォルト・インフラの一部になっている。この Shared Key は、Azure AD と比較してセキュリティが劣るため、きめ細かいアクセスが必要な場合には、アクセスキーによるストレージ認証は非推奨とされている (組織がリスクにさらされる可能性があるため)。今回、Orca が発見した攻撃シナリオは、こうしたリスクを証明するものであり、Shared Key による認証を無効化する必要性を、セキュリティ・ベストプラクティスとして強調するものである。
Continue reading “Microsoft Azure ユーザーへの警告:侵害された Shared Key 認証がもたらす甚大な被害とは?”The Army Wants SBOMs—and So Should the Other Services
2023/04/11 DefenseOne — 公共分野の組織と、連携するすべての組織は、どのようなソフトウェアが使われているのかを、よりよく把握する必要がある。2022年10月に、米陸軍の調達部門は、ソフトウェアとネットワークをベースにした攻撃を防ぐために、大きな変化をもたらす可能性のある小さな一歩を踏み出した。それは、SBOM に関する情報提供を求めるものである。
Continue reading “米陸軍は SBOM を望んでいる:民間への波及効果が期待される?”[eBook] A Step-by-Step Guide to Cyber Risk Assessment
2023/04/11 TheHackerNews — 今日のサイバー・リスクが高まる状況において、CISO と CIO に要求されるのは、ランサムウェア/フィッシング/インフラ攻撃/サプライチェーン侵害/悪意のインサイダーなどからの、容赦ないサイバー脅威から組織を守ることだ。しかし、しれと同時に、セキュリティ・リーダーたちは、コスト削減と賢い投資という、大きなプレッシャーにもさらされている。
Continue reading “サイバー・リスクを評価する:定量化のための Step-by-Step ガイドを eBook で!”MSPs urged to refine security solutions in response to growing SMB needs
2023/04/10 HelpNetSecurity — Kaseya の調査によると、それぞれの MSP は、サービス提供を効率化し、コスト管理を改善するために、コアツール間の統合と自動化にフォーカスしている。回答者の約 90% は、エンドポイントの管理/監視および、パッチ適用、チケット解決などの、サイバー・セキュリティに関するプロセスを自動化することで、効率を改善しようとしている。それにより、より多くの顧客を引き受け、より多くの収益を生み出すことが可能になるため、彼らのビジネスにとって自動化は、重要なテクノロジーであると評価しされる。
Continue reading “MSP たちは何を考える? セキュリティ・サービスの強化に同意する経営者と技術者”Microsoft delays Exchange Online CARs deprecation until 2024
2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を1年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値/例外/アクション/条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ/接続を確立するために使用する、プロトコル/アプリケーション/サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。
Continue reading “Microsoft Exchange Online に計画変更:Azure AD CA への移行は 2024年まで延期”Bad Actors Will Use Large Language Models — but Defenders Can, Too
2023/04/07 DarkReading — 各種の AI がヘッドラインを席巻しているが、その中でも ChatGPT は最新のトピックであり、その斬新さに誰もが心を奪われている。しかし、 LLM (Large Language Models) が兵器化される方法などについては、誰も触れていない。インターネットは信じられないほど巨大で複雑になり、数多くの機密情報が露呈されるようになった。10年前には1つの Web サイトしか持たなかった企業が、今日では数十の Web サイトを持ち、未知の資産や子会社を抱えている。それらを悪用する攻撃者が、ネットワーク/システムへの侵入や知的財産の流出を活性化している。
Continue reading “サイバー攻撃に悪用される ChatGPT:防御側も LLM を活用すべき”Companies carry unquantified levels of risk due to current network security approaches
2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油/ガス/通信/銀行/金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。
Continue reading “ネットワーク・セキュリティのリスクが定量化できない? いまのアプローチが問題なのか?”GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements
2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。
Continue reading “GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする”The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations
2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。
Continue reading “Docker の BuildKit で SBOM をサポート:どのように機能するのか?どんな制限があるのか?”Millions of Pen Tests Show Companies’ Security Postures Are Getting Worse
2023/03/29 DarkReading — 平均的な企業のリスク・スコアは、この1年で悪化している。その背景にあるのは、企業におけるデータ流出への対応が不足し、Web アプリケーションの適切な保護が向上しないという現実である。企業におけるデータ流出のリスク・スコアは、2021年の 30ポイントから、2022年の 44ポイントに上昇し、データ漏洩に関する全体的なリスクが高まったことを示している。この調査結果は Cymulate によるものであり、プロダクション環境における 170万時間に及ぶ攻撃的サイバー・セキュリティ・テストを含む、100万回のペンテスト・データを集計したものである。
Continue reading “100万回のペンテスト・データは語る:この1年で増大したリスクとは?”Microsoft Introduces GPT-4 AI-Powered Security Copilot Tool to Empower Defenders
2023/03/28 TheHackerNews — 2023年3月28日 (火) に Microsoft は、Security Copilot のプレビュー版を発表した。それは、マシンのスピードとスケールで End−to-End 防御を提供するために、AI 指向の機能を組み込むことを、継続的に推進していくことを示すものだ。この、OpenAI の GPT-4 AI と、独自のセキュリティ専用モデルを搭載した製品は、サイバー・セキュリティ・アナリストによる、脅威への迅速な対応/シグナルの処理/リスク露出の評価を可能にする、セキュリティ分析ツールだとされている。
Continue reading “Microsoft の AI セキュリティ:GPT-4 を搭載する Copilot のプレビューが始まった”Top 5 security risks for enterprise storage, backup devices
2023/03/23 HelpNetSecurity — 企業向けのストレージとバックアップのデバイスには、平均で 14件の脆弱性が存在し、そのうち3件は、悪用された場合に重大な侵害をもたらす高リスクの脆弱性であると、Continuity はレポートで記している。この調査結果は、企業におけるストレージとバックアップのセキュリティ状況に、大きなギャップが生じていることを浮き彫りにしている。つまり、IT の他のレイヤーのセキュリティに比べて、大きく遅れているかことを示している。
Continue reading “企業におけるストレージとバックアップを考える:ハイリスクの Top-5 とは?”New CISA tool detects hacking activity in Microsoft cloud services
2023/03/23 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、Microsoft のクラウド環境における悪意のアクティビティの兆候の検出に有効な、新しいオープンソースのインシデント対応ツールを公開した。米国エネルギー省の国立研究所である Sandia と共同で開発された、この Untitled Goose Tool という名の Python ベースのユーティリティは、Azure Active Directory/Microsoft Azure/Microsoft 365 環境からテレメトリ情報をダンプする。
Continue reading “Microsoft クラウドへのハッキングを検出:CISA が最新ツールを提供”US federal agency hacked using old Telerik bug to steal data
2023/03/15 BleepingComputer — 昨年に米国の連邦政府機関において、Microsoft Internet Information Services (IIS) Web サーバがハッキングされたが、その原因は Progress Telerik UI for ASP.NET AJAX コンポーネントの、深刻な .NET デシリアライズの脆弱性にあるという。3月15日に CISA/FBI/MS-ISAC が発表した共同勧告によると、ある連邦民間行政府 (FCEB) 機関のネットワークで見つかった、侵害指標 (IOC) を分析したところ、2022年11月〜2023年1月初旬にかけて攻撃者がサーバにアクセスしたことが判明したという。
Continue reading “Microsoft IIS の Telerik コンポーネントの脆弱性:放置した米政府機関に大きな被害”When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About
2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。
Continue reading “MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする”Fifth of Government Workers Don’t Care if Employer is Hacked
2023/03/09 InfoSecurity — 説明責任を果たさない文化と、不十分なサイバー衛生と、限られたスタッフ・トレーニング・・・ このような傾向が、世界中の政府にサイバー・リスクの大きな嵐を生み出し、その一方では、深刻なデータ漏洩の可能性に対して、多くの職員が無関心になっていると、Ivanti は警告している。セキュリティ・ベンダーである Ivanti は、世界中の公共部門の職員 800人を対象にアンケートを実施し、新しい Government Cybersecurity Status Report を公開した。
Continue reading “米政府職員のセキュリティ意識:20% が雇用主へのハッキングに無関心だと回答”Akamai mitigates record-breaking 900Gbps DDoS attack in Asia
2023/03/09 BleepingComputer — Akamai が発表したのは、APAC 地域の顧客に仕掛けられた、過去最大の DDoS 攻撃を緩和したというものである。DDoS (Distributed Denial of Service) 攻撃とは、標的となるサーバに大量のリクエストを送信してキャパシティを枯渇させることで、そのサーバがホストする Web サイト/アプリケーションなどのオンライン・サービスを、正規のユーザーからアクセスできない状態にするものだ。
Continue reading “Akamai が DDoS 攻撃を緩和:アジアでは最大級の 900Gbps という規模だった”Google One expands security features to all plans with dark web report, VPN access
2023/03/08 HelpNetSecurity — Google One に、2つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。
Continue reading “Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化”Attackers exploit APIs faster than ever before
2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。
Continue reading “API 悪用の脅威がスピードアップ:脆弱性の発生と攻撃の頻度も増大している”CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping
2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定/追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見/出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。
Continue reading “CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング”Google Cloud Platform allows data exfiltration without a (forensic) trace
2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション/イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り/ファイルのダウンロード/外部バケットへのファイルのコピー/サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。
Continue reading “Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?”Shocking Findings from the 2023 Third-Party App Access Report
2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織 で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取/更新/作成/削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。
Continue reading “SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?”3 Steps to Automate Your Third-Party Risk Management Program
2023/02/21 TheHackerNews — “サードパーティ・データ漏洩” でググってみると、最近のサードパーティへの攻撃によるデータ漏洩や、サードパーティに保管されていた機密情報の漏洩などの、多数の報告があることが分かる。サードパーティによるデータ漏洩が業界により差別化されないのは、ビジネス・パートナー/請負業者/再販業者/IT ソフトウェア/IT プラットフォーム/サービス・プロバイダーなどの、ほとんど全ての企業が、何らかのベンダーとの関係を持ちながら運営されているためである。Osano のレポートによると、現時点における組織/企業は、平均で 730社のサードパーティとデータを共有しており、デジタル・トランスフォーメーションの加速に伴い、その数は増加の一途をたどっているという。
Continue reading “サードパーティのリスク管理という難題:自動化のための 3−Step で捉えてみよう”Majority of Firms Make Cybersecurity Decisions Without Attacker Insight
2023/02/13 infoSecurity — 5社中の4社 (79%) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67%が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68% は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。
Continue reading “サイバー・セキュリティの意思決定:約8割の企業は攻撃者を把握していないが?”MITRE Releases Tool to Design Cyber-Resilient Systems
2023/02/03 DarkReading — サイバー攻撃は増加傾向にあり、企業のセキュリティ担当者は、ますます拡大/複雑化する攻撃対象領域を保護する必要に迫られている。そして、多くの企業にとっての関心事は、攻撃の防止から回復力へと焦点を移している。つまり、攻撃を受けても重要なビジネス機能を維持し、ダウンタイムから迅速に回復することである。そのため、MITRE は、サイバー・レジリエンス・システムを設計するエンジニアのための、可視化ツール Cyber Resiliency Engineering Framework (CREF) Navigator を無償でリリースした。
Continue reading “MITRE が CREF Navigator を発表:レジリエンス・システムの設計をサポート”The next cyber threat may come from within
2023/02/02 HelpNetSecurity — EisnerAmper によると、企業が直面する最大の脅威として、経営者の 71% が社内の偶発的なミスを心配しており、外部からの攻撃に対する懸念 (75%) と変わらないことが明らかになった。さらに 23% が、従業員による悪意の行為を懸念していると回答している。この調査では、現在の安全対策に対する信頼度は、やや低く評価されている。サイバー防衛戦略の全体的なについて、ある程度は備えているが 51% で、適切に備えているが 39%、全く備えていないが 6%、分からないが 4% となっている。また、インサイダーに対するサイバー防衛について尋ねたところ、ある程度自信があるが 57% で、非常に自信があるが 37%、全く自信がないが 6% という回答だった。
Continue reading “サイバー・セキュリティ調査:インサイダーは? 予算は? 人員確保は?”OpenAI releases tool to detect AI-written text
2023/01/31 BleepingComputer — OpenAI が新たに公開したのは、ChatGPT のような人工知能ツールが生成したコンテンツを検出するための、AI Text Classifier である。OpenAI のブログポストには、「この AI Text Classifier は、テキストの各パートが、ChatGPT のような AI により生成された可能性を予測する、微調整された GPT モデル」と記されている。
Continue reading “OpenAI がリリースした AI Text Classifier:書いたのは ChatGPT なのか? 人間なのか?”Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge
2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。
Continue reading “SaaS Shadow IT をゼロにしたい:非侵入型ディスカバリー・ツールの無償版とは?”Cyber insurance can offset the risks of potential breaches
2023/01/19 HelpNetSecurity — Datto の調査によると、中小企業はサイバー脅威の高まり認識し、ネットワークやクラウドのセキュリティといった分野に、リソースを割り当て、投資している。Datto の VP of Product Marketing for Security and Networking Solutions である Chris McKie は、「多くの企業が、脅威から身を守るために、さらなる対策を講じている。ほとんどの中小企業は、ランサムウェアがもたらす現実的な脅威を認識し、新しいセキュリティ製品への投資や、複数のセキュリティ・フレームワークの活用などの、安全性を確保するために奮闘している」と述べている。
Continue reading “サイバー保険でリスクを相殺?:中小企業における実態を調査してみた”CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools
2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、1月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存/管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定/ソフトウェア改ざんの抑制/開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション/コンフィグレーションの変更/他のプロバイダーとの連携によるキーの失効/インシデント調査などを、同社は進めてきた。
Continue reading “CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ”Modern technology and cyber recovery will intersect in the next generation of attacks
2022/12/27 HelpNetSecurity — Experian によると、企業/個人で使用されえる技術が進化し続ける中、サイバー犯罪者たちもイノベーションを活用し、次世代型の攻撃を仕掛けているという。2023年のハッカーたちは、メタバース/宇宙/人工知能などの革新的な技術を取り込んだ、攻撃方法を開拓するための探索を進めてくるだろう。Experian の最新レポートでは、サイバー犯罪者が潜む場所や、攻撃の方法について、企業の理解を促すための、いくつかの予測について概説している。
Continue reading “2023年のサイバー攻撃を予測:テクノロジーとリカバリーが交差していく”CISA’s Strategic Plan Is Ushering in a New Cybersecurity Era
2022/11/30 DarkReading — 連邦政府が改めて示しているのは、サイバー・セキュリティに対する従来のアプローチは、すなわち予防と境界防御のみを前提としたアプローチは、失敗に終わっているという認識である。この2年間だけでも、76% の組織がランサムウェアの攻撃を受け、66% が少なくとも1回のソフトウェア・サプライ・チェーン攻撃を経験している。いまの米国において、サイバー・セキュリティのベストプラクティスを刷新する連邦機関である Cybersecurity and Infrastructure Security Agency (CISA) は、今日のダイナミックな脅威の状況に耐えるための、抜本的な変革が必要であることを強調している。
Continue reading “CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府”CISA Updates Infrastructure Resilience Planning Framework
2022/11/23 SecurityWeek — 今週に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Infrastructure Resilience Planning Framework (IRPF) に対して、新しいツールとガイダンスを追加することを発表した。2021年に初版がリリースされた IRPF (PDF) は、進化する脅威に直面する SLTT (State/Local/Tribal/Territorial) 団体を対象とし、重要インフラの安全性と回復力を計画に含めようとするものだ。なお、IRPF は、あらゆる組織の回復力を改善する計画に、利用することが可能である。
Continue reading “CISA のインフラ回復計画のフレームワーク IRPF:地域社会を守るために”
IoT OT Security News 
You must be logged in to post a comment.