米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名

Biden signs infrastructure bill that provides nearly $2 billion for cybersecurity

2021/11/15 CyberScoop — 米国のバイデン大統領は、月曜日に $1 trillion 規模のインフラ法案に署名したが、その中には、サイバー・セキュリティと関連する規定のための $2 billion の予算が含まれている。デジタル・セキュリティ関連で最大のものは、Department of Homeland Security の Cybersecurity and Infrastructure Security Agency との協議により運営される、Federal Emergency Management Agency サイバー補助金プログラムであり、4年間で $1 billion を州政府および地方自治体に分配するものだ。

Continue reading “米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名”

Black Hat Europe:世界のデジタルインフラを保護するには法改正が不可欠だ

Black Hat Europe: Laws and regulations need to change to secure world’s digital infrastructure

2021/11/10 DailySwig — 11月10日に開催された Black Hat Europe においては、民主的な制度や価値観に対する侵食を食い止めるためには、デジタル兵器に対する規制を強化し、サイバー・セキュリティの経済学を再考する必要があるとの意見が出された。スタンフォード大学 Cyber Policy Center の International Policy Director である Marietje Schaake は、現在のデジタル・インフラの運用方法が、民主主義の原則を侵食し、サイバー攻撃に対して脆弱になっていると警告した。

Continue reading “Black Hat Europe:世界のデジタルインフラを保護するには法改正が不可欠だ”

ゼロトラストにおける5つの迷信を検証していく

Debunking Five Myths About Zero-Trust

2021/11/05 SecurityBoulevard — セキュリティ業界では、何年も前からゼロトラストという言葉が使われている。ゼロトラストはセキュリティ業界の最新バズワードだと、多くの人々が捉えているかもしれないが、実際には何年も前から存在している概念である。

Continue reading “ゼロトラストにおける5つの迷信を検証していく”

CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する

CISA shares a catalog of 306 actively exploited vulnerabilities

2021/11/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている 306件の脆弱性のカタログを公開し、それぞれの連邦政府機関に対して、一定の期限内に対処するよう命じる運用指令を発出した。この指令は、連邦政府の情報システムに存在する、すべてのソフトウェアおよびハードウェアを対象としており、そこには、連邦政府の施設内で管理されているもの、および、連邦政府に代わって第三者がホストされているものがある。

Continue reading “CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する”

クラウドにおけるデータの暗号化と保護:大半の企業が未達成という状況

Companies Fail to Encrypt, Protect Data in the Cloud

2021/11/02 SecurityBoulevard — 昨年において、40% の組織が、クラウド・ベース侵害の被害に遭っていることを考えると、クラウド上のデータを保護することに重きが置かれていると思えてくる。しかし、2021 Thales Global Cloud Security を観ると、そうでも無さそうだ。なんと 83% もの企業が、クラウド上に保管している機密データを、半分も暗号化できていないのだ。さらに、3分の1にあたる 34% は、暗号化キーを完全に管理していない。

Continue reading “クラウドにおけるデータの暗号化と保護:大半の企業が未達成という状況”

脅威に対する認識の欠如がリモートワークのリスクを生み出す

Lack of Threat Awareness Creates Hybrid Work Risks

2021/11/01 SecurityBoulevard — ほとんどの米国人は、サイバー・セキュリティの脅威に気づいておらず、また、サイバー・セキュリティに関心を持つ人は増えてあひても、10人に6人近くが IT 部門の承認を得ていないソフトウェア/アプリ/クラウドストレージをダウンロード/インストールしたことがあるといいう。

Continue reading “脅威に対する認識の欠如がリモートワークのリスクを生み出す”

トロイの木馬ソースの新技術:Unicode を悪用して注入した脆弱性を隠してしまう

New ‘Trojan Source’ Technique Lets Hackers Hide Vulnerabilities in Source Code

2021/11/01 TheHackerNews — 脅威アクターたちは、新たな種類の脆弱性を利用して、視覚的に狡猾なマルウェアを注入するかもしれない。これは意味的には問題が検出されないが、ソースコードで定義されたロジックを変更し、数多くの当事者およびサプライチェーンのリスクの扉を、効率よく開いていく。

Continue reading “トロイの木馬ソースの新技術:Unicode を悪用して注入した脆弱性を隠してしまう”

SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?

Securing SaaS Apps — CASB vs. SSPM

2021/11/01 TheHackerNews — Cloud Access Security Brokers (CASB) と SaaS Security Posture Management (SSPM) は、SaaS アプリケーションのセキュリティに対処するために設計されたソリューションであるため、しばしば混同される。CASBは、重要なデータを保護するために、複数のセキュリティ・ポリシーを実施することで、機密データを保護する。

Continue reading “SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?”

中国政府の規制強化によりデータ輸出のハードルが引き上げられていく

China drafts tough rules to stop data from leaving its borders as Beijing tightens grip on information

2021/10/29 SCMP — 金曜日に、中国のインターネット監視機関である Cyberspace Administration of China (CAC) が発表した新しい規則案には、中国国内のデータの管理を強化するために、国内のデータを海外に転送しようとする企業への、追加要件が記載されている。この規制案は、11月28日に終了する Public Feedback 以降に決定される予定であり、中国企業の海外上場や、国内で活動する多国籍企業の日常業務にも、大きな影響を与えることになる。

Continue reading “中国政府の規制強化によりデータ輸出のハードルが引き上げられていく”

Microsoft 365 がサポートする ARC により成りすまし検知が強化される

Microsoft 365 will get support for custom ARC configurations

2021/10/24 BleepingComputer — Microsoft において、Defender for Office 365 にカスタム ARC (Authenticated Received Chain) コンフィグレーションを追加する作業が進んでいる。ARC とは、メッセージの認証された Chain of Custody を提供する認証メカニズムであり、発信サーバーから受信者のメールボックスまでの間で、電子メールを処理する全ての仲介者が、他のエンティティが以前に処理した電子メールを確認できるものとなる。

Continue reading “Microsoft 365 がサポートする ARC により成りすまし検知が強化される”

2022年の攻撃ベクターを予測:Top-5 に対処するためには?

Top 5 Attack Vectors to Look Out For in 2022

2021/10/21 SecurityAffairs — 悪質なサイバー犯罪者たちは、サイバー攻撃を成功させるための、より狡猾な方法を常に探し出そうとしている。サイバー犯罪者は、給料日の到来を予測や、機密情報へのアクセス経路の探索など、目的を達成するために最も効果的な方式を熟知している。この記事では、組織が警戒し防御すべき、2022年の Top-5 攻撃ベクターに焦点を当てる。

Continue reading “2022年の攻撃ベクターを予測:Top-5 に対処するためには?”

クラウド環境におけるペンテストは従来からのパターンとは全く異なる

Penetration Testing in the Cloud Demands a Different Approach

2021/10/20 DarkReading — ほとんどの企業は、攻撃者がテクニックを変更すれば、防御側はセキュリティ戦略を見直す必要があるというパターンを熟知している。そして今、犯罪者がクラウド環境を攻撃の標的にしていることで、企業はクラウド・インフラの安全性を確保する必要に迫られている。

Continue reading “クラウド環境におけるペンテストは従来からのパターンとは全く異なる”

DDoS レポート:ロシア企業に対する攻撃が前年比で 2.5 倍になっている

DDoS attacks against Russian firms have almost tripled in 2021

2021/10/20 BleepingComputer — あるレポートが分析したデータによると、ロシア企業に対する分散型サービス拒否 (DDoS) 攻撃が、昨年同期に比べて 2.5倍に増加したとのことだ。DDoS 攻撃とは、攻撃者がサービスやネットワークの帯域幅に、処理しきれないほどのリクエストを殺到させ、サービスを停止させることである。

Continue reading “DDoS レポート:ロシア企業に対する攻撃が前年比で 2.5 倍になっている”

OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる

A guide to the OWASP API top ten

2021/10/19 SecurityBoulevard — OWASP Top-10 や、Web Application 脆弱性 Top-10 について聞いたことがあると思う。OWASP は、API を脅かす脆弱性の Top-10 も定期的に選出しており、それは OWASP API Top-10 と呼ばれている。

現在の API Top-10 は、Broken Object Level Authorization/Broken User Authentication/Excessive Data Exposure/Lack of Resources & Rate Limiting/Broken Function Level Authorization/Mass Assignment/Security Misconfiguration/Injection/Improper Assets Management/Insufficient Logging & Monitoring の順になっている。

Continue reading “OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる”

Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象

Zerodium wants zero-day exploits for Windows VPN clients

2021/10/19 BleepingComputer — 今日の短いツイートで、エクスプロイト・ブローカーである Zerodium が、マーケットで人気の VPN サービス・プロバイダー3社の、ゼロデイ・エクスプロイト脆弱性情報の取得を検討していることを明らかにした。

Continue reading “Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象”

JavaScript と難読化:脅威スクリプトの 26% が検知を逃れている

About 26% of all malicious JavaScript threats are obfuscated

2021.10/19 BleepingComputer — JavaScript で書かれた、悪意のソフトウェアの1万件以上のサンプルを分析した研究において、そのうちの約26%が、検出/分析を逃れるための難読化を用いていると、結論づけられている。難読化とは、意図した通りに動作させる、理解しやすいソースコードがあるにもかかわらず、理解し難く混乱したコードに変換することである。

Continue reading “JavaScript と難読化:脅威スクリプトの 26% が検知を逃れている”

中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落

Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021

2021/10/17 TheHackerNews — 中国の成都市で開催された、国際的なサイバーセキュリティ・コンテストの第4回大会 Tianfu Cup 2021 において、これまでにないオリジナルのエクスプロイトが使用され、Windows 10/iOS 15/Google Chrome/Apple Safari/Microsoft Exchange Server/Ubuntu 20 などへの侵入に成功した。

Continue reading “中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落”

SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト

The Ultimate SaaS Security Posture Management (SSPM) Checklist

2021/10/14 TheHackerNews — クラウド・セキュリティとは、その中に IaaS/PaaS/SaaS を抱く傘である。Gartner は、セキュリティ・リスクを継続的に評価し、SaaS アプリケーションのセキュリティ体制を管理するソリューションとして、SaaS Security Posture Management (SSPM) カテゴリーを設けた。

Continue reading “SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト”

EU の匿名ドメイン禁止法案:サイバー犯罪対策とプライバシー保護の対峙

EU legislation introduced to ban anonymous domain registration

2021/10/13 BleepingComputer — 欧州連合 (EU) は、この大陸では、個人が匿名でドメインを登録することを、禁止する可能性のある法案を作成している。インターネット・ドメインを登録する際、レジストラは購入者の氏名/住所/電子メール/電話番号などの情報を収集する。しかし、これらの情報は正確であることが確認されておらず、虚偽の情報が含まれている可能性がある。

Continue reading “EU の匿名ドメイン禁止法案:サイバー犯罪対策とプライバシー保護の対峙”

CISA の Remote Access ガイダンス:連邦機関のネットワークを保護

CISA Releases Remote Access Guidance for Government Agencies

2021/10/11 SecurityWeek — 先週に、米国の States Cybersecurity and Infrastructure Security Agency (CISA) は、新しいガイダンス・である Trusted Internet Connections (TIC) 3.0 Remote User Use Case を発表した。

Continue reading “CISA の Remote Access ガイダンス:連邦機関のネットワークを保護”

北米の組織に対するサイバー攻撃:平均で 497 件/週という密度

North American Orgs Hit With an Average of 497 Cyberattacks per Week

2021/10/09 DarkReading — 今週に発表された新しいデータは、COVID-19パンデミックにより職場や業務に劇的な変化がもたらされ、世界中の組織に対するサイバー攻撃が急増しているという、数多くの報告を裏付けるものとなった。

Continue reading “北米の組織に対するサイバー攻撃:平均で 497 件/週という密度”

Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来

Microsoft: Russian state hackers behind 53% of attacks on US govt agencies

2021/10/08 BleepingComputer — Microsoft によると、ロシア由来のハッキング・グループが、米国の政府機関を標的にするケースが増えており、2020年7月〜2021年6月に観測された、国民支援型攻撃の 58% がロシアからのものだという。

Continue reading “Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来”

CIS Control 07:脆弱性管理を継続して成功させるには?

CIS Control 07: Continuous Vulnerability Management

2021/10/06 StateOfSecurity — サイバー・セキュリティにおける脆弱性管理は、資産を保護するために重要な役割を果たす、従来からのテクノロジーのひとつだ。そして、適切な脆弱性管理プログラムは、一連のデータ漏洩を回避する上で重要な役割を果たしている。CIS (Center for Internet Security) Control 07 は、成功する脆弱性管理プログラムを確立するための、最低限の必要条件を提供していく。

Continue reading “CIS Control 07:脆弱性管理を継続して成功させるには?”

LANtenna 攻撃の論文:イーサケーブルをアンテナにしてエアギャップを無効化する?

LANtenna attack allows exfiltrating data from Air-Gapped systems via Ethernet cables

2021/10/06 SecurityAffairs — イスラエルの Ben Gurion 大学 Cyber Security Research Center の研究者たちが、イーサネット・ケーブルを「送信アンテナ」として利用し、エアギャップ・システムから機密データを盗み出す、「LANtenna Attack」と呼ばれる新たなデータ流出メカニズムを考え出した。

Continue reading “LANtenna 攻撃の論文:イーサケーブルをアンテナにしてエアギャップを無効化する?”

リモートワーク時代:アプリケーションの安全性を重視するなら

Optimizing Cybersecurity Apps in the Remote Working Era

2021/09/30 securityboulevard — リモートワークという新たな現実の中で、アプリケーションの安全性を、どのように改善していけば良いかと悩んでいないだろうか?サイバー脅威を防止するために、統合すべき、いくつかの戦略を紹介していく。世界中のすべての企業にとって、2020年は大変な課題を提示した。つまり、生物学的にもデジタル的にも、ウイルスの年と認識された年だったからだ。

Continue reading “リモートワーク時代:アプリケーションの安全性を重視するなら”

パスワードに関する調査:再利用は? 難読化は? 多要素認証は?

Password Reuse Problems Persist Despite Known Risks

2021/09/23 DarkReading — パスワード・セキュリティの危険性が認識されるようになった一方で、約3分の2の人々は、自身の複数のアカウントに同じパスワードを、または、そのバリエーションを使い続けている。最近の調査によると、平均的な人において、少なくとも 50のオンライン・アカウントを利用されていることを考えると、これは困ったことである。

Continue reading “パスワードに関する調査:再利用は? 難読化は? 多要素認証は?”

ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた

APT focus: ‘Noisy’ Russian hacking crews are among the world’s most sophisticated

2021/09/22 DailySwig — 国家に支援されるロシアのサイバースパイ集団は、国々への脅威の中で最も洗練された存在であり、その上、最も狡猾な敵となるような欺瞞の才能を備えている。The Daily Swig が取材した専門家によると、ロシアのサイバー脅威アクターは、中国と肩を並べる世界最高レベルの存在であり、また、西側の情報機関および、連邦保安局 (FSB : Federal Security Service)、そして米軍と関係を持つ機関などに、比肩する能力を持っているようだ。

Continue reading “ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた”

ゼロトラスト・アーキテクチャ:必要なものから当前のものへ

Zero Trust Architecture – No Longer A ‘Nice to Have’

2021.09/21 CyberSecurityIntelligence — 米国 National Institute of Standards and Technology (NIST) が、先日に発表した Special Publication (SP 800-207) は、サイバー・セキュリティのベスト・プラクティスにおける当たり前の事柄を変えた。強制力はないが、経済面でのセキュリティを高める上で、この連邦機関の役割は過小評価できない。

Continue reading “ゼロトラスト・アーキテクチャ:必要なものから当前のものへ”

ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している

Ransomware Attacks Growing More Sophisticated

2021/09/20 SecurityBoulevard — 2021年前半、サイバー犯罪者たちは精力的に攻撃を行い、その勢いは一向に衰える気配がない。今年の上半期だけで、悪意の行為者は、さまざまな種類のデバイスや OS に存在する深刻な脆弱性を悪用し、燃料ネットワークを停止させたり、企業から数百万ドルを引き出したりするという、大掛かりな攻撃を仕掛け続けた。

Continue reading “ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している”

ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!

The Digital Pandemic – Ransomware

2021/09/19 StateOfSecurity — サイバー・セキュリティの専門家や、ビジネス・リーダーにとって、この 2021年は、背筋が寒くなるよう年かもしれない。データ分析とトレーニングを行っている CybSafe の調査によると、2021年 Q1 に報告されたサイバー・インシデントのうち、22% がランサムウェアによる攻撃だった。Information Commissioners Office から入手した数字によると、2020年と比較して 11% の増加となっている。この増加は重要であり、より詳細に調査する必要がある。

Continue reading “ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!”

クラウド環境の危険性:Role パーミッションについて再考しよう

Why ‘Role’ Permissions Are So Dangerous To Your Cloud Environment

2021/09/17 SecurityBoulevard — クラウドを利用する企業が直面するものに、過剰なパーミッションの適切な抑制という、重要な課題がある。クラウドでの運用には、俊敏性と柔軟性が求められる。しかし、この問題は、そのメリットによりセキュリティを犠牲にされることが多く、また、クラウド上には不要で過剰なパーミッションが蔓延していることである。このウェビナーでは、クラウドにおける過剰なパーミッションの問題と、それをコントロールする方法について説明していく。

Continue reading “クラウド環境の危険性:Role パーミッションについて再考しよう”

可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?

Infrastructure, Security, and the Need for Visibility

2021/09/17 DarkReading — 米国をはじめとする政府機関は、国が関与したと思われる不正侵入事件や、犯罪者が関与したと思われるランサムウェア事件が頻発していることから、重要インフラのネットワーク・セキュリティを強化しようとしている。2020年に発生した SolarWinds や Microsoft への攻撃や、最近発生した Colonial Pipeline でのランサムウェア事件などは、経済的に重要な企業のセキュリティ態勢に対する、潜在的かつ広範な脆弱性や弱点があることを示している。

Continue reading “可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?”

英国事情:大半の企業がリモートワークに対応できていない

British Organisations Are Unready For Remote Work

2021/09/15 CyberSecurityIntelligence — コロナウイルスが出現して以来、あらゆる業界が何らかの影響を受けている。コロナウイルスは、私たちの仕事のやり方を変え、サイバー犯罪者がリモート・ワーカーを狙うという、新たな機会を生み出した。自宅で仕事をすることは、犯罪者が別の手段でデータを盗むための入り口となっている。今回の調査では、英国企業の半数が、最も基本的なサイバー・セキュリティ・スキルを身につけていないことが明らかになり、また、雇用主に対して対策を講じるよう緊急の呼びかけを行うものとなる。

Continue reading “英国事情:大半の企業がリモートワークに対応できていない”

サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果

Supply chain attacks against the open source ecosystem soar by 650% – report

2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。

Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”

IBM レポート:クラウド・セキュリティの課題を調べてみた

IBM Report Shows Severity of Cloud Security Challenges

2021/09/15 SecurityBoulevard — 今日、IBM Security Services は、ダークウェブ・マーケットプレイスで隠れて販売されている約 30,000 のクラウド・アカウントを含む、一連のクラウド・セキュリティの問題を詳述するレポートを発表した。このレポートは、ダークウェブの分析および、IBM Security X-Force Red ペンテストのデータ、IBM セキュリティ・サービス指標、X-Force Incident Response の分析、X-Force Threat Intelligence などの調査に基づくものである。

Continue reading “IBM レポート:クラウド・セキュリティの課題を調べてみた”

加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因

Security Fears & Remote Work Drive Continued 2FA Adoption

2021/09/14 DarkReading — Cisco System の Duo Labs が隔年で実施している調査によると、2年前には二要素認証 (2FA : Two Factor Authentication) に触れたことのなかった、米国と英国の人口の4分の1に相当する人々が、2021年には少なくとも1回は、同技術を使用していることが分かった。

Continue reading “加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因”

ネットワーク境界が消えた世界:どのようにセキュリティを確保するのか?

Securing Networks in a Perimeterless World

2021/09/07 SecurityBoulevard — 従来から、ネットワークには境界線があると理解されているが、それは死んだと言っても過言ではない。かつてファイアウォールは、サイバー・セキュリティの頂点だと考えられていた。ネットワークの周囲に、十分な強度のファイアウォールを設置すれば、内部の全てが安全になると考えられていた。

Continue reading “ネットワーク境界が消えた世界:どのようにセキュリティを確保するのか?”

ランサムウェアが好む企業:地域/規模/業種などを分析する

Ransomware gangs target companies using these criteria

2021/09/06 BleepingComputer — 最近のランサムウェア・ギャングは、ダークウェブのマーケット・プレイスや他の脅威アクターから、標的のネットワークへのアクセス権を購入するケースを増やしている。こうした取引を仲介する広告を分析することで、どのような企業をランサムウェアが攻撃対象としているのかを知ることができる。

Continue reading “ランサムウェアが好む企業:地域/規模/業種などを分析する”

ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ

New Malware Uses Novel Fileless Technique to Evade Detection

2021/09/03 DarkReading — FireEye の Mandiant Advanced Practices チームは、新しいメモリ常駐型のマルウェア・ファミリーとインストーラを発見した。この、FireEye のチームは、このマルウェアを PRIVATELOG と、インストーラを STASHLOG と命名しましたが、顧客のネットワーク上では確認したことはなく、マルウェアが起動した結果である、第2段のペイロードも回収していないとしている。

Continue reading “ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ”

Conti PlayBook 英訳版:ランサムウェアの手口が明らかに

Translated Conti ransomware playbook gives insight into attacks

2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。

Continue reading “Conti PlayBook 英訳版:ランサムウェアの手口が明らかに”

Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消

Facebook Pays Out $40,000 for Account Takeover Exploit Chain

2021/09/02 SecurityWeek — 9月1日に、SNS 大手の Facebook は、脆弱性ハンターに与えられるバグバウンティの内訳について、より理解が進むよう、新たな支払いガイドラインを発表した。具体的は、新しいガイドラインでは、「あなたが提供した電子メール・アドレスまたは電話番号を用いてあなたを検索できる人」の項目にある、「コンタクト・ポイントの可視化設定におけるセキュリティ問題」が対象となる。

Continue reading “Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消”

DDoS 調査:短時間と高帯域というトレンドに緩和策は有効なのか?

DDoS Attacks Hitting Victims in High-Bandwidth ‘Bursts’

2021/09/02 DarkReading — 2021年の上半期、分散型サービス拒否 (DDoS) 攻撃の件数は4倍に増加し、攻撃量も2倍になったことが、新しいデータで明らかになった。セキュリティ企業の Imperva は、同社の顧客が遭遇した約5,600件の攻撃から情報を抽出し、攻撃の強度が高まり続ける一方で、攻撃時間は短縮されていることを明らかにした。Imperva によると、攻撃の半数以上は8分以内に終了し、攻撃者は同じ企業に繰り返し大量のデータを送りつけていた (1Tbpsを超える攻撃もあり)。

Continue reading “DDoS 調査:短時間と高帯域というトレンドに緩和策は有効なのか?”

BEC 被害:米金融サービス8社の不適切な対応に高額の制裁金

Eight US financial services firms given six-figure fines over BEC data breaches

2021/09/01 DailySwig — 米国証券取引委員会 (SEC : Securities and Exchange Commission) は、サイバー・セキュリティの不備により企業の電子メールア・カウントと数千人分の個人情報が漏洩したとして、複数の金融サービス企業に制裁を科した。このインシデントは、シアトルに本社を置くKMS Financial Services および、カリフォルニアの Cetera Financial Group と、アイオワの Cambridge Investment Group の子会社において、クラウド・ベースの電子メール・アカウントが不正に乗っ取られたことを受けて提起された。

Continue reading “BEC 被害:米金融サービス8社の不適切な対応に高額の制裁金”

ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?

A CISO’s Perspective on Ransomware Payments

2021/09/01 DarkReading — ランサムウェア攻撃に対して、どのように組織は対応すべきか? 身代金を支払うべきか、それとも、サイバー保険に頼るべきか、その議論はつきない。最近のバイデン政権が発表した、サイバー・セキュリティに関する大統領令に加えて、身代金支払いの制限/禁止や、ランサムウェア攻撃報告の義務化などの、さまざまな法案が提出されたことで、企業は戦略を更新し、変化に備える必要に迫られている。

Continue reading “ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?”

サイバー保険は API により進化していく

Improving Cyberinsurance with APIs

2021/08/31 SecurityBoulevard — サイバー保険に加入することは、あらゆる組織のセキュリティ・プランの必須条件であり、とりわけ中小企業にとっては必須となる。データ侵害が発生した場合に、サイバー保険で侵害に伴うコストを担保することで、企業のビジネスを維持するためのセーフティネットとなり得る。

Continue reading “サイバー保険は API により進化していく”

SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる

Unmanaged SaaS Data Brings Supply Chain Risks

2021/08/30 SecurityBoulevard — SaaS (Software-as-a-Service) のデータに対するアクセスが管理されていなと、内部および外部からの脅威が発生する可能性が高まる。その理由を、DoControl Inc の新しいレポートが示している。この SaaS セキュリティ企業は、平均 1,000人の従業員を抱える企業と、50万件〜1,000万件の資産を持つデータストアを評価した結果として、SaaS データ・アクセスの40%が管理されていないことを発見した。つまり、膨大な資産が、パブリックに共有される可能性があるのだ。

Continue reading “SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる”

CISA スバラシイ:一要素認証をバッド・プラクティスと認定する

CISA: Don’t use single-factor auth on Internet-exposed systems

2021/08/30 BleepingComputer — 今日のこと、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、一要素認証 (SFA : Single Factor Authentication) を、同機関が推奨するサイバー・セキュリティのバッド・プラクティスに追加した。CISA のバッド・プラクティス・カタログには、連邦政府機関が非常に危険と判断したプラクティスが含まれており、政府機関や民間企業のシステムが脅威にさらされる、不必要なリスクを負うことになるため、使用すべきではないとしている。

Continue reading “CISA スバラシイ:一要素認証をバッド・プラクティスと認定する”

OT への最初の攻撃ベクターとしてエンジニアリング WS が狙われる?

Engineering Workstations Are Concerning Initial Access Vector in OT Attacks

2021/08/26 SecurityWeek — 産業用制御システム (ICS : industrial Control Systems) や、運用技術 (OT : Operational Technology) を用いる組織は、サイバー脅威に対する関心を高めており、リスクに対処するための措置を講じてはいるが、多くの組織において侵害の有無が把握されていないことが、産業用サイバーセキュリティ企業である Nozomi Networks の委託を受けて、SANS Institute が実施した調査で明らかになった。SANS 2021 OT/ICS Cybersecurity Report は、多岐にわたる業界の 480人から提供された情報に基づいて作成されている。

Continue reading “OT への最初の攻撃ベクターとしてエンジニアリング WS が狙われる?”

Linux System をハックする深刻な脆弱性のリスト Top-15

Top 15 Vulnerabilities Attackers Exploited Millions of Times to Hack Linux Systems

2021/08/23 TheHackerNews — 1,400万近くの Linux ベースのシステムが、インターネットにダイレクトにさらされており、悪意の Web シェルや、暗号通貨マイナー、ランサムウェア、トロイの木馬などのデプロイメントといった、実在する多様な攻撃の格好の標的となっている。この記事は、Trend Micro が発表した Linux の脅威に関する調査結果に基づくものであり、ハニーポット/センサー/匿名化されたテレメトリーから収集したデータを基に、2021 年前半の Linux OS に影響をおよぼした脆弱性の詳細に説明している。

Continue reading “Linux System をハックする深刻な脆弱性のリスト Top-15”

金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大

Financial Services: Web Application Attacks Grow by 38% In First Half of 2021

2021/08/19 SecurityBoulevard — 前世紀の中頃、プロの銀行強盗である Willie Sutton は、推定で $2 million の盗みを働いたとされる。ある新聞記者が、Sutton に銀行を狙う理由を尋ねたところ、「そこに金があるから」と答えたらしい。その後のインタビューで、この言葉は否定されているが、いまの金融業界にも当てはまるものだ。昔ながらの銀行強盗も起こるだろうが、現実の銀行から金を盗むことは、前世紀的なアプローチだといえる。今日、サイバー犯罪者が狙っているのは個人情報であり、攻撃対象となるのは顧客や従業員やパートナーが使用する、多岐にわたるオンライン取引 Web アプリケーションである。

Continue reading “金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大”