Literacy – Page 15 – IoT OT Security News

Notepad++ からの SOS：模倣サイトをシャットダウンしてほしい！

Notepad++ wants your help in “parasite website” shutdown

2024/04/08 BleepingComputer — Notepad++ の開発者が、一般に対して求めている協力とは、Notepad++ に酷似しているが、プロジェクトとは無関係である、模倣 Web サイトの閉鎖に関するものだ。現時点では、この模倣サイトは、訪問者を Notepad++ の公式ダウンロード・ページに誘導している。しかし、今後において懸念されるのは、悪意のリリースやスパムの意図的なプッシュといった、セキュリティ上の脅威となる可能性である。

Google が Chrome に搭載する V8 Sandbox：Web ブラウザのメモリ破損に対する最適解とは？

Google Chrome Adds V8 Sandbox – A New Defense Against Browser Attacks

2024/04/08 TheHackerNews — Google が発表したのは、Chrome におけるメモリ破壊問題に対処するために、この Web ブラウザで V8 Sandbox という名の機能をサポートすることだ。V8 Security Technical Lead である Samuel GroB によると、このサンドボックスにより、V8 におけるメモリ破損のホスト・プロセス内での拡大が防止されるとのことだ。Google は V8 Sandbox について、JavaScript と WebAssembly エンジンのための、軽量化されたプロセス内サンドボックスだと説明しており、一般的な V8 の脆弱性を軽減するように設計したと言っている。

サイバー侵害と一般消費者：自分は安全だと信じる 76% の回答者 – Bitdefender 調査

76% of consumers don’t see themselves as cybercrime targets

2024/04/04 HelpNetSecurity — Bitdefender の調査によると、世界中の消費者の 67％が、AI に起因するセキュリティとプライバシーの問題に懸念を抱いている。AI の機械学習アルゴリズムにおいて個人データが使用され、その量が増加しているため、データの保存／使用／アクセスに関する深刻な懸念が提起されている。最も懸念を抱いているのは、スペインの回答者の 80％であり、イタリアが 49％に留まったのとは対照的である。

CVE と NVD：脆弱性の正規の情報源は分断されている？

CVE and NVD – A Weak and Fractured Source of Vulnerability Truth

2024/04/03 SecurityWeek — 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のリストと、それに関連する NVD (National Vulnerability Database) だが、脆弱性において一番に信頼すべき情報源とは、もはや考えられなくなっている。現在の CVE システムには改善の余地があり、また、改善すべきものであることを疑う者はいない。米国の DHS (Department of Homeland Security) に支援される、MITRE が管理する CVE リストを、NIST が NVD に統合し、その詳細データを充実させてきた。MITRE が CVE ID の採番や管理を行う一方で、サイバー防衛者たちが脆弱性を評価する上で、拠り所としてきたのが NVD である。

Google が数十億件のデータ破棄に合意：Chrome を介した不誠実な情報収集が結審

Google Agreed To Erase Billions Of Browser Records To Settle A Class Action Lawsuit

2024/04/02 SecurityAffairs — Google は、利用者からの集団訴訟に対して、”Incognito Mode” で収集された数十億件のユーザー閲覧行動などの、データを削除することに合意した。この、法律事務所 Boies Schiller Flexner が 2020年に起こした集団訴訟は、Google が Chrome ユーザーに Incognito Mode ではオンライン活動が追跡されないと欺き、同社がユーザーの知らないうちに、あるいは明示的な同意なしに、ユーザーの閲覧データを収集していたとしている。

Gmail におけるスパム／フィッシング対策の強化：メール送信事業者は注意が必要

Google now blocks spoofed emails for better phishing protection

2024/04/01 BleepingComputer — Google が開始したメールの自動的なブロックとは、スパム／フィッシング攻撃に対する防御を、新しいガイドラインの要求に応じて強化するものである。それにより、大量送信者により送信される欺瞞的なメッセージは、フルイにかけられることになる。現時点において Google は、Gmail アカウントに対して 5,000通を超えるメッセージを送信するドメインに対して、SPF/DKIM と DMARC メール認証を設定するよう求めている。この制限は、2023年10月に発表されたものである。

XZ Utils の脆弱性 CVE-2024-3094：Fedora で発見されたバックドア – Red Hat 警告

Red Hat warns of backdoor in XZ tools used by most Linux distros

2024/03/29 BleepingComputer — 3月29日に Red Hat が公開したのは、最新のデータ圧縮ツール／ライブラリである XZ Utils にバックドアが見つかったという警告である。同社は、Fedora の開発版／実験版を実行しているシステムの使用を、直ちに停止するようユーザーに求めている。Red Hat は通知で、「FEDORA 41／FEDORA RAWHIDE INSTANCES の使用を直ちに中止してほしい」と述べている。

PenTesting-as-a-Service について考える：従来からの方式と比べて時間とコストが圧縮できる？

How Pentesting-as-a-Service can Reduce Overall Security Costs

2024/03/28 BleepingComputer — アプリケーションやデータの安全性を維持する業務に携わっているなら、潜在的な弱点や脆弱性を特定する上での、ペネトレーション・テストの重要性を知っているだろう。しかし、古典的なペンテストにおいては、あなたの組織を不必要なリスクにさらす可能性があり、それと同時に、コストを押し上げる可能性があることは知らないかもしれない。その代わりとして、Web アプリケーション向けの PTaaS (Penetration Testing as a Service) が提供するのは、サイバー・セキュリティ向上と、保護強化と、コスト削減する方法となる。

NIST NVD の新たなコンソーシアム設立が決定：FIRST カンファレンスでの発表とは？

NIST Unveils New Consortium to Operate its National Vulnerability Database

2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。

サイバー攻撃とレジリエンス：成熟している組織は３％に過ぎない – Cisco 調査

Only 3% of Businesses Resilient Against Modern Cyber Threats

2024/03/27 InfoSecurity — Cisco の 2024 Cybersecurity Readiness Index によると、現代のサイバー・セキュリティ脅威に対して、回復力を持つ組織は僅か 3％であるという。この数値は、”成熟” レベルの準備態勢を持つグローバル組織の割合が、15％と算定された昨年に比べて、大幅に低下していることを表す。71% の組織の内訳は、”発展途上” 60% と、”ビギナー” 11% という、下位の２つのカテゴリーに分類された。残りの 26% は “進歩的”とランク付けされている。

Google のゼロデイ調査：2022／2023 の比較で50％以上も増加

Zero-Day Vulnerabilities Surged by Over 50% Annually, Says Google

2024/03/27 InfoSecurity — Google が検出したゼロデイ脆弱性の量は、2022年から2023年にかけて 50％以上も増加し、サードパーティ製コンポーネントのバグが増加しているとのことだ。Google TAG (Threat Analysis Group) と Mandiant の研究者で構成される調査チームは、2023年を振り返る “We’re All in this Together” で調査の結果を明らかにしている。2023年に発見されたゼロデイ脆弱性は合計で 97件であり、2021年の106件に僅かに及ばなかった。

Tycoon 2FA という PhaaS の台頭：Microsoft 365／Gmail アカウントの MFA バイパスで収益

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts

2024/03/24 BleepingComputer — Microsoft 365 および Gmail のアカウントを標的とし、二要素認証 (2FA) 保護をバイパスするために、Tycoon 2FA という PhaaS プラットフォームを使用する、サイバー犯罪者が増加している。2023年10月に実施された Sekoia の定期的な脅威ハンティングの最中に、Tycoon 2FA は発見されている。遅くとも 2023年8月には、Saad Tycoon グループがプライベートな Telegram チャンネルを通じて提供したようだ。

企業の 95％が API のセキュリティ問題に直面している – Fastly 調査

95% of companies face API security problems

2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。

NIST の脆弱性データベースの凍結：その将来に投げかけられる疑問とは？

NIST’s Vuln Database Downshifts, Prompting Questions About Its Future

2024/03/22 DarkReading — 2005年から NVD (National Vulnerability Database) は、世界中のセキュリティ研究者が発見した膨大な CVE (Common Vulnerabilities and Exposures) に関する、詳細情報を掲載してきた。しかし、この政府が後援する、重要かつ不可欠なデータベースが、2024年2月以降においては、ほぼ無意味なツールと化している。

800 以上の NPM パッケージで不一致を検出：そのうちの 18件は Manifest Confusion を悪用

Over 800 npm Packages Found with Discrepancies, 18 Exploitable to ‘Manifest Confusion’

2024/03/21 TheHackerNews — npm レジストリに存在する、800 以上のパッケージのレジストリ・エントリに不一致であることが、サイバーセキュリティ企業 JFrog の新たな調査により判明した。不一致があったエントリのうちの 18 件は、 “Manifest Confusion” と呼ばれる手法を悪用していたという。JFrog によると、開発者を騙して悪意のコードを実行させるために、この問題が脅威アクターに悪用される可能性があるという。

NIST NVD の障害：CVE に紐づくはずのメタデータが提供されていない

NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold

2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。

CISA で発生したデータ侵害：Ivanti 製品の脆弱性が悪用された

Ivanti Breach Prompts CISA to Take Systems Offline

2024/03/12 DarkReading — Ivanti 製品の脆弱性を悪用したハッカーが、2月に米国の CISA (Cybersecurity and Infrastructure Security Agency) のシステムに侵入していたことが分かった。CISA の広報担当者は、約１か月前に、同機関が使用している２つの Ivanti 製品で不審な活動が確認されていたことを認めている。これらのシステムは、直ちにオフラインにされたが、この侵入が誰によるものなのか、データへのアクセスや盗難があったのかどうかは不明だという。

Tor Project の WebTunnel という新機能：HTTPS トラフィックを模倣して検閲を回避

Tor’s new WebTunnel bridges mimic HTTPS traffic to evade censorship

2024/03/12 BleepingComputer — Tor プロジェクトが、WebTunnel の正式リリースを発表した。WebTunnel は、Tor ネットワークを標的とする検閲を迂回するために、特別に設計された新しいブリッジで、接続を目立たないように隠すことができる。

2023年の GitHub：全体で 1200万件のシークレットが漏えいしてしまった

Over 12 million auth secrets and keys leaked on GitHub in 2023

2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に　180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。

CISA が OSS セキュリティ・サミットを開催：Principles for Package Repository Security とは？

CISA Outlines Efforts to Secure Open Source Software

2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、２日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。

E メール攻撃の現状：Secure Email Gateways を毎分１通のペースで迂回

100% Surge In Malicious Emails Bypassing Secure Email Gateways

2024/03/08 GBHackers — SEG (Secure Email Gateways) の回避に成功する悪意のメールの頻度は、過去１年間で倍増している。この急増が浮き彫りにするのは、サイバー脅威の高度化と、組織が直面するデジタル資産の保護という課題である。Cofense の分析によると、SEG を迂回する悪質な電子メールは毎分１通に達し、企業の防御に対する執拗な攻撃が示唆されている。

中国のハッカー Evasive Panda：水飲み場とサプライチェーンを組み合わせる戦術とは？

China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks

2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド／台湾／オーストラリア／米国／香港などのシステムに影響を与えたという。

LINE のデータ侵害を分析：総務省が求める Naver からのテクノロジー分離とは？

Japan on Line Breach: Clean Up Post-Merger Tech Sprawl

2024/03/07 DarkReading — 日本の省庁は、2023年11月の大規模なデータ流出について、合併したテック企業 LINE と韓国の Naver を非難している。その対象となるのは、両社間で共有されている Active Directory の存在である。アジアで広く親しまれているメッセージング・アプリ LINE で、最近に発生したデータ流出について、日本政府が分析した。その結果として LINE は、親会社である Naver から、その技術を分離するよう指示されていたことが判明した。

QEMU がトンネリング・ツールとしてハッカーに悪用されている – Kaspersky 調査

Hackers abuse QEMU to covertly tunnel network traffic in cyberattacks

2024/03/05 BleepingComputer — ある大企業に対するサイバー攻撃を分析したところ、オープンソースのハイパーバイザー・ツールである QEMU が、トンネリング・ツールとして悪用されていることが判明した。QEMU は、コンピュータ上で、他のオペレーティング・システムをゲストとして実行するための、無料のエミュレータ／ハイパーバイザーである。

境界防御について再考する：レベルアップした攻撃者たちの回帰に備えて- NCSC

Securing Perimeter Products Must Be a Priority, Says NCSC

2024/03/04 InfoSecurity — 英国のサイバー・セキュリティ専門家たちが警告するのは、企業ネットワークの境界における安全とは言えないセルフ・ホスト製品を、脅威アクターたちが標的にし始めていることだ。先週末のブログ投稿で NCSC (National Cyber Security Centre) は、ネットワーク防御者は対策と環境をアップグレードし、進化する脅威に適応する必要があると主張している。攻撃者たちは、境界から露出した製品の大半が、Secure by Design から逸脱していることに気づいており、また、一般的なクライアント・ソフトウェアよりも簡単に脆弱性を見つけ出せる対象だと知っている。

Dark Web マーケットの 2023年：Hydra のテイクダウン後の細分化の動向とは？

Dark Web Market Revenues Rebound but Sector Fragments

2024/02/29 InfoSecurity — Chainalysis の最新データによると、ダークウェブ・マーケット・プレイスの管理者と販売者たちは、2023年において前年よりも好調な展開となり、推定で $1.7bn 相当の暗号通貨ベースの収益を上げている。このブロックチェーン分析会社である Chainalysis は、過去１年間にわたるアンダーグラウンドのマーケットプレイスや、詐欺ショップからの暗号通貨の流れを調査したという。

増加するヴィッシング／スミッシング／フィッシング攻撃：ChatGPT 登場から 1,265%急増

Vishing, smishing, and phishing attacks skyrocket 1,265% post-ChatGPT

2024/02/29 HelpNetSecurity — 企業の 76% においては、ボイス／メッセージング詐欺対策が不十分である、その一方では、ChatGPT がリリースされた以降において、AI を利用するヴィッシング／スミッシングが急増していることが、Enea の調査により明らかになった。

LockBit ランサムウェアが復活：新たな暗号化機能で攻撃を再開している

LockBit ransomware returns to attacks with new encryptors, servers

2024/02/28 BleepingComputer — LockBitランサムウェア・ギャングは、先週に発生した法執行機関からの妨害の後に、身代金メモを持つ更新された暗号化機能を新しいサーバにリンクさせ、再び攻撃を行なっている。先週の NCA／FBI／Europol による Operation Cronos は、LockBit ランサムウェアに対して仕掛けられた、共同の破壊作戦であった。

ホワイトハウス ONCD レポート：メモリ・セーフな言語への切替を開発者に要請

White House Urges Switching to Memory Safe Languages

2024/02/27 DarkReading — ホワイトハウスの ONCD (Office of the National Cyber Director) が、最新技術レポートを公開した。それにより、開発者たちに対して要請されるのは、ソフトウェアにおけるメモリ・セーフティに関連する脆弱性を減らすために、安全なプログラミング言語を使用することである。

NIST CSF 2.0 が正式リリース：ニーズに応じたカスタマイズが可能なリソースとして活用！

NIST Cybersecurity Framework 2.0 Officially Released

2024/02/27 SecurityWeek — NIST Cybersecurity Framework (CSF) 2.0 の正式リリースが、2月26日に発表された。CSF の本来の対象は重要インフラ組織であるが、その他の業種などでも幅広く利用され、推奨されるようになった。そのことから、CSF 2.0 はセクター／規模／セキュリティなどの高低に関係なく、全ての組織のリスク低減を支援するように設計されていると NIST は強調している。

Unit42 調査：進化し続ける DLL ハイジャッキング

Warning: DLL Hijacking in Modern Malware Campaigns

2024/02/25 SecurityOnline — サイバー・セキュリティの脅威において、DLL (Dynamic-link library) ハイジャッキングは、依然として脅威アクターたちの定番の手口となっている。この手法は、古くから存在しているにもかかわらず、マルウェアを展開するためのステルス的な通路を、いまだに脅威アクターたちに提供し続けている。それが浮き彫りにするのは、サイバー・セキュリティにおける、防衛者と攻撃者の間の軍拡競争である。Unit42 の最新レポートは、DLL ハイジャッキングの進化にスポットを当て、この永続的な脅威の複雑さを明らかにし、この攻撃範囲を軽減するための指針を提示している。

有名ブランドの 8,000 ドメインをハイジャック：悪意のメールを送り続けるキャンペーンとは？

8,000+ Domains of Trusted Brands Hijacked for Massive Spam Operation

2024/02/26 TheHackerNews — 正規の組織やブランドに属する 8,000以上のドメインと13,000以上のサブドメインが、スパム拡散とクリック収益化のための、狡猾な配信アーキテクチャの一部として乗っ取られている。Guardio Labs が追跡しているのは、SubdoMailingという名称で、遅くとも2022年9月から続いている悪質な活動である。それらの悪意のメールの内容は、偽の荷物の配達通知から、アカウント認証情報を求めるフィッシングにいたるものとなる。

IBM 2023 調査：企業における最大の脅威は、依然として基礎的なセキュリティ対策

The old, not the new: Basic security issues still biggest threat to enterprises

2024/02/23 HelpNetSecurity — IBM の 2024 X-Force Index によると、2023年に増加したのは、サイバー犯罪者が不正ログインを行い、有効なアカウントを通じて企業ネットワークに侵入するインデントであるという。

脆弱性へのパッチ適用：どうする優先順位？どうする AI 活用？

Toward Better Patching — A New Approach with a Dose of AI

2023/02/23 securityweek —2024年を通じて毎月ごとの発表が予測される、2,900件の新しい脆弱性を分析／トリアージすることを、セキュリティ・チームに期待するのは無理である。１ヶ月に 20件でも十分な成果なのである。効果的なパッチを当てることは、侵入を減らす方法として認められている。しかし、それを達成するのは、ほとんど不可能だ。なにが問題かというと、既知の脆弱性の数が非常に多いこと、そして、それぞれのセキュリティ・チームにおいて、優先的にパッチを当てるべき脆弱性の選別が難しいことに集約される。

FTC が Avast を提訴：Web 閲覧記録の広告転用に対して $16.5 M の罰金

FTC to ban Avast from selling browsing data for advertising purposes

2024/02/22 BleepingComputer — 米国の連邦取引委員会 (FTC：Federal Trade Commission) が Avast に命じたのは、ユーザーの Web 閲覧データの販売および、広告目的でのライセンス供与の禁止、そして罰金 $16.5 million の支払いである。訴状によると、データを収集するために使用される Avast 製品は、オンライン追跡をブロックするという誤解を、結果的にユーザーに与えるものである。さらに同社は、消費者の認識や同意を得ることなしに、閲覧データを収集／保存／販売し、何百万人もの消費者の権利を侵害したという。

LockBit ランサムウェア：世界の法執行機関によりテイクダウン

Global Law Enforcement Disrupts LockBit Ransomware Gang

2024/02/21 DarkReading — FBI などの世界的な法執行機関は、凶悪なランサムウェア・グループである LockBit の活動を妨害し、そのプラットフォームを掌握し、世界的な RaaS (Ransomware-as-a-Service) 運営に関連するデータの押収に成功した。アフィリエイトたちの LockBit のコントロール・パネルに表示された、当局からのメッセージによると、Operation Cronos と呼ばれる作戦で押収されたものには、ソースコード／ランサムウェア被害者の詳細／盗まれたデータ／復号化キー／LockBit とアフィリエイトが要求した金額などの情報が含まれるという。

KeyTrap という DNS の脆弱性 CVE-2023-50387：広範囲でインターネットを停止させる恐れ

‘KeyTrap’ DNS Bug Threatens Widespread Internet Outages

2024/02/21 DarkReading — 2000年以降から放置されてきた、DNS (Domain Name System) のセキュリティ拡張機能における基本的な設計上の欠陥が、最近になって研究者たちにより解明された。DNS サーバとは、Web サイトの URL を IP アドレスに変換するという、目立たない機能を提供するものだが、すべてのインターネット・トラフィックの転送において、不可欠なものである。

DDoS シミュレーション・テストは合法なのか：各国の法体系と Red Button のサービス

Are DDoS Simulation Tests Actually Legal?

2024/02/21 InfoSecurity — サイバー攻撃への対応の方式をテストするためには、DDoS シミュレーションを定期的な実施が推奨される。それより、システムやチームにおける、技術やプロセスのギャップを特定し、DDoS 対応戦略を改善できるかもしれない。しかし、DDoS 攻撃のシミュレーションは合法なのだろうか？ DDoS シミュレーション・テストは、ハッカーによる実際の DDoS 攻撃とは、異なる法的カテゴリーに分類される。

API セキュリティ戦略を見直す：魅力的な侵入経路を脅威アクターに提供しないために

The importance of a good API security strategy

2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の２年間において、60％のユーザー組織が、API に関連する侵害を少なくとも１回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。

Google Chrome の新機能のテストが開始：プライベート・ネットワークへの攻撃をブロック

New Google Chrome feature blocks attacks against home networks

2024/02/17 BleepingComputer — Google Chrome の新機能のテストが始まった。その機能というのは、悪意の Web サイトがユーザーのブラウザを経由して、内部プライベート・ネットワーク上のデバイスやサービスを攻撃するのを防ぐためのものだ。簡単に言うと Google は、インターネット上の悪質な Web サイトを訪問したユーザーの、自宅やコンピュータ上のデバイスが、攻撃されることを防ごうと計画しているのだ。一般的に、これらのデバイスは、インターネットにはダイレクトに接続されておらず、ルーターにより保護されているため、安全だと考えられている。

Google Magika がオープンソース化：AI でファイルの安全性を識別

Google Open Sources Magika: AI-Powered File Identification Tool

2024/02/17 TheHackerNews — Google は、人工知能 (AI) を搭載したファイル識別ツールである Magika をオープンソース化することを発表した。同社は、「Magika は、従来のファイル識別方法を凌駕するものであり、VBA／JavaScript／Powershell などの、従来は識別が困難であったが潜在的に問題のあるコンテンツに対して、全体として 30％の精度向上と、最大で 95％の高精度を提供する」と述べている。

Gmail／Yahoo の DMARC が始まった：セキュリティの優位性をビジネスの優位性に

Gmail & Yahoo DMARC rollout: When cyber compliance gives a competitive edge

2024/02/16 HelpNetSecurity — サイバー・セキュリティの本質は、単なる防御だけにあるのではなく、信頼と信用を通じてビジネスを可能にすることにある。Gmail や Yahoo がメール認証の厳格化に踏み切る中、DMARC コンプライアンスに積極的に取り組む組織は、セキュリティ態勢を強化するだけではなく、大きなアドバンテージを得るだろう。このように、DMARC コンプライアンスは、単に標準を満たすだけではなく、混迷するデジタル市場において大きなチャンスをつかむ可能性をもたらす。

OSINT の商業的な活用：それはセキュリティ・チームの仕事になる

Rethinking Open-Source Intelligence for Security in Commercial Settings

2024/02/16 InfoSecurity — グローバルなセキュリティとインテリジェンスの状況が進化し続ける中で、OSINT (Open-Source Intelligence) は、政府／軍／法執行機関にとって貴重なツールとして支持を得ている。捜査官やアナリストたちは、通常の手作業では数時間／数日／数ヶ月かかるプロセスを、OSINT により僅か数分で自動化できるようになった。

CISA と OpenSSF の新たな OSS フレームワーク：安全なパッケージ・リポジトリのために

CISA and OpenSSF Release Framework for Package Repository Security

2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。

Critical と評価される脆弱性が多すぎる：Electron 開発チームの主張とは？

Electron Team Addresses “runAsNode” CVE Misconceptions

2024/02/11 SecurityOnline — 日進月歩のソフトウェア開発において、セキュリティは常に最重要課題であり、特に脆弱性が報告された場合には、多くの人々に影響が生じる。先日に Electron 開発チームは、Discord／Postman／Notion／Evernote などの macOS アプリに関連する、複数の CVE が公開されたことを受け、この懸念の嵐に直面した。これらの脆弱性では、”runAsNode” と “enableNodeCliInspectArguments” の設定が問題のコアとされ、報告された脆弱性の本質と深刻度について重要な対話が巻き起こった。

Open-Source Security の現状と未来：コミュニティとユーザーと政府は何を考えるべきか？

How to Navigate Open-Source Security Without Stifling Innovation

2024/02/08 InfoSecurity — Open-Source ソフトウェアのコードが、重要インフラを含むあらゆる部門で利用される規模を反映するかのように、各国政府におけるセキュリティへの関心が高まっている。Open-Source ソフトウェアの広範な利用と、それがもたらすリスクは、2021年12月に発見された悪名高い Log4j の脆弱性により証明された。その影響力は、グローバルで 58% の組織に及んだとされている。

Sudo for Windows を Microsoft が発表：人間工学に基づいたソリューションと主張

Microsoft unveils new ‘Sudo for Windows’ feature in Windows 11

2024/02/08 BleepingComputer — 今日、Microsoft は、Windows 11 の新機能として “Sudo for Windows” を発表した。さらに同社は、この新しいツールのオープンソース化に取り組んでおり、より多くの設定オプションと、より広範な機能を持つ代替手段として、Gerardo Grignoli の gsudo を推奨している。Microsoft は、「Sudo for Windows は、昇格前のコンソール・セッションにおいて、ユーザーがダイレクトに昇格コマンドを実行する新しい方法である」と述べている。

MaaS 感染が最大の脅威：2023年下半期のサイバー攻撃 – Darktrace 調査

Malware-as-a-Service Now the Top Threat to Organizations

2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT：Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。

Linux sudo コマンドを Windows Server 2025 で発見：製品版に入れば嬉しい

Microsoft is bringing the Linux sudo command to Windows Server

2024/02/04 BleepingComputer — Microsoft は、Linux の “sudo” 機能を Windows Server 2025 に導入し、管理者がコンソール・アプリケーションの特権を昇格させるための新たな方法を提供するという。Superuser do (sudo) は、Linux のコンソール・プログラムであり、低特権ユーザーに対して、昇格した特権 (通常は root) でのコマンド実行を許すものである。このコマンドにより、通常ではサーバを低特権アカウントで使用し、特定のコマンドを実行する場合に限り、特権への昇格を可能にするため、Linux のセキュリティを向上させている。

Chrome サードパーティ Cookie の段階的な廃止が始まる：あなたはテストの対象？

Check if you’re in Google Chrome’s third-party cookie phaseout test

2024/02/03 BleepingComputer — Google Chrome のサードパーティ Cookie の、段階的な廃止のテストが開始された。このテストは、ユーザーの約１％にあたる、約 3,000万人を対象に実施されるという。この記事では、自分がテストの対象に該当するかどうかを、確認する方法を紹介する。サードパーティ Cookie とは、ターゲット広告のために、さまざまな Web サイトでのユーザーの閲覧習慣を追跡するものだが、Google の Privacy Sandbox API へと、徐々に置き換えられている。Privacy Sandbox API とは、ユーザーのプライバシーを損なうことなく、ユーザーの興味に基づき、パーソナライズされた広告表示を行うことを目的としている。