3 Cloud Security Trends to Watch in 2022
2022/01/18 SecurityIntelligence — 数多くの企業が、2022年に向けて、クラウド・セキュリティを意識している。2021年4月に Gartner は、クラウド・マネージメント/セキュリティ・サービスに対して、世界のエンドユーザーが費やす費用は、2022年には $18 million に達すると予測していた。その規模は、過去2年間に比べて 30% の成長となる。上述の予測は、重要な問題を提起している。
Continue reading “2022年のクラウド・セキュリティ:Gartner が提唱する3つのトレンドとは?”Five Key Signals From Russia’s REvil Ransomware Bust
2022/01/18 SecurityWeek — 突然にロシアの最高法執行機関が、ランサムウェア REvil を公開捜査したことで、大規模なランサムウェア攻撃を阻止する鍵は、外交が握っているのではないかと話題になっている。この囮捜査は、「米国の要請を受けて」という慎重な発表に続いて行われたが、その背景には、ロシアとウクライナの地政学的な対立がある。そして、すでに、データ消去などを目的とした、ウクライナ政府に対するマルウェア攻撃や標的型 Web サイトの改ざんに結びついている。
Continue reading “ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?”The State of Credential Stuffing Attacks
2022/01/17 SecurityIntelligence — この数年において、クレデンシャル・スタッフィングが、デジタル攻撃者の間で好まれる手口となっている。Help Net Security の報告によると、研究者たちは 2020年に、世界で 1,930億件のクレデンシャル・スタッフィング攻撃を検出した。そのうち、金融サービス分野は 34億件の攻撃を受け、前年比で45%以上の増加となっている。Business Wire によると、2021年の上半期に詐欺師たちは、既存のユーザー・アカウントへの侵入や、新しいアカウントの作成などにより、デジタルア・カウントを標的にしてきた。そのうちの 30% ほどが、クレデンシャル・スタッフィングによる攻撃だった。
Continue reading “クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために”Linux malware sees 35% growth during 2021
2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。
Continue reading “Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増”3 Pillars of a Successful Managed Security Services Deployment
2022/01/14 SecurityBoulevard — セキュリティの専門家で構成される、SWAT チームを社内に設置して、組織に対する最新の脅威に対応したいと思っても、それだけの余裕のある企業は多くない。数多くの企業が、時間とリソースの制約を受けている。また、スキル不足が深刻化し、優秀なサイバーセ・キュリティの専門家を雇用/維持することが、困難になっている企業もある。
Continue reading “Managed Security Providers を活用するための3つのヒントとは?”Best Practices for Improving Cloud Encryption
2022/01/14 SecurityBoulevard — エンタープライズにおけるクラウドの採用が増大するにつれて、クラウド・セキュリティが最重要課題となっている。年々、クラウド・セキュリティへの脅威は増加しており、企業はオンプレミスからクラウドへの移行を再考し、クラウド・セキュリティを向上させる方法を検討している。クラウド・セキュリティを強化する1つの方法は、クラウドの暗号化を改善することだ。
Continue reading “クラウドの暗号化を改善するためのベスト・プラクティスとは?”U.S. Government, Tech Giants Discuss Open Source Software Security
2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。
Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”Multiple Ukrainian government websites hacked and defaced
2022/01/14 BleepingComputer — ウクライナにおける公的機関の Web サイトのうち、少なくとも 15 の Web サイトが不正アクセスを受け、改ざんされ、その後にオフラインに追い込まれた。その中には、外務省/農業省/教育科学省/安全保障・防衛省/閣僚内閣のオンライン・ポータルなどが含まれている。改ざんされたメッセージは、ウクライナ語/ロシア語/ポーランド語で書かれており、サイトの訪問者に対して、公共のネットワークにアップロードされている、すべての市民データが漏洩していることを警告していた。
Continue reading “ウクライナ政府の 15 の Web サイトが一斉に攻撃されオフラインに追い込まれた”White House reminds tech giants open source is a national security issue
2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。
Continue reading “ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題”New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs
2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。
Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”AWS fixes security flaws that exposed AWS customer data
2022/01/13 BleepingComputer — Amazon Web Services (AWS) は、他の AWS 顧客アカウントにリンクされたデータへのアクセス/変更を許す、AWS Glue のセキュリティ問題に対処した。AWS Glue は、サーバーレスのクラウド・データ統合サービスであり、アプリ開発/機械学習/分析のための、データの発見/準備/結合を支援するものだ。
Continue reading “AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが”The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”CISA alerts federal agencies of ancient bugs still being exploited
2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。
Continue reading “CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件”How to Proactively Limit Damage From BlackMatter Ransomware
2022/01/08 DarkReading — 米国の重要インフラ企業や大規模組織などへの攻撃に多用される、ランサムウェア BlackMatter のコードに重大な論理的欠陥があり、状況によってはマルウェアの有効性を制限できる。Illusive は、この欠陥のあるロジックを起動できれば、BlackMatter が自社の環境にもたらす被害を軽減できる可能性があると発表した。
Continue reading “BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?”Google Docs Comments Weaponized in New Phishing Campaign
2022/01/07 DarkReading — 最近のフィッシング・キャンペーンにおいて、Google Docs のコメント機能を悪用することで、正当に見えるメールを送信し、ターゲットに悪意のリンクをクリックさせるものが発見された。このキャンペーンを発見した Avanan の研究者たちによると、Google Suite に対するユーザーの信頼性を悪用する方法は、今回が初めてではないとのことだ。
Continue reading “Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意”5 Things New with Bug Bounty Programs
2022/01/07 SecurityIntelligence — 2021年9月29日に HackerOne は、Internet Bug Bounty (IBB) プログラムの最新版を発表した。この取り組みにより、2013年から2021年の間に生じている、オープンソース・ソフトウェアに存在する、1,000件以上の脆弱性を発見するよう調整がなされた。HackerOne の最新バージョンは、既存のバグバウンティから得られる防御力を蓄積し、脆弱性管理ライフサイクルに貢献する利害関係者を表彰する方法で報奨金を分割していく。さらに、脆弱性提出フローの統合により、参加する研究者のエクスペリエンスを向上させ、プログラムの範囲をさらに拡大することを目的としている。
Continue reading “HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点”New Mac Malware Samples Underscore Growing Threat
2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。
Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”NIST Cybersecurity Framework: A Quick Guide for SaaS Security Compliance
2022/01/06 TheHackerNews — サイバー・セキュリティにおける最新のベストプラクティスを知りたいとき、私は米国の National Institute of Standards and Technology (NIST) を訪れる。最新のパスワード要件 (NIST 800-63) から、製造業者向けの IoT セキュリティ (NISTIR 8259) にいたるまで、NIST は常に出発点である。NIST は、組織の専門性と、NIST 文書の作成に協力する外部の専門家により、米国の標準制定者として重要な役割を果たしている。
Continue reading “NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的”Russia Fines Google For Illegal Content Breach
2022/01/06 CybersecurityIntelligence — モスクワの裁判所が、ロシアで違法とされるコンテンツの削除を、繰り返して怠ったとして、Google に 7.2bn roubles ($98m : £73m) の罰金を科した。これは、欧米のテクノロジー企業を統制しようとするロシア政府において、最大の罰金額であり、ロシア国内での起訴が続く可能性がある。今回の判決は、ロシアでは初となる、収益に連携する罰金となる。インターネットの取り締まりが懸念される中、欧州連合 (EU) で初めて実施された年間売上高に基づく罰金が、さらに増える可能性もある。
Continue reading “ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金”Researchers Uncover Hacker Group Behind Organized Financial-Theft Operation
2022/01/05 TheHackerNews — サイバー・セキュリティの研究者たちは、少なくとも4年間にわたって、主にラテンアメリカに所在するエンティティからのトランザクション処理とサイフォン資金を標的にする、慎重な脅威アクターにより実行される組織的な金融窃取作戦を暴いた。イスラエルのインシデント・レスポンス企業である Sygnia は、Elephant Beetle と名付けた悪質なハッキング・グループが、銀行や小売店を標的に、良心的な活動に紛れて不正な取引を注入していたと発表した。
Continue reading “Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?”Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities
2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。
Continue reading “Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく”FTC warns companies to secure consumer data from Log4J attacks
2022/01/04 BleepingComputer — 今日、米国連邦取引委員会 (FTC : Federal Trade Commission) は、継続して止まない Log4J 攻撃から、顧客データの保護を怠る米国企業を追及すると警告した。FTC は、「Log4j および、今後の類似する脆弱性の結果として生じる、消費者データの流出を止めるための合理的な措置を講じない企業を、法的権限をフルに活用して追及する意向だ」と述べている。
Continue reading “FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?”Log4j Highlights Need for Better Handle on Software Dependencies
2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。
Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”Securing Smart Cities: What You Need to Know
2022/01/03 StateOfSecurity — 経済/人口/社会/文化/技術/環境などに関連する、さまざまなプロセスが複雑に絡み合う都市化に伴い、各国政府は都市部特有の課題に対処するスマートシティを開発している。この開発は、無線技術とクラウドを利用したデータ転送により行われる。スマートシティには、IoT (Internet of Things)/ICT (Information and Communications Technology)/GIS (Geographic Information Systems) などの技術が使われていく。それぞれの技術が連携して大量のデータを収集し、そのデータを基に都市内のコンポーネントやシステムを改善する。
Continue reading “安全なスマートシティ:IoT のインフラとリスクの関係を整理する”Security Pro Burnout Signals IT Security Shift
2022/01/03 SecurityBoulevard — 世界的なパンデミックに端を発した、この世界の大きな変化は、IT セキュリティ専門家たちのメンタルヘルスに大きな負担をかけている。あらゆる組織において、リモートファーストの働き方への適応を求める動きが強まったことで、IT セキュリティの専門家たちは、迅速なデジタル・トランスフォーメーションだけでなく、安全なデジタル・トランスフォーメーションを実現するために、時間外労働を強いられている。
Continue reading “セキュリティ専門家たちの燃え尽き症候群:褒めずに責任を押し付けるのは間違いだ”Data Protection: What Needs to Be Protected?
2022/01/03 SecurityIntelligence — あなたの組織のデータは、どこあるのだろうか?グローバルなデータセンター/PC/モバイルアプリなど、あらゆる場所にデータは散らばっている。では、そのすべてを保護するには、どうすればよいのだろう?すべてのデータを暗号化することは不可能だろう。膨大な予算と時間が必要になる。最も厳しい規制でさえ、そこまでのデータ保護を要求していない。たとえば、GDPR は主に個人を特定できる情報 (PII : Personal Identifiable Information) に焦点を当てるが、データ侵害から知的財産を保護することも必要だ。
Continue reading “データ・プロテクション:データの発見/分類/保護とコンテキストを考える”Detecting Evasive Malware on IoT Devices Using Electromagnetic Emanations
2022/01/03 TheHackerNews — サイバー・セキュリティ研究者たちが、IoT デバイスから放出される電磁界をサイドチャネルとして使用し、難読化技術により解析が妨げられているシナリオであっても、組み込みシステムを標的とする各種マルウェアに対しる、正確な情報が得られるという新しいアプローチを提案した。
Continue reading “IoT デバイス上のスティルス性マルウェアを電磁放射を用いて検出”SEGA Europe left AWS S3 bucket unsecured exposing data and infrastructure to attack
2022/01/03 SecurityAffairs — サイバー・セキュリティ企業の VPN Overview の報告によると、年末にゲーム大手の SEGA Europe が、Amazon Web Services (AWS) の S3 バケットにユーザーの個人情報を誤って公開し、放置していたことが分かった。この S3 バケットには、複数の AWS キーが含まれており、これらのキーを使用することで、SEGA Europe の複数のクラウド・サービスにアクセスすることが可能だった。また、MailChimp や Steam のキーも含まれており、これらのサービスに SEGA の名前でアクセスすることもできた。
Continue reading “SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に”Experts monitor ongoing attacks using exploits for Log4j library flaws
2021/12/27 SecurityAffairs — DrWeb の研究者たちは、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104/CVE-2021-42550) を悪用した攻撃を監視し、また、防御策を講じる必要性を警告している。これらの脆弱性を悪用することで、脅威アクターによるターゲット・システム上での、任意のコード実行/サービス妨害 (Denial of Service)/機密情報の開示などを許してしまう。
Continue reading “Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報”Log4j Reveals Cybersecurity’s Dirty Little Secret
2021/12/23 DarkReading — 技術系メディアが、インターネットが炎上していると報じ始めたら、重大な事態に陥っていることを意味する。Log4Shell と呼ばれる Log4j の脆弱性は、時間の経過と伴に、その深刻さが判明し、範囲と影響が拡大する一方である。米国の Cybersecurity and Infrastructure Security Agency (CISA) や英国の機関などが、直ちに対策を講じることを推奨しており、また、現代のハイテク業界の有名企業たちは、この数年で最も深刻なゼロデイ脅威に対して、深刻な脆弱性を抱えていることが判明している。
Continue reading “Log4j インシデントに暴露されたサイバー・セキュリティの駄目なところ”Arctic Wolf Script Can Discover Log4Shell Vulnerabilities
2021/12/23 SecurityBoulevard — 今週のこと、マネージド・セキュリティ・サービスを提供している Arctic Wolf は、スキャン・ツールによる Log4Shell 脆弱性の発見を支援するスクリプトを公開した。Arctic Wolf の Field CTO である Ian McShane によると、同社は Log4Shell Deep Scan スクリプトを使用して、ネストされた JAR/WAR/EAR ファイル内の CVE-2021-45046/CVE-2021-44228 の脆弱性を検出している。
Continue reading “Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査”China disciplines Alibaba Cloud for handling of Log4j bug
2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。
Continue reading “Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想”4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories
202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。
Continue reading “Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩”CISA releases Apache Log4j scanner to find vulnerable apps
2021/12/22 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Log4j のリモートコード実行に関する2つの脆弱性 (CVE-2021-44228/CVE-2021-45046) の影響を受ける、Web サービスを特定するためのスキャナのリリースを発表した。
Continue reading “CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応”CISA, Five Eyes issue guidance meant to slow Log4Shell attacks
2021/12/22 CyberScoop — 米国の国土安全保障省 (Department of Homeland Security) 傘下の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache の Log4j ソフトウェア・ライブラリに存在する脆弱性により引き起こされる、IT およびクラウド・サービスでの潜在的なリスクに対処する方法について、ベンダーやユーザー組織に対して詳細なガイドを提供するという勧告を発表した。
Continue reading “CISA/FBI/NSA と Five Eyes の共同勧告:Log4Shell 攻撃を遅らせるためのガイダンス”Honeypot experiment reveals what hackers want from IoT devices
2021/12/22 BleepingComputer — さまざまな場所に設置された、さまざまなタイプの low-interaction IoT デバイスをシミュレートする3年間のハニーポット実験により、脅威アクターが特定のデバイスを狙う理由が明確になった。より具体的に言うと、このハニーポットは、十分に多様なエコシステムを作り出し、生成されたデータにより敵対者の目標を決定するために、クラスター化することを目的とした。
Continue reading “IoT ハニーポット実験:脅威アクターが特定のデバイスを狙う理由は?”Research: Simulated Phishing Tests Make Organizations Less Secure
2021/12/22 SecurityWeek — 56,000人の従業員を抱える組織で行われた、大規模かつ長期的なフィッシング実験の結果、驚くべき結論が得られた。企業のユーザー教育キャンペーンにおいて、よく見られるフィッシングの模擬テストは、実際には事態をさらに悪化させているというのだ。チューリッヒ工科大学 (ETH Zurich) の研究者たちは、無名のグローバル上場企業と共同で 15ヶ月間のフィッシング実験を行った。
Continue reading “ETH Zurich フィッシング大規模調査:従業員に対するトレーニングには効果が無い”Zero Trust Shouldn’t Mean Zero Trust in Employees
2021/12/21 DarkReading — この2年間におけるデータ漏洩インシデントを見ると、ゼロトラストの宣伝が熱を帯びている現状も不思議ではない。データ漏洩の主な原因は、依然としてヒューマン・エラーであり、Tessian の調査によると 12ヶ月間で200万通の悪意の電子メールが、安全を約束するはずの防御機能を回避している。
Continue reading “ゼロトラストを成功させる秘訣:従業員を信頼することから考えるべきだ”CISA Issues Emergency Directive on Log4j
2021/12/20 SecurityBoulevard — 人気の Java ベースのロギング・ライブラリ Log4j に存在する、一連の脆弱性への警戒レベルを高めるために、Cybersecurity and Infrastructure Security Agency (CISA) が緊急指令を発出した。この脆弱性は、2021年12月9日に公開された、複数の脅威アクターたちにより活発に悪用されている。
Continue reading “CISA の Log4j 緊急指令:さまざまな報告義務は意図どおりに機能するのか?”Google Finds 35,863 Java Packages Using Defective Log4j
2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)
Continue reading “Google 調査:Log4j の影響を受ける Java Packages は 35,863 種類”New stealthy DarkWatchman malware hides in the Windows Registry
2021/12/19 BleepingComputer — DarkWatchman という新しいマルウェアが、サイバー犯罪の世界に出現した。このマルウェアは、C# キーロガーとペアになった、高機能なライトウェイトな JavaScript RAT (Remote Access Trojan) である。Prevailion の研究者のテクニカル・レポートによると、この斬新な RAT は、主にロシアの組織を標的とする、ロシア語を話す脅威アクターにより採用されているとのことだ。
Continue reading “DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む”Log4Shell – The API Security Challenge
2021/12/16 SecurityBoulevard — 先週に発生した Log4Shell CVE-2021-44228 の脆弱性は、現代のアプリケーションや、相互に接続されたサービス、そして普及した API が、いかにしてセキュリティに大きな課題を引き起こすかを示す顕著な例である。長年にわたり、API の脆弱性を調査してきたセキュリティ・リサーチャーとしては、これは、どのようにして物事が上手くいかなくなるかを示す好例だと言いたい。私は最近、この新たな脅威に対する、私の理解を共有するために、このエクスプロイトの詳細を説明するウェビナーに参加した。
Continue reading “Log4Shell という API セキュリティの課題:ユーザー入力/JNDI/LDAP が生み出すモンスター”Google Calendar now lets you block invitation phishing attempts
2021/12/16 BleepingComputer — Google は、フィッシング詐欺などの悪意のキャンペーンに多用される、Google Calendar への不要な招待状をブロックし、追加されないようするための機能をリリースした。この機能は、「招待状を自動的に追加する」という設定を改善するものであり、招待状の自動的なカレンダーへの追加、もしくは、Respond to Event Invitations (RSVP) のみを、選択できるようになった。
Continue reading “Google Calendar にフィッシング・ブロック機能が追加:悪意の招待を締め出せ”State-sponsored hackers abuse Slack API to steal airline data
2021/12/15 BleepingComputer — イランが国家支援すると疑われている脅威アクターが、新たに発見された Aclip というバックドアを展開し、Slack API を悪用して秘密の通信を行っている。この脅威アクターの活動は 2019年に始まり、無名のアジアの航空会社を標的にしてフライト予約データを盗み出している。IBM Security X-Force のレポートによると、この脅威アクターは、世界中の組織を標的にして非常に活発に動き続けるハッキンググループ MuddyWater こと、ITG17 である可能性が高いとのことだ。
Continue reading “Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける”Defense Department blocks ads to counter malvertising, official tells Congress
2021/12/13 CyberScoop — この月曜日に米国国防総省 (DoD: Department of Defense) は、悪質な広告がもたらす脅威を回避するために、インターネット広告をブロックする複数の方法を採用していると文書で発表した。米上院議員 (民主) の Ron Wyden の質問に対する国防総省の回答は、この情報機関がセキュリティ対策として広告ブロックを利用しているという、以前と同様の回答となる。
Continue reading “米国国防総省 (DoD) のマルバタイジング防止策:人工知能を用いた広告ブロックとは?”Emotet Is Back and More Dangerous Than Before
2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。
Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”OWASP ModSecurity Core Rule Set sandbox launched to help security researchers test new CVEs
2021/12/10 DailySwig — OWASP ModSecurity Core Rule Set に対してペイロード・テストを行うセキュリティ研究者たちが、プロジェクト・メンテナがリリースした新しいサンドボックスを使えるようになったという朗報である。この Core Rule Set (CRS) とは、ModSecurity および、互換性のある Web Application Firewalls (WAF) で使用するための、一般的な攻撃検知ルールのセットである。その目的は、OWASP Top Ten を含む広範な攻撃から、Webアプリケーションを保護することにある。
Continue reading “OWASP ModSecurity Core Rule Set サンドボックスが登場:新たな CVE の研究が効率化される”Update on the Executive Order on Improving the Nation’s Cybersecurity
2021/12/09 SecurityBoulevard — サイバー・セキュリティに関する新たな大統領令は、いつも前向きな行動と期限が決められている。バイデン政権は、SolarWinds や Colonial Pipeline への攻撃を受けて、国家のサイバー・セキュリティを向上させるための EO (Executive Order) を発表した。その主な内容は、連邦政府機関全体での MFA/ZeroTrust/EDR の実施を呼びかけるものだった。また、Cyber Safety Review Board も設立された。
Continue reading “ナショナル・セキュリティを改善する大統領令:2021年11月までの進捗を評価してみる”Salt Security Report Surfaces GraphQL API Vulnerabilities
2021/12/08 SecurityBoulevard — 今日、Salt Security は、非公開の金融サービス企業が実装している、GraphQL API で発見された脆弱性を紹介するレポートを発表した。Salt Security の Technical Evangelist である Michael Isbitski によると、同社の研究者が確認した限りでは、この脆弱性の悪用は検知されていない。しかし、このレポートは、REST API に代わるものとして、開発者が広く使用し始めている、この新しいクラスの API 保護の必要性を、セキュリティ・チームに警告するものになる。
Continue reading “Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について”Cisco Survey Surfaces Legacy Infrastructure Security Challenges
2021/12/07 SecurityBoulevard — Cisco の委託を受けて YouGov が実施した、5,123人の IT/Security/Privacy の専門家を対象とするグローバル調査 (Global Cisco Study Identifies Top Security Practices to Detect Threats and Ensure Business Resiliency) によると、39% の組織が古いと思われるセキュリティ技術に依存していることが判明した。
Continue reading “Cisco 調査レポート:レガシー・インフラのセキュリティ課題を明らかにする”
IoT OT Security News 
You must be logged in to post a comment.