CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ

Why CVE Management as a Primary Strategy Doesn’t Work

2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。

Continue reading “CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ”

Microsoft が Security Update Guide を RSS フィードで提供:最新のセキュリティ・リスクを共有

Microsoft adds new RSS feed for security update notifications

2022/10/12 BleepingComputer — Microsoft は、Security Update Guide の RSS フィードを通じて、新しいセキュリティ更新プログラムに関する通知を可能にした。したがって、Microsoft が自社製品のセキュリティ脆弱性を修正した場合には、その詳細が Security Update Guide (SUG) で公開されることになる。現状において、Microsoft は月に2回、新しい脆弱性を開示しているが、その大部分は毎月の Patch Tuesday と Microsoft Edge の脆弱性を修正するときだ。

Continue reading “Microsoft が Security Update Guide を RSS フィードで提供:最新のセキュリティ・リスクを共有”

Microsoft の脆弱性情報戦略:ゼロデイを防ぎながらノイズを増やさない方法とは?

Microsoft: We Don’t Want to Zero-Day Our Customers

2022/08/12 DarkReading — BLACK HAT USA — Microsoft のセキュリティ担当幹部は、同社の脆弱性開示ポリシーについて、セキュリティ・チームが十分な情報に基づき、パッチ適用を決定するために必要なものであり、また、パッチを素早くリバース・エンジニアリングして悪用する、脅威アクターからの攻撃を受けるリスクはないと述べた。

Continue reading “Microsoft の脆弱性情報戦略:ゼロデイを防ぎながらノイズを増やさない方法とは?”

あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?

4 Steps to Getting CVEs Published

2022/04/19 SecurityBoulevard — あなたが、セキュリティ研究分野の新参者なら、最も苛立たしい問題の1つとして、脆弱性と CVE を公開するためのプロセスのナビゲーションがあるだろう。結局のところ、あなたは、新しく発見した脆弱性を世界と共有したいだけなのだが、それが厄介なのだ。

この業界を代表して申し上げると、私たちは皆、キャリアのどこかで、この困難な状況に直面したことがあるはずだと思う。研究者仲間を助けるリソースとして、私自身の個人的な経験 (そして正直なところ、多くの古き良き試行錯誤) に基づき、以下の CVE パブリッシング・ガイドをまとめてみた。このガイドにより、頭痛や推量が回避され、より簡単に CVE が公開されることを期待している。

Continue reading “あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?”

CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点

Why You Should Be Using CISA’s Catalog of Exploited Vulns

2022/03/11 DarkReading — 2021年11月に Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用される脆弱性のリスクを軽減することを目的とした、義務的運用指令 (Binding Operations Directive 22-01) を発表した。この指令には、CISA が管理する、すでに悪用される脆弱性のカタログ (Known Exploited Vulnerability Catalog) が添付されており、強制的な是正期限が記載されている。基本的には、該当する機関や組織に対して、迅速な修正を要求するものである。

Continue reading “CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点”

Risk Based Security レポート:2021年は 28,695 件の脆弱性が公表された

28,695 vulnerabilities were disclosed in 2021 – the highest number on record

2022/02/17 HelpNetSecurity — Risk Based Security (RBS) のレポートによると、2021年には合計で 28,695件の脆弱性が公開された。この総数は過去最高の数字であり、それぞれの組織やセキュリティチームが直面する、リスクの大きさを如実に示している。いまの脆弱性の開示状況は、COVID-19 パンデミックを超える勢いであり、今年に今開示される脆弱性の数は、前年と比べて増加し続けるだろうと、RBS は予測している。

Continue reading “Risk Based Security レポート:2021年は 28,695 件の脆弱性が公表された”

CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する

CISA shares a catalog of 306 actively exploited vulnerabilities

2021/11/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている 306件の脆弱性のカタログを公開し、それぞれの連邦政府機関に対して、一定の期限内に対処するよう命じる運用指令を発出した。この指令は、連邦政府の情報システムに存在する、すべてのソフトウェアおよびハードウェアを対象としており、そこには、連邦政府の施設内で管理されているもの、および、連邦政府に代わって第三者がホストされているものがある。

Continue reading “CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する”

Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?

Researchers Call for ‘CVE’ Approach for Cloud Vulnerabilities

2021/08/07 DarkReading — Black Hat USA 2021 – Las Vegas – これまでの1年間において、クラウド・サービスのセキュリティ上の欠陥や弱点を、徹底的に調査してきた2人の研究者が、Amazon Web Services (AWS) アカウント間の隔離が破られるという、新たな問題を明らかにした。クラウド・セキュリティ企業である Wiz.io の Ami Luttwak と Shir Tamari によると、このようなアカウントをまたぐクラウド・サービスの脆弱性は、AWS 以外にも広く存在する可能性があるという。今回の調査では、クラウド・サービスの利用者にとって、自分が利用しているクラウドのインスタンスが、他の利用者のインスタンスから、必ずしも隔離されているわけではないという、厳しい現実が示唆された。

Continue reading “Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?”

FBI 警告:この2年間の最凶脆弱性 Top-12

FBI reveals top targeted vulnerabilities of the last two years

2021/07/28 BleepingComputer — 本日に、米国と英国とオーストラリアのサイバー・セキュリティ機関が発表した、共同セキュリティ・アドバイザリでは、過去2年間で頻繁に標的とされた脆弱性の、Top-12 が明らかにされている。

Cybersecurity and Infrastructure Security Agency (CISA)
Australian Cyber Security Centre (ACSC)
United Kingdom’s National Cyber Security Centre (NCSC)
Federal Bureau of Investigation (FBI)

Continue reading “FBI 警告:この2年間の最凶脆弱性 Top-12”

Akamai の認証プラットフォームに影響をおよぼす Lasso の脆弱性

Akamai offers post-mortem on recently resolved authentication platform vulnerability

2021/06/03 DailySwig — Akamai のアクセス・コントロールおよび認証プラットフォームである、Enterprise Application Access (EAA) の欠陥に関する分析結果と、最新のパッチを発表した。EAA とは、サードパーティの ID プロバイダーが提供する ID 情報に基づいて、エンタープライズ・ユーザーがアクセス制御や認証を決定できるようにするものだ。

Continue reading “Akamai の認証プラットフォームに影響をおよぼす Lasso の脆弱性”

闇で取引されるエクスプロイト情報の 47% が Microsoft 製品を標的にしている

47% of Criminals Buying Exploits Target Microsoft Products

2021/05/17 DarkReading — RSA CONFERENCE 2021 – 闇のエクスプロイト・マーケットについて1年間に渡って調査を行った研究者によると、サイバー犯罪者たちがアンダーグラウンド・フォーラムにリクエストする、CVE の47% を Microsoft 製品が占めている。

Continue reading “闇で取引されるエクスプロイト情報の 47% が Microsoft 製品を標的にしている”