Google One expands security features to all plans with dark web report, VPN access
2023/03/08 HelpNetSecurity — Google One に、2つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。
Continue reading “Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化”Brave Search launches AI-powered summarizer in search results
2023/03/03 BleepingComputer — ユーザーが入力した質問に対して、要約された回答を検索結果よりも優先して提供する、新しい AI 搭載のツール Summarizer が、Brave Search に導入された。Brave Search は、ユーザーを追跡することなく匿名で Web 検索ができる、急成長中のプライバシー重視のインターネット検索エンジンである。いま、検索機能に AI 革命が起こっている。すでに Microsoft は、ChatGPT のアップグレード版を Bing 検索エンジンに組み込み、近い将来には Google も、Bard という独自の AI モデルで同様の機能を実装する予定だという。
Continue reading “Brave Search が Summarizer を搭載:検索結果を AI で処理/表示するサービスを開始”CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping
2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定/追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見/出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。
Continue reading “CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング”Public SaaS Assets Are a Major Risk For Medium, Large Firms
2023/03/01 InfoSecurity — 中堅企業の 81% および大手企業の 78% が、Google Drive/Workspace に暗号化ファイルを保存している。また、61% の組織には、会社が所有の資産を個人のメールで共有する従業員がいる。この調査結果は、DoControl の最新レポート Software-as-a-Service (SaaS) Security Threat Landscape から得られたものであり、機密資産の人手による追跡が、これまで想像されていた以上に複雑になる可能性を示唆している。
Continue reading “SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する”Shocking Findings from the 2023 Third-Party App Access Report
2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織 で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取/更新/作成/削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。
Continue reading “SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?”Open Source Flaws Found in 84% of Codebases
2023/02/22 InfoSecurity — 5つのコードベースのうちの4つ以上 (84%) が、少なくとも1つの、既知のオープンソース脆弱性を含んでいるという。この数字は、Synopsys の Open Source Security and Risk Analysis Report (OSSRA) によるもので、昨年と比較して約 4% 増加しているとのことだ。また、この調査レポートが指摘するのは、Edtech 分野でのオープンソースの採用が 163% 増加し、宇宙/航空/自動車/輸送/物流の分野では 97%、製造およびロボットの分野では 74% 増加している点だ。
Continue reading “84% のコードベースに既知のオープンソース脆弱性:開発ライフサイクルに可視性を!”3 Steps to Automate Your Third-Party Risk Management Program
2023/02/21 TheHackerNews — “サードパーティ・データ漏洩” でググってみると、最近のサードパーティへの攻撃によるデータ漏洩や、サードパーティに保管されていた機密情報の漏洩などの、多数の報告があることが分かる。サードパーティによるデータ漏洩が業界により差別化されないのは、ビジネス・パートナー/請負業者/再販業者/IT ソフトウェア/IT プラットフォーム/サービス・プロバイダーなどの、ほとんど全ての企業が、何らかのベンダーとの関係を持ちながら運営されているためである。Osano のレポートによると、現時点における組織/企業は、平均で 730社のサードパーティとデータを共有しており、デジタル・トランスフォーメーションの加速に伴い、その数は増加の一途をたどっているという。
Continue reading “サードパーティのリスク管理という難題:自動化のための 3−Step で捉えてみよう”Resecurity warns about cyber-attacks on data center service providers
2023/02/21 SecurityAffairs — カリフォルニアに拠点を置くサイバー・セキュリティ企業の Resecurity は、複数のデータセンターに対して、それらの組織と顧客を標的としたサイバー攻撃に関する警告を。 2021年9月から発してきたことを公表した。同社は最新のレポートで、通知の対象とされた組織は、サプライチェーンの重要な部分として機能しており、国家支援 APT/犯罪者/サイバー・スパイグループなどの格好のターゲットだと述べている。この、Resecurity による通知の詳細は、さらなる分析とリスク軽減のために、影響を受けた当事者および、中国/シンガポール政府の緊急対応チームと共有された。さらに、2022年と 2023年1月にアップデートされた同通知は、発見されたデータセットに Fortune 500 の大企業が多数存在していたことから、米国の法執行機関とも共有された。
Continue reading “APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された”2023/02/20 TripWire — サイバー攻撃から組織を守るために、メール・フィルターは大きな役割を担っている。そのタスクは、きわめて小さいものだが、大量かつ悪質なフィッシング・メールやスパム・メールが、ユーザーの受信トレイに配信される前に抑止することは、組織の防御能力にとって極めて重要なことだ。IBM X-Force Threat Intelligence Index によると、製造業における攻撃の 40% はフィッシング攻撃であり、従業員の3人に1人がフィッシング詐欺に騙されるだろうと言われている。
Continue reading “メール・フィルターを解剖する:自社に適した機能を選ぶために知っておくべきこと”Majority of Firms Make Cybersecurity Decisions Without Attacker Insight
2023/02/13 infoSecurity — 5社中の4社 (79%) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67%が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68% は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。
Continue reading “サイバー・セキュリティの意思決定:約8割の企業は攻撃者を把握していないが?”MITRE Releases Tool to Design Cyber-Resilient Systems
2023/02/03 DarkReading — サイバー攻撃は増加傾向にあり、企業のセキュリティ担当者は、ますます拡大/複雑化する攻撃対象領域を保護する必要に迫られている。そして、多くの企業にとっての関心事は、攻撃の防止から回復力へと焦点を移している。つまり、攻撃を受けても重要なビジネス機能を維持し、ダウンタイムから迅速に回復することである。そのため、MITRE は、サイバー・レジリエンス・システムを設計するエンジニアのための、可視化ツール Cyber Resiliency Engineering Framework (CREF) Navigator を無償でリリースした。
Continue reading “MITRE が CREF Navigator を発表:レジリエンス・システムの設計をサポート”The next cyber threat may come from within
2023/02/02 HelpNetSecurity — EisnerAmper によると、企業が直面する最大の脅威として、経営者の 71% が社内の偶発的なミスを心配しており、外部からの攻撃に対する懸念 (75%) と変わらないことが明らかになった。さらに 23% が、従業員による悪意の行為を懸念していると回答している。この調査では、現在の安全対策に対する信頼度は、やや低く評価されている。サイバー防衛戦略の全体的なについて、ある程度は備えているが 51% で、適切に備えているが 39%、全く備えていないが 6%、分からないが 4% となっている。また、インサイダーに対するサイバー防衛について尋ねたところ、ある程度自信があるが 57% で、非常に自信があるが 37%、全く自信がないが 6% という回答だった。
Continue reading “サイバー・セキュリティ調査:インサイダーは? 予算は? 人員確保は?”Almost all Organizations are Working with Recently Breached Vendors
2023/02/01 InfoSecurity — サプライチェーン攻撃の増加に伴い、サプライヤー/ビジネスパートナー/顧客のセキュリティが、より厳しく監視されるようになっている。2023年2月1日に、セキュリティ評価プロバイダー SecurityScorecard と Cyentia Institute 発表した Close Encounters of the Third (and Fourth) Party Kind という新しいレポートは、組織の依存関係におけるリスク調査に基づくものである。
Continue reading “サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠”Mix of legacy OT and connected technologies creates security gaps
2023/02/01 HelpNetSecurity — ISG の調査レポートによると、自動車などの各種産業における Operational Technology (OT) への脅威が高まり、資産の安全性を向上させるためのテクノロジーやサービスに投資する企業が増加しているとのことだ。このレポートでは、製造施設やコネクテッド・ビークルに対する最近のサイバー攻撃を受け、製造業/自動車/ライフサイエンスなどの企業にとって、サイバー・セキュリティの優先度が高まっている状況が示されている。レガシー・システムに対する近代化や置き換えが急務であることに加え、熟練したサイバー・セキュリティ・エンジニアの不足が、ソリューション/アウトソーシング・プロバイダーの成長に拍車をかけている。
Continue reading “コネクテッドカーとレガシー OT の接点:セキュリティを提供する新たな動きとは?”Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge
2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。
Continue reading “SaaS Shadow IT をゼロにしたい:非侵入型ディスカバリー・ツールの無償版とは?”Open source skills continue to be in high demand
2023/01/27 HelpNetSecurity — Perforce Software と Open Source Initiative によると、これまでの 12ヶ月間において 80% の組織が、オープン ソース・ソフトウェアの利用を増やしている。例を挙げると、データベース管理/コンテナ・オーケストレーション/DevOps/SDLC ツールといった、幅広いビジネス・クリティカルなアプリケーションで、5社のうち4社が OSS への依存度を高めている。しかし、このレポートでは、いくつかの障害が残っていることも明らかにされた。調査対象となった全テクノロジー・カテゴリーで、専門知識を持つ人材の不足が、最大の課題の1つとして挙げられている。
Continue reading “OSS の需要が継続して増大:ユーザー企業の 80% が深刻な “人材問題” を抱える”The Definitive Browser Security Checklist
2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理/保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント/ネットワーク/クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。
Continue reading “Web ブラウザのセキュリティ:体系化された5本の柱で分解/整理してみよう”Microsoft plans to kill malware delivery via Excel XLL add-ins
2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。
Continue reading “Microsoft のマルウェア対策:Excel XLL add-in の制限が 2023年3月から始まる”Google Chrome to let you disable or enable extensions per site
2023/01/14 BleepingComputer — Chrome のエクステンションを、サイト単位で無効/有効化できる新機能を、Google が開発している。Chrome Web ストアでは、数多くのエクステンションが提供されている。しかし、一部のエクステンションには、Web サイトで不具合を引き起こす可能性あり、また、広告ブロッカーのようなエクステンションを許可しないサイトもあるという。
Continue reading “Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた”Modern technology and cyber recovery will intersect in the next generation of attacks
2022/12/27 HelpNetSecurity — Experian によると、企業/個人で使用されえる技術が進化し続ける中、サイバー犯罪者たちもイノベーションを活用し、次世代型の攻撃を仕掛けているという。2023年のハッカーたちは、メタバース/宇宙/人工知能などの革新的な技術を取り込んだ、攻撃方法を開拓するための探索を進めてくるだろう。Experian の最新レポートでは、サイバー犯罪者が潜む場所や、攻撃の方法について、企業の理解を促すための、いくつかの予測について概説している。
Continue reading “2023年のサイバー攻撃を予測:テクノロジーとリカバリーが交差していく”Cloudflare’s Zero Trust suite now available for free to at-risk groups
2022/12/12 BleepingComputer — Cloudflare は、Project Galileo と Athenian Project に参加している、公益団体/選挙サイト/各州機関に対して、同社の Cloudflare One Zero Trust セキュリティ・スイートを無償で提供すると発表した。それにより、ジャーナリスト/活動家/人道支援団体/マイノリティ・グループ/州選挙サービスなどに対して、企業レベルのサイバー・セキュリティ・サービスを無償で提供されることになる。
Continue reading “Cloudflare の Zero Trust:ジャーナリスト/活動家/人道支援団体などに無償提供”Software Supply Chain Attacks Leveraging Open-Sources Repos Growing
2022/12/09 InfoSecurity — 12月5日に発表された ReversingLabs のレポート The State of Software Supply Chain Security によると、2020年から2022年初頭にかけて急激に増加したサプライチェーン攻撃は、緩やかながらも 2022年を通じて着実に増加しているようだ。同社の調査は、npm/PyPi/Ruby Gems などのオープンソース・リポジトリにアップロードされた、悪意のパッケージの件数を対象に行われた。
Continue reading “OSS リポジトリを悪用するサプライチェーン攻撃が増加中:ReversingLabs レポート”68% of IT leaders are worried about API sprawl
2022/12/06 HelpNetSecurity — Axway の 2022 Open Everything Strategy Survey Report により、約 40% の組織における IT インフラに、新しいハイブリッド・アプローチが採用されているという、新しいデータを発表した。この変革の原因として、回答者の 68% が無秩序な API の拡大を挙げている。Axway が実施した調査は、約 1,000人の IT リーダー/アーキテクト/開発者を対象にしたものであり、デジタル全般における戦略や懸念について質問するものだ。この調査データは、主に API Development (893人) と、Managed File Transfer (102人) に従事する人々の回答を反映している。
Continue reading “API の無秩序な広がり:IT リーダーの 68% が最大の懸念を示す”CISA’s Strategic Plan Is Ushering in a New Cybersecurity Era
2022/11/30 DarkReading — 連邦政府が改めて示しているのは、サイバー・セキュリティに対する従来のアプローチは、すなわち予防と境界防御のみを前提としたアプローチは、失敗に終わっているという認識である。この2年間だけでも、76% の組織がランサムウェアの攻撃を受け、66% が少なくとも1回のソフトウェア・サプライ・チェーン攻撃を経験している。いまの米国において、サイバー・セキュリティのベストプラクティスを刷新する連邦機関である Cybersecurity and Infrastructure Security Agency (CISA) は、今日のダイナミックな脅威の状況に耐えるための、抜本的な変革が必要であることを強調している。
Continue reading “CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府”90% of organizations have Microsoft 365 security gaps
2022/11/22 HelpNetSecurity — 前日に発表された CoreView の調査では、世界の 160万人の Microsoft 365 ユーザーの声を評価することで、90% もの組織においてセキュリティ保護にギャップが存在することを明らかにした。Microsoft 365 (M365) の管理は複雑である。どのようにすれば、IT チームは管理における頭痛の種を回避し、100% のコンプライアンスを維持し、M365 インスタンスを正しくコントロールできるのだろうか。
Continue reading “Microsoft 365 とユーザーを隔てるギャップ:90% の企業は何を思う?”The pros and cons of using open-source Kubernetes security software
2022/11/21 HelpNetSecurity — Kubernetes のセキュリティ環境においても、オープンソース・ツールは重要な役割を担っている。ARMO の調査により、大半の企業がオープンソースの Kubernetes セキュリティ・ソフトウェアを使用していることが明らかになった。The State of Kubernetes Open Source Security 調査では回答者の 55% が、Kubernetes クラスタを安全に保つために、複数のオープンソース・ツールを使用していると回答している。ただし、この数値には、オープンソースのみを使用している場合と、オープンソースと独自ソリューションを混合して使用している場合が含まれている。
Continue reading “Kubernetes に関連するセキュリティ・ソフトウェアの調査:55% が OSS を利用”Netflix Phishing Emails Surge 78%
2022/11/18 InfoSecurity — Egress のセキュリティ研究者たちは、Netflix になりすましたメール攻撃が 10月以降に 78%増加しており、企業アカウントが危険にさらされる可能性があると警告している。このようなキャンペーンから生じる懸念は、Netflix のような個人のアカウントと仕事のアカウントで、従業員たちが同じ認証情報を使用している場合に、企業のシステムやデータを危険にさらさる可能性にあると、Egress は指摘している。
Continue reading “Netflix なりすましフィッシング・メール:10月のキャンペーンで 78% の急増”CISA Urges Organizations to Implement Phishing-Resistant MFA
2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、2つ以上の異なる認証手段の組み合わせを要求するものだ。
Continue reading “CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗”54% of Staff Would Reconsider Working for a Firm That Had Experienced a Cyber Breach, Research Finds
2022/10/26 DarkReading — 企業における半数以上 (54%) の従業員が、最近のサイバー侵害を経験した企業で働くことを、考え直すと回答している。サイバー・セキュリティ技術のプロバイダー Encore の、新しい調査結果には、そう記されている。
Continue reading “サイバー侵害に鈍感な企業:54% の従業員が離職を考えている”List of Common Passwords Accounts for Nearly All Cyberattacks
2022/10/21 DarkReading — 一般的な2種類のサーバを標的とする、数千万件の認証情報ベースの攻撃は、流出した認証情報のリストを形成する RockYou2021 の、ごく一部のパスワードに集約される。Rapid7 は 12ヶ月間にわたり、ハニーポットのネットワークを通じて、これらのサーバを侵害しようとした全ての試みを記録した。その結果として、クレデンシャル攻撃の試みは、512,000 通りの組み合わせになることを発見した。
Continue reading “RockYou2021 にエントリーされる 84億のパスワード:攻撃で悪用される 50万のパスワードとの関係は?”Google Launches GUAC Open Source Project to Secure Software Supply Chain
2022/10/20 TheHackerNews — 木曜日に Google は、ソフトウェア・サプライチェーン強化の継続的な取り組みの一環として、新たなオープンソース構想 Graph for Understanding Artifact Composition (GUAC) とへの、コントリビュータを募集していると発表した。Google の Brandon Lum と、Mihai Maruseac、Isaac Hepworth は、「GUAC とは、ソフトウェアのビルド/セキュリティ/依存関係のメタデータを生成するための、エコシステム全体で急成長している取り組みから生まれたニーズに対応するものだ」と、The Hacker News で共有した投稿で述べている。
Continue reading “Google の GUAC:OSS の全ての要素を結びつける Knowledge Graph の作成が目標”Hackers Hide Malware in Windows Logo, Target Middle East Governments
2022/09/30 InfoSecurity — Witchetty と呼ばれるハッカー集団が、ステガノグラフィー技術を用いて Windows ロゴにバックドアを隠し、中東の政府をターゲットにしていることが確認された。Broadcom の最新アドバイザリによると、Witchetty (別名 LookingFrog) は国家が支援する中国の脅威アクター APT10 や、以前の米国エネルギー・プロバイダーに対する攻撃に関連した TA410 の、工作員とも関係があるとみられている。
Continue reading “Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃”Dangerous New Attack Technique Compromising VMware ESXi Hypervisors
2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。
Continue reading “VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法”Hackers Had Access to LastPass’s Development Systems for Four Days
2022/09/17 TheHackerNews — パスワード管理ソリューションの LastPass は、2022年8月に発生したセキュリティ・インシデントの詳細を公開し、脅威者が 8月の4日間にわたり、同社のシステムに不正にアクセスしていたことを明らかにした。LastPass の CEO である Karim Toubba は、9月15日に公開されたアップデートで、「観測されたタイムラインを超える脅威者の活動の証拠はない。また、このインシデントにおいて、脅威者が顧客データ/暗号化パスワード保管庫へアクセスした形跡もない」と付け加えている。
Continue reading “LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明”NSA and CISA share tips to secure the software supply chain
2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障システムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。
Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”The factors driving today’s accelerated zero trust adoption
2022/08/18 HelpNetSecurity — Okta の 2022 State of Zero Trust Security Report により、ビジネスにおける重要かつ必須の事項はバズワードからゼロトラストへと、急速に変化していることが判明した。現時点において 97% の企業が、ゼロトラスト・イニシアチブを実施しているか、あるいは、今後の 12~18カ月以内に実施するとしており、2018年の 16% から上昇し、過去4年間で 500%以上の増加となっている。
Continue reading “ゼロトラスト戦略の急速な拡大:地域と分野での取り組みをデータで参照”Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks
2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証/ZTNA/SSO/ID プロバイダー・サービスなど) は、Cookie の盗難/再利用および、セッション ハイジャック攻撃からの保護にはほとんど効果がない。 今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。
Continue reading “Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される”36% of orgs expose insecure FTP protocol to the internet, and some still use Telnet
2022/08/10 HelpNetSecurity — ExtraHop Benchmarking Cyber Risk and Readiness レポートでは、SMB/SSH/Telnet などの安全ではないプロトコルや、きわめて機密性の高いプロトコルを、かなりの割合の組織が、インターネットに公開していることが明らかにされていいる。意図的であれ偶発的であれ、こうした公開は、サイバー攻撃者にネットワークへの容易な侵入口を提供し、あらゆる組織の攻撃対象領域を拡大することになる。
Continue reading “プロトコル運用の調査:FTP 公開 36%/LDAP 露出 41%/SSH 露出 64% ・・・”Cloudflare employees also hit by hackers behind Twilio breach
2022/08/09 BleepingComputer — 先週の Twilio のネットワークが侵害されたのと同様に、Cloudflare にも SMS フィッシング攻撃が発生し、同社の従業員の一部が認証情報を盗まれたとのことだ。この攻撃者は Cloudflare 従業員のアカウントを手に入れたが、同社の FIDO2 準拠のセキュリティキーによりログインでブロックされ、システムへの侵入には至らなかったという。
Continue reading “Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?”60% of IT leaders are not confident about their secure cloud access
2022/07/21 HelpNetSecurity — Ponemon Institute の調査で明らかになったのは、さまざまなクラウドの導入が進みつつあるにもかかわらず、IT/セキュリティリーダーの 60%が、自社のクラウド・アクセスの安全性に自信を持っていないことである。The Global Study on Zero Trust Security for the Cloud は、世界中の約 1,500人の IT意思決定者/セキュリティ専門家を対象に行われ、クラウド環境のセキュリティ確保における問題点と、ゼロトラストセキュリティの手法が、いかにデジタル・トランスフォーメーションを可能にするかが調査された。
Continue reading “クラウド・セキュリティの調査:IT リーダーの 60%が安全性に自信を持てない”Google Calendar provides new way to block invitation phishing
2022/07/20 BleepingComputer — 今日の Google Workspace チームの発表によると、Google カレンダーの招待状スパムをブロックする新しい方法が、従来からの G Suite Basic および Business ユーザーを含む、すべてのユーザーに対して提供が開始されたようだ。
Continue reading “Google Calendar に新たなブロック機能:フィッシング防止のために設定”Mitigate Ransomware in a Remote-First World
2022/06/21 TheHackerNews — ランサムウェアは、長年にわたって、サイバー・セキュリティ・チームにとって悩みの種として存在している。リモート・ワークやハイブリッド・ワークへの移行に伴い、この陰湿な脅威は、あらゆる組織にとってさらに大きな課題となっている。2021年は、多種多様な攻撃/多大な金銭的/経済的影響/組織側の多様な防御方法といった、ランサムウェアのケース・スタディの年となった。これらの攻撃から得られた教訓は、ランサムウェアのリスクを軽減するための、今後のセキュリティ戦略に活かせるものだと捉えるべきだ。組織は進化し続けるため、セキュリティ戦略も進化すべきなのだ。
Continue reading “リモート・ファーストの世界とランサムウェア:VPN 依存からの脱却は不可欠?”New Privacy Framework for IoT Devices Gives Users Control Over Data Sharing
2022/06/09 TheHackerNews — プライバシーに配慮した、新たにデザインされたアーキテクチャでは、開発者がデータ共有の懸念に対処し、ユーザーが個人情報を管理できるような方法で、スマートホーム・アプリを作成することが目的となっている。カーネギーメロン大学の研究者たちにより Peekaboo と名付けられたシステムは、「家庭内のハブを活用し、外部のクラウド・サーバーに送信する前に、構造的かつ強制力のある方法で、送信データを前処理して最小化する」と説明されている。
Continue reading “IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?”7 Key Findings from the 2022 SaaS Security Survey Report
2022/05/19 TheHackerNews — Adaptive Shield は CSAと共同で、今日の企業における CISO やセキュリティ担当者から見た SaaS セキュリティの状況を調査し、2022 SaaS Security Survey Report として提供している。このレポートでは、CSA 会員 340社から匿名の回答を集めることで、SaaS セキュリティ・リスクの高まりと、各組織もおけるセキュリティ対策の現状を調査している。
Continue reading “SaaS ユーザー 340社を調査:ミス・コンフィグレーションを無くす7つのポイントとは?”The SaaS-to-SaaS supply chain is a wild, wild mess
2022/05/12 HelpNetSecurity — クラウドへの移行と IT の民主化により、ビジネス・ワークフローのデジタル化と自動化のための統合が進み、相互に接続されたビジネス・アプリのネットワークが拡大し続けている。デジタル・トランスフォーメーション時代の従業員たちは、生産性を高めるために、SaaS アプリや、Workato/Zapier などの no/low code プラットフォーム、サードパーティ・アプリを独自に採用/接続している。
Continue reading “SaaS-to-SaaS サプライチェーンの時代:保護すべき対象がズレ始める時代”Human activated risk still a pain point for organizations
2022/04/11 HelpNetSecurity — 広範囲に及ぶ業種の IT セキュリティ・リーダー 600人を対象に、脅威が高まる環境下という前提で、それぞれの組織のセキュリティ態勢について、匿名での調査が実施された。Egress の調査レポートによると、IT リーダーの 56% の回答として、セキュリティ攻撃に対して非技術系の従業員は、ある程度は備えている、あるいは、まったく備えていない、ことが明らかになった。さらに、回答者の 77% が、パンデミックが引き起こしたリモート化により、セキュリティ侵害が増加したと回答しており、組織には大きなリスクが存在し続けていることが判明した。
Continue reading “6000人を対象にセキュリティ調査:人為的なリスクが最大の痛みを伴うという結論”Building trust in a zero-trust environment
2022/03/14 HelpNetSecurity — 最近の MITRE と DTEX の調査では、インサイダー脅威に対する業界の長年の取り組みにもかかわらず、すべての悪意ある行動を発見するには、十分なデータも高度なシステムも存在しないことが明らかになっている。企業は、サイバー・セキュリティという企業文化を構築するために、ゼロトラスト・アーキテクチャに投資し、すべての攻撃表面を積極的にカバーし始めている。
Continue reading “ゼロトラスト環境の実践:どのようにして人の信頼を構築していくべきか?”Cybersecurity and Your Storage System
2022/02/08 SecurityBoulevard — ストレージは、すべての組織のインフラに不可欠な要素である。その一方で、サイバーセキュリティは、すべての組織の戦略に欠かせない要素である。しかし、この2つが結びつくことは、ほとんどない。そして、ストレージにおけるセキュリティの欠如は、企業を危険にさらしている。
Continue reading “ストレージ・セキュリティの再考:3つの問題点と6つのヒント”MFA adoption pushes phishing actors to reverse-proxy solutions
2022/02/03 BleepingComputer — オンライン・アカウントへの多要素認証 (MFA) の導入が進むにつれて、フィッシング詐欺師たちは悪質な活動を継続するために、より洗練されたソリューション (特にリバースプロキシ・ツール) を利用するようになっている。COVID-19 の大流行は、人々の働き方を大きく変え、自宅での仕事を可能にし、場合によっては望ましいことを証明した。
Continue reading “多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗”How would zero trust prevent a Log4Shell attack?
2022/01/27 HelpNetSecurity — どのようなリモートコード実行の攻撃であっても、一見すると些細に思える解決策がある。それは、インバウンド・トラフィックが、サーバーの脆弱性を引き起こすパターンと、一致しないようにすることだ。言うのは簡単だが、実行するのは困難である。致命的な深刻さを持つ Log4j の脆弱性を誘発する可能性のあるトラフィック・パターンには、ほぼ無限のバリエーションがある。
Continue reading “ゼロトラストと Log4Shell:どのように考えれば攻撃を防げるのか?”
IoT OT Security News 
You must be logged in to post a comment.