Zero Trust – Page 5 – IoT OT Security News

OSS における脆弱性の情報開示：悪用を防ぐための工夫をメンテナたちに伝えたい

Open-source vulnerability disclosure: Exploitable weak spots

2023/11/09 HelpNetSecurity — オープンソース・プロジェクトの脆弱性開示プロセスの欠陥が攻撃者に悪用され、パッチが提供される前に攻撃を仕掛けるために必要な、情報を収集される可能性があると、Aqua Security の研究者たちが懸念している。”0.5-Day” の脆弱性は、メンテナには知られており、その情報は GitHub や NVD (National Vulnerability Database) に公開されているが、公式な修正プログラムが存在しない状況を指す。”0.75-Day” の脆弱性は、公式な修正プログラムは存在しているが、CVE 番号や CPE 識別子は存在しない状態を指す。したがって、脆弱性スキャンツールによる脆弱なコンポーネントの検出が不可能であり、パッチ適用の必要性に、セキュリティ・チームは気が付かない。

CVSS 4.0：パッチの優先順位つけに多様なコンテキストを提供

CVSS 4.0 Offers Significantly More Patching Context

2023/11/08 DarkReading — 先週にリリースされた Common Vulnerability Scoring System の最新版である CVSS 4.0 により、それぞれの組織は、セキュリティ・バグが特定の環境にもたらす可能性のあるリスクを、より適切に評価／管理できるようになるはずだ。しかし、CVSS 4.0 が本当に役に立つかどうかは、CVSS 4.0に含まれる新しいメトリクスの全てを使用して、よりスマートな脆弱性の優先順位付けに必要な、コンテキストを構築する意欲と能力にかかっている。

AI Safety Summit：OWASP が各国政府に対して AI セキュリティ基準の採用を要求

AI Safety Summit: OWASP Urges Governments to Agree on AI Security Standards

2023/11/02 InfoSecurity — OWASP (Open Worldwide Application Security Project) によると、AI の急速な普及がもたらす危険を軽減するためには、AI を搭載するツールがもたらすセキュリティと倫理的リスクに関する、トップレベルの議論だけでは、もはや不十分だという。2023年11月1日～2日にイギリスのブレッチリー・パークで開催された AI Safety Summit に先立ち、この非営利団体はサミット参加者に対して、実用的な AI セキュリティ標準に合意し採用することを、迅速に推進すべきという行動喚起を促している。

MITRE ATT&CK v14 がリリース：フレームワークの拡張によりフィッシングなどに対抗

MITRE ATT&CK v14 released

2023/11/02 HelpNetSecurity — MITRE がリリースした、最新版の MITRE ATT&CK v14 は、サイバー攻撃者が用いる戦術と技術に関する、調査のためのフレームワークでありナレッジベースである。MITRE ATT&CK の目標は、実際の攻撃におけるサイバー攻撃者の行動をカタログ化し、分類することだ。このフレームワークは、攻撃者とデバイス／システム／ネットワークとの相互作用に関連する、新たな行動や変化した行動を取り込むために、常に改訂されている。

CVSS 4.0 を FIRST が正式発表：何が変わり何が加わるのか？

New CVSS 4.0 vulnerability severity rating standard released

2023/11/01 BleepingComputer — FIRST (The Forum of Incident Response and Security Teams) は、これまでのメジャー・バージョンである CVSS v3.0 から８年を経て、CVSS v4.0 を正式にリリースした。これが、次世代の標準 CVSS (Common Vulnerability Scoring System) となる。CVSS は、ソフトウェアの脆弱性の深刻度を評価するための、標準化されたフレームワークである。そこでは、機密性／完全性／可用性／悪用可能性／要求権限への影響に基づき、数値スコアまたは定性的な表現 (低／中／高／重大など) が割り当てられ、より深刻な脆弱性に対して高いスコアが与えられる。

CISA の Logging Made Easy：GitHub 上で無償で提供されている

Logging Made Easy: Free log management solution from CISA

2023/10/30 HelpNetSecurity — CISA が発表した Logging Made Easy (LME) の新バージョンは、Windows ベースのデバイスに対応し、無償でのダウンロードとセルフ・インストールが可能な、使いやすいログ管理ソリューションである。LME の CISA 版は、英国の National Cyber Security Centre (NCSC) により開発された技術を、GitHub 上に再構築したものであり、多くの人々が利用できるようになっている。

Microsoft の最新 AI アシスタント Security Copilot：スピードを向上させてセキュリティ脅威に対抗

Microsoft announces Security Copilot early access program

2023/10/22 BleepingComputer — 今週に Microsoft が発表したのは、ChatGPT に似た AI アシスタント Security Copilot が、一部の顧客へ向けて早期利用が可能になったことだ。同社の AI 主導型セキュリティ分析ツールである Security Copilot は、Microsoft のグローバルな脅威インテリジェンスの専門知識と、最新の大規模言語モデルを用いることで、セキュリティ・チームが脅威に対抗するスピードを向上させる。

Chrome の新機能 IP Protection：IP アドレスのマスキングでユーザーのプライバシーを強化

Google Chrome’s new “IP Protection” will hide users’ IP addresses

2023/10/22 BleepingComputer — Google がテストを進めている、Chrome の新機能 “IP Protection” は、プロキシ・サーバを用いて IP アドレスをマスキングし、ユーザーのプライバシーを強化するものだ。機密情報の追跡のために、IP アドレスが悪用される可能性について、Google は認識している、そして、ユーザーのプライバシー確保と、Web の本質的な機能との間で、バランスを取ろうとしている。

生成 AI 導入の急増：その一方でセキュリティ意識の遅れが懸念される

AI Adoption Surges But Security Awareness Lags Behind

2023/10/20 infosecurity — ChatGPT や Google Bard のような生成 AI ツールの採用と管理に関する新たな洞察が、ExtraHop の新しい調査により得られた。この調査は、グローバルにおける、1,200人以上の Security／IT のリーダーを対象としたものだ。回答者たちが最も懸念しているのは、不正確な回答 (40%) であり、それに続くのが、顧客や従業員の個人を特定できる情報 (PII) の漏洩 (36%)／企業秘密の漏洩 (33%)／財務上の損失 (25%) などである。

Google Play Protect による保護：悪意のアプリに対するスキャンと排除

Google Play Protect Bolsters Security Against Malicious Apps

2023/10/18 InfoSecurity — Google Play Protect の大幅なアップデートにより、Android 端末のセキュリティが強化される。Google によると、今回のアップデートは、モバイル端末を狙ったサイバー脅威の増加に対応するものだという。この Google Play Protect は、約 1250億個のアプリを毎日スキャンし、マルウェアや不要なソフトウェアを検出するために、すでに存在しているセキュリティ機能である。今日のブログ投稿で発表された新たな機能の強化は、コード・レベルのリアルタイム・スキャンを導入するものであり、進化する不正アプリへの対抗を目的とした事前の対策である。

英国 NCSC／NPSA：中小企業のためのセキュリティ啓発キャンペーンが開始

Five Eyes Warn Deep Tech Start-Ups Against Nation-State Threats

2023/10/18 InfoSecurity — 英国の NCSC (National Cyber Security Agency) および国内諜報機関 MI5 の新たな部門である NPSA (National Protective Security Authority) は、最先端技術を開発する新興企業に対して、国家的な脅威の増大への警戒を促すための、新たな啓蒙キャンペーンを開始した。この、2023年10月17日に開始されたキャンペーンは、最新の ”Secure Innovation” ガイダンスで構成されている。そして、無料のクイック・スタート・ガイドも含まれており、セキュリティに関する幅広い専門知識を持たない人々が、安全にイノベーションを達成するための、第一歩を踏み出せるようにっしている。

Amazon が Passkeys をサポート開始：パスワードレス・ログインの選択肢として

Amazon adds passkey support as new passwordless login option

2023/10/17 BleepingComputer — Amazon が静かに追加したのは、顧客向けの新しいパスワードレス・ログインの選択肢としての Passkeys のサポートであり、それにより、情報を盗み出すマルウェアやフィッシングに対する保護が強化されることになった。Passkeys とは、携帯電話／コンピューター／USBセキュリティキーなどのデバイスにリンクされた、生体認証や暗証番号を使った Web サイトへのログインを可能にするデジタル認証情報のことだ。

Microsoft の Kerberos と NTML：Windows 11 での置き換えを本格化

Microsoft plans to kill off NTLM authentication in Windows 11

2023/10/13 BleepingComputer — 今週の初めに Microsoft が発表したのは、Windows 11 における NTLM 認証プロトコルを、将来的に廃止するという方針である。NTLM (New Technology LAN Manager) は、リモート・ユーザーを認証し、セッション・セキュリティを提供する、プロトコル群である。現在では、もうひとつの認証プロトコルである Kerberos が NTLM に取って代わり、Windows 2000 以降の全てのバージョンにおいて、ドメインに接続されたデバイスの、デフォルトの認証プロトコルになっている。

中小企業の約半数がサイバー攻撃に遭っている：英国の給与計算プロバイダーによる調査

Half of Small Businesses Hit by Cyber-Attack Over the Past Year

2023/10/12 InfoSecurity — サイバー・セキュリティが中小企業 (SME：small and medium enterprises) にとって最大の関心事となっているのは、この１年の間に SME の 48％が、少なくとも１件のサイバー・インシデントを経験しているからだという。この分析の結果は、会計／給与計算ソフトウェア・プロバイダーである、Sage の最新調査によるものである。Sage の顧客である Roche Healthcare は、そのようなインシデントを、最近に経験した SME のひとつである。Roche の広報担当者である Cindy Cleasby は、ロンドンで開催された Sage のイベントで、「そのため、請求書を含む多くの作業を手作業で行う必要性が生じた」と、自身の経験を語った。

MFA は信じて疑うべき存在：業界による宣伝に踊らされないために

Why MFA Is Not the Panacea the Industry Is Touting it to Be

2023/10/06 InfoSecurity — 多要素認証 (Multi Factor Authentication：MFA) とは、ユーザーが本人であることを証明するために、ユーザーと認証システムのみが知るべき２つ以上の「秘密」の共有を要求する、デジタル認証ソリューションのことである。MFA は、単純なログイン名とパスワードよりも改善されたものである。しかし、非常に危うくなっており、何十億とは言わないまでも、何億ものオンライン攻撃を成功させてしまっている。残念なことに、ほとんどの MFA はパスワードと比べて、あなたを遥かに安全にすることはできず、また、この業界は、あなたが使用すべき MFA について十分に話していない。それであっても、貴重なデータやシステムを守るためには、可能な限り MFA を使うべきである。

GitHub のシークレット・スキャンが拡張：AWS／Microsoft／Google／Slack などをカバー

GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack

2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良／拡張により、一般的な Amazon Web Services (AWS)／Microsoft／Google／Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。

Microsoft の最新レポート：APT の活動とサイバー攻撃の分析を提供

Microsoft Releases New Report on Cybercrime, State-Sponsored Cyber Operations

2023/10/06 SecurityWeek — Microsoft の最新レポートによると、サイバー攻撃を受けた 120の国々の中で、米国／ウクライナ／イスラエルの三国は、依然としてサイバースパイやサイバー犯罪の、最大の標的であり続けているようだ。同社によると、観測された攻撃の 40％以上において、重要インフラ組織が標的とされ、国家に支援されるスパイ活動などが、その要因となっているという。また、観測されたサイバー攻撃の半分が、NATO 加盟国を対象としていたこともあったという。

CISA／NSA が IAM ガイダンスを公表：ベンダーとデベロッパーに考えてほしいこと

CISA, NSA Publish Guidance on IAM Challenges for Developers, Vendors

2023/10/05 SecurityWeek — 米国の CISA と NSA が発表した、IAM (Identity and Access Management) の実装に関する新しいガイダンスは、開発者とベンダーが直面する課題に焦点を当てるものだ。この、IAM 管理者向けのガイダンスから半年後にリリースされた、この新しい出版物は、主に大規模組織を対象としているが、小規模企業にも利用できる。Identity and Access Management: Developer and Vendor Challenges (PDF) という名前で、IAM に対する脅威の影響を組織的に軽減するための、ベスト・プラクティスに焦点を当てるものとなっている。

NSA／CISA が概説：ミスコンフィグレーション Top-10 ついて特定していこう

NSA and CISA reveal top 10 cybersecurity misconfigurations

2023/10/05 BleepingComputer — 今日、米国の National Security Agency (NSA) と Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、大規模組織のネットワークでレッドチームとブルーチームが発見した、サイバーセキュリテで再重視すべきミスコンフィグレーションの Top-10 である。また、このアドバイザリでは、脅威アクターたちが用いる TTP (Tactics, Techniques, and Procedures) と、ミスコンフィグレーションの悪用方法に加えて、アクセス権の獲得／横方向への移動／機密情報やシステムの標的化といった、各種の目的を達成する方法についても詳しく説明されている。

CISA の Secure Our World キャンペーン：誰もができる４つのステップを解って欲しい

CISA Kicks Off Cybersecurity Awareness Month With New Program

2023/10/02 SecurityWeek — 20th Cybersecurity Awareness Month を記念して、サイバー・セキュリティを向上させたい CISA は、企業や個人が取るべき４つの重要な行動を促進することを目的として、新しいプログラムを開始した。2004年以降において、10月という月に行われてきたのは、民間と公的セクターの両方に対して、サイバー・セキュリティの重要性への認識を高めるキャンペーンである。

AI が作り出すフィッシング・メール：それを見分けることは不可能だ

AI-Generated Phishing Emails Almost Impossible to Detect, Report Finds

2023/10/02 InfoSecurity — AI チャットボットを悪用するサイバー犯罪者たちが、フィッシング・キャンペーンを展開する可能性が懸念されているが、メール・セキュリティ・プロバイダーの Egress によると、AI が作成したフィッシング・メールを検知することは、ほぼ不可能だとのことだ。10月2日に発表された Egress の Phishing Threat Trends Report によると、フィッシング・メールを AI 検知器で分析しても、71.4% の確率で、チャットボットと人間の見分けができないという。

GitHub における偽装 Dependabot：悪意のコードをコミットさせる新たなキャンペーン

GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions

2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。

MITRE ATT&CK へのインタビュー：新たな悪用手法をカタログ化し続けていく

MITRE ATT&CK project leader on why the framework remains vital for cybersecurity pros

2023/09/26 HelpNetSecurity — この秋に 10 周年を迎える MITRE ATT&CK は、サイバーセキュリティの専門家が互いにコミュニケーションを図り、敵対者の行動をよりよく理解するための共通言語である。Help Net Security のインタビューでは、プロジェクト・リーダーの Adam Pennington がフレームワークについて、また、防御者によるフレームワークの活用方法について、さらに今後の展開について語っている。

Microsoft の Passkeys 展開：9月26日から Windows 11 で正式に始動

Microsoft is Rolling out Support for Passkeys in Windows 11

2023/09/26 TheHackerNews — 今日から Microsoft は、デスクトップ OS のメジャー・アップデートの一環として、Windows 11 で Passkeys のサポートを正式に展開する。この機能によりユーザーは、ID／PW を入力することなく、代わりにデバイスの暗証番号や生体情報を用いてステップを完了し、Web サイトやアプリケーションにログインできるようになる。FIDO 標準に基づく Passkeys は、2022年5月に初めてパスワードの代替になるものとして発表され、フィッシングに強いとされている。その後に Apple や Google に採用され、また、この数カ月の間に他のサービスでも採用されている。

ZeroFont フィッシング手法：偽のスキャン情報に騙される Outlook の欠陥とは？

New ZeroFont phishing tricks Outlook into showing fake AV-scans

2023/0926 BleepingComputer — Microsoft Outlook のセキュリティ・ツールでスキャンが完了したように見せかけ、さらに Zero-Point フォントを電子メールに埋め込むという新たな手口が、ハッカーたちに用いられている。過去においても、Zero-Point フォントを用いるフィッシング・テクニックが使われていたが、このような使われ方が判明したのは、今回が初めてのことである。ISC Sans のアナリストである Jan Kopriva の最新レポートが警告するのは、この手口により、フィッシングの効果に生じる大きな変化の可能性である。したがってユーザーは、その存在と野放し状態での攻撃に注意すべきとしている。

GitHub の Passkeys サポートが始動：Apple／Google／Microsoft と協調

GitHub passkeys generally available for passwordless sign-ins

2023/09/21 BleepingComputer −−− 9月21日に GitHub が公開した Passkeys により、すべてのユーザーのパスワードレス・ログインが、このプラットフォーム全体で利用可能となり、フィッシングからアカウントが保護されるようになる。Passkeys は、コンピューター／タブレット／スマートフォンなどのデバイスにリンクされ、フィッシング攻撃からの保護や、不正アクセスの阻止を提供することで、データ漏洩のリスクを低減するという重要な役割を担っている。また、Passkeys は、暗証番号や指紋／顔認証などの生体認証といった、個人識別方法を通じて、アプリやオンライン・サービスへのアクセスを容易にする。

Chromebook ユーザーに朗報：来年からセキュリティ・サポートが 10年に延長される

Google extends security update support for Chromebooks to 10 years

2023/09/15 BleepingComputer — Google の発表は、すべての Chromebook について、AUE (Auto Update Expiration) を５年から 10年に延長し、毎月のセキュリティ更新を 10年間にわたり保証するというものだ。Chromebook は ChromeOS を搭載した安価なノート PC であり、CPU は非力であり、RAM／ROM は小容量の傾向にある。つまり、ローカル。デバイス上で高負荷のプロセス実行するのではなく、クラウド・サービスに依存する学生やリモートワーカーを対象としている。

時代遅れの認証ストラテジー：依然としてユーザー企業に残り続ける

Enterprises persist with outdated authentication strategies

2023/09/15 HelpNetSecurity — Enzoic の最新調査によると、認証はサイバー・セキュリティの要であるにもかかわらず、依然として時代遅れのリスク軽減戦略に依存していることが判明した。攻撃対象が拡大し続け、ますます巧妙化するサイバー脅威に対して、エンタープライズが苦慮しているのは、セキュアでユーザー・フレンドリーな認証の実現である。調査では、最新の戦略が登場している一方で、今回の調査で明らかになったのは、大半の企業が、依然として従来のアプローチに頼っていることである。

Google Authenticator MFA クラウド同期：深刻な問題が生じると Retool が非難

Retool blames breach on Google Authenticator MFA cloud sync feature

2023/09/15 BleepingComputer — ソフトウェア会社 Retool は、標的型の多段階ソーシャル・エンジニアリング攻撃により、クラウド顧客 27社のアカウントが侵害されたと発表した。Retool の開発プラットフォームは、スタートアップから Fortune 500 にいたるまで、さまざまな企業のビジネス・ソフトウェアの構築に利用され、その顧客には Amazon／Mercedes-Benz／DoorDash／NBC／Stripe／Lyft なども含まれる。Retool のエンジニアリング責任者である Snir Kodesh は、乗っ取られたアカウントは、すべて暗号通貨業界の顧客のものであることを明らかにした。この侵入は 8月27日に発生し、攻撃者は SMS フィッシングとソーシャル・エンジニアリングを使用して、複数のセキュリティ制御を迂回し、IT 従業員の Okta アカウントを侵害していった。

CISA がオープンソース保護を本格化：セキュリティ・ロードマップを発表

CISA Releases Open Source Software Security Roadmap

2023/09/13 SecurityWeek — 9月12日 (火) に米国の Cybersecurity and Infrastructure Security Agency (CISA) はオープンソース・ソフトウェア (OSS) のエコシステムを支援し、連邦政府機関による OSS の利用を保護するための、計画について詳述する新たなドキュメントを発表した。同庁によると、誰もがアクセス／変更／配布できる OSS は、高品質コードの提供とコラボレーションを促進するが、広範囲に影響を及ぼす Log4Shell などの脆弱性により、高いリスクももたらす可能性があるという。

GitHub の深刻な脆弱性が FIX：ユーザー名変更にともなうレポハイジャックの問題

Critical GitHub Vulnerability Exposes 4,000+ Repositories to Repojacking Attack

2023/09/12 TheHackerNews — GitHub に新たな脆弱性が発見され、何千ものリポジトリがレポジャッキング攻撃の危険にさらされている可能性があると判明した。Checkmarx のセキュリティ研究者である Elad Rapoport は、「GitHub のリポジトリ作成とユーザー名の変更操作における、競合状態を悪用できる。この脆弱性の悪用に成功した攻撃者は、Go／PHP／Swift などによる 4,000 以上のコード・パッケージや GitHub Actions を乗っ取ることが可能となり、このオープンソース・コミュニティに深刻な影響が生じる恐れがある。2023年3月1日の情報公開に続いて、2023年9月1日付けで GitHub は、この問題に対処した」と、The Hacker News と共有した技術レポートの中で述べている。

Windows のプリンタ機能：2025 年からサードパーティ製のプリンタ・ドライバを非公開に

Microsoft will block 3rd-party printer drivers in Windows Update

2023/09/11 BleepingComputer — Microsoft が発表したのは、今後の４年間にわたる、プリンタ・ドライバ戦略の実質的かつ段階的な方向性の転換である。その一環として、Windows Update でのサードパーティ製プリンタ・ドライバの配信停止が決定された。同社は、「Windows 10 21H2 のリリースから、Windows は Microsoft IPP (Internet Printing Protocol) クラス・ドライバを介して、ネットワークと USB インターフェイス上で Mopria 準拠のプリンタ・デバイスのインボックス・サポートを提供するようになる。これにより、印刷機器メーカーは、独自のインストーラー／ドライバ／ユーティリティーなどを提供する必要がなくなる」と述べている。

Microsoft Office を攻撃する Agent Tesla RAT：古い脆弱性が悪用されるという現実

Old vulnerabilities are still a big problem

2023/09/06 HelpNetSecurity — Microsoft Office に存在する、古いリモートコード実行の脆弱性を悪用して、無防備なユーザーに Agent Tesla RAT 配信するィッシングキャンペーンが、つい先日に発見された。Fortinet の研究者である Xiaopeng Zhang は、「脆弱性 CVE-2017-11882／CVE-2018-0802 に対するパッチは、2017年11月と 2018年1月に、Microsoft からリリースされている。しかし、脅威アクターたちにとって、これらは依然として人気の脆弱性であり、５年以上が経過した今でも、まだパッチが適用されていないデバイスが野放しになっていることが示唆される。私たちは、IPS レベルで、１日あたり 3000件の攻撃を観測し、緩和している。観測された脆弱なデバイスの数は、１日あたり約 1300台である」と述べている。

Kroll でデータ侵害が発生：社員が SIM スワッピング攻撃のターゲットに

Kroll Suffers Data Breach: Employee Falls Victim to SIM Swapping Attack

2023/08/26 TheHackerNews — Risk and Financial のアドバイザリー・ソリューションを提供する Kroll だが、8月25日 (金) に明らかにしたのは、同社の従業員の一人が高度に洗練された SIM スワッピング攻撃の被害に遭ったことである。このインシデントは、2023年8月19日に発生し、従業員の T-Mobile アカウントが標的にされたという。

Web ブラウザ・エクステンションの問題：その半数以上が高リスクであるという調査結果

More Than Half of Browser Extensions Pose Security Risks

2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。

AnonFiles が閉鎖：無料ファイル共有サービスを追い込んだ大量の不正利用とは？

AnonFiles Shuts Down After Massive User Abuse

2023/08/17 InfoSecurity −−− セキュリティ研究者たちに利用される一方で、攻撃者の人気も集めてしまった、匿名ファイル共有サービス AnonFiles が、膨大な数のユーザーに乱用していることを理由に閉鎖を決定した。 AnonFiles は、２年間にわたる運用の実績を持ち、オンラインで追跡されることを恐れる人々が、安心してファイルを共有できる環境を提供してきた。しかし、その一方では、悪意のハッカーたちが盗み出した、ログイン情報や個人識別情報 (PII) などのデータを共有するための環境にもなっていた。

NIST CSF 2.0 のドラフト版がリリース：ガバナンス項目の追加と対象の拡大

What’s New in the NIST Cybersecurity Framework 2.0

2023/08/15 DarkReading — およそ 10年前に導入が開始された、サイバー・セキュリティの技術的ガイダンスである NIST (National Institute for Standards and Technology) の、CSF (CSF：Cybersecurity Framework) ドラフト版が発表された。これまでの CSF の対象は、エネルギー／銀行／病院などの主要インフラだったが、今回のアップデートでは、あらゆる規模の組織にまで範囲が拡大されている。

Microsoft Active Directory への攻撃経路：セキュリティ向上のために知っておくべきことは？

Understanding Active Directory Attack Paths to Improve Security

2023/08/08 TheHackerNews — 1999年に導入された Microsoft AD (Active Directory) は、Windows ネットワークにおけるデフォルトの ID／アクセス管理サービスであり、全てのネットワーク・エンドポイントに対するセキュリティ・ポリシーの割当／実施を担っている。それによりユーザーは、ネットワーク上の様々なリソースにアクセスできるようになる。そして数年前に Microsoft は、AD のパラダイムを拡張するクラウドベースの Azure Active Directory を発表し、クラウドとオンプレミスの両方に IDaaS (Identity-as-a-Service) ソリューションを提供した。2023年7月11日付で、このサービスは Microsoft Entra ID に名称変更されたが、分かりやすくするために、この記事では Azure AD と呼ぶことにする。

VPN 依存というリスキーなギャンブル：ネットワークへのアクセス権は危険

VPNs remain a risky gamble for remote access

2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらすリスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。

2022年に悪用された脆弱性 Top-12：Five Eyes／FBI／CISA／NSA の共同勧告

FBI, CISA, and NSA reveal top exploited vulnerabilities of 2022

2023/08/03 BleepingComputer — Five Eyes のサイバー・セキュリティ当局は、CISA／NSA／FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表した。米国／英国／豪州／カナダ／ニュージーランドの５カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけた。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきた。

CVSS と CISA KEV だけに頼らない脆弱性管理：EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性／緩和策／到達可能性) だけでなく、外部的な情報源も必要になる。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

IDOR 脆弱性がデータ漏洩に悪用されている：ACSC／CISA／NSA が共同勧告

Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches

2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。

RDP は便利だが RCE が怖い：脅威アクターたちが一点突破を狙う脆弱性とは？

A Few More Reasons Why RDP is Insecure (Surprise!)

2023/07/20 TheHackerNews — Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できる。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされた。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになった。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなった。RDP が果たす役割により、リモートワーク／IT サポート／システム管理などが実現されてきた。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっている。

AI と Open Source の関係：半数以上のプロジェクトで脆弱なパッケージが使用されている

Half of AI Open Source Projects Reference Buggy Packages

2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52％) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か５ヶ月で、”多様な問題領域”にまたがる 900件の npm／PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。

エンタープライズ・セキュリティにおけるマクロ・シフトを探る – Scale 調査

Exploring the macro shifts in enterprise security

2023/07/20 HelpNetSecurity — Scale の 2023 Cybersecurity Perspectives Survey によると、ランサムウェア攻撃とデータ侵害の成功件数は昨年１年間で 30％減少したが、ユーザー組織から報告されたセキュリティ・インシデントの種類は増加した。実際のところ、71％の組織が３種類以上のセキュリティ・インシデントを経験しており、前年比で 51％増となっている。特にクラウドの状況が急速に進化し、人手不足が続いている中で、ネットワークを保護するための困難な戦いに、セキュリティ・チームは直面し続けている。

VirusTotal からリークした個人情報：米国とドイツの諜報機関などの職員 5,600 人が被害

VirusTotal leaked data of 5,600 registered users

2023/07/18 HelpNetSecurity — VirusTotal がデータ流出に見舞われ、登録ユーザー 5,600人の氏名と電子メール・アドレスが流出した。この流出したデータには、米国とドイツの諜報機関などの職員に関する情報も含まれていると報じられている。Google 傘下の VirusTotal は、疑わしいファイルや URL を分析する人気のオンライン・サービスであり、ウイルス対策エンジンや Web サイト・スキャナーを通じて、マルウェアや悪意のあるコンテンツを検出している。

Cl0p の MOVEit キャンペーン：160社への侵入は新時代のサイバー攻撃の象徴か？

Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks

2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。

Microsoft Teams の問題：外部からのマルウェア配信を証明するツールが公表された

New tool exploits Microsoft Teams bug to send malware to users

2023/07/05 BleepingComputer — 米海軍のレッドチーム・メンバーが、TeamsPhisher と呼ばれるツールを公開した。このツールは、Microsoft Teams の未解決のセキュリティ問題を悪用し、外部テナントからのファイル受信制限を回避させ、標的とする組織のユーザーに対して攻撃を行うものだ。このツールは、英国のセキュリティ・サービス会社 Jumpsec の Max Corbridge と Tom Ellson が提供したものである。先月に指摘された問題の悪用を証明するものであり、Microsoft Teams のファイル送信制限を回避した攻撃者が、外部アカウントからマルウェアを配信する方法を簡潔に説明している。

75% の消費者は覚悟を決めている：ランサムウェアに攻撃されたベンダーからは逃げ出すぞ！

75% of consumers prepared to ditch brands hit by ransomware

2023/07/05 HelpNetSecurity — 消費者の 40% は、ベンダーが提供するデータ保護能力に懐疑的であり、75% はランサムウェア攻撃を受けた場合に別の企業に移行するという、Object First の調査結果が公表された。さらに、消費者はベンダーに対してデータ保護の強化を求めている。信頼性の高いバックアップ／リカバリ／パスワード保護／ID アクセス管理戦略などの、包括的なデータ保護対策を持つ企業を、消費者の 55% が支持しているという。組織がデジタル・トランスフォーメーションへの取り組みを強化するにつれて、データ量は飛躍的に拡大する一方で、ランサムウェア攻撃がサイバー脅威の主流となっている。