SBOM の品質をチェック:米政府基準の最小限要素を満たすものは1%に過ぎない

Chainguard Trains Spotlight on SBOM Quality Problem

2023/01/19 SecurityWeek — ソフトウェア部品表で品質を管理しているソフトウェア・エンジニアが、驚くべき発見をした。現時点で作成されている SBOM のうち、米国政府が定義した「最小限の要素」を満たしているものは、わずか 1% に過ぎないというのだ。ソフトウェア・サプライチェーン・セキュリティの企業である Chainguard の新しいデータによると、既存のツールで生成された SBOM は、ソフトウェアの脆弱性/ライセンス/在庫の追跡を管理するために、SBOM 内で定義されている必要最小限のデータフィールドを満たしていないことが判明した。

Continue reading “SBOM の品質をチェック:米政府基準の最小限要素を満たすものは1%に過ぎない”

ChatGPT でマルウェア開発:継続的な変異により捕捉/検出が困難になる

ChatGPT Creates Polymorphic Malware

2023/01/18 InfoSecurity — CyberArk のサイバー・セキュリティ研究者が、OpenAI の ChatGPT とテキストベースの対話を行い、新たな多形態マルウェア (Polymorphic Malware) を作成したと報告している。先日に同社が InfoSecurity と共有した技術文書によると、ChatGPT を用いて作成されたマルウェアは、「攻撃者による努力や投資を大幅に抑制した上で、簡単にセキュリティ製品を回避し、緩和を面倒なものにする」ことが可能だという。

Continue reading “ChatGPT でマルウェア開発:継続的な変異により捕捉/検出が困難になる”

GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布

Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware

2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。

Continue reading “GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布”

CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ

CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools

2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、1月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存/管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定/ソフトウェア改ざんの抑制/開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション/コンフィグレーションの変更/他のプロバイダーとの連携によるキーの失効/インシデント調査などを、同社は進めてきた。

Continue reading “CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ”

ChatGPT の悪用が始まる:人工知能の倫理をバイパスするロシアのハッカーたち

Russian Hackers Try to Bypass ChatGPT’s Restrictions For Malicious Purposes

2023/01/13 InfoSecurity — ロシアのサイバー犯罪者たちが、OpenAI の API 制限をバイパスして ChatGPT チャットボット にアクセスし、不正なアクションを試みる様子が、ダークウェブ・フォーラムで確認されている。ある脅威アクターたちは、OpenAI の無料アカウント制限を回避するために、アップグレード・ユーザーとして支払いに盗んだカードを使用する方法を議論していた。また、OpenAI の地理的なコントロールを回避する方法についてブログを投稿した者や、半合法的なオンライン SMS サービスを使って ChatGPT に登録するチュートリアルを作成した者もいる。

Continue reading “ChatGPT の悪用が始まる:人工知能の倫理をバイパスするロシアのハッカーたち”

GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見

GitHub makes it easier to scan your code for vulnerabilities

2023/01/09 BleepingComputer — GitHub が新たに導入したオプションは、”default setup” と呼ばれるリポジトリのコード・スキャンを設定するものであり、開発者が数回クリックするだけで自動的にコードがスキャンされるという。GitHub のコード・スキャンを支える CodeQL コード解析エンジンは、多くの言語とコンパイラをサポートしているが、この新しいオプションは Python/JavaScript/Rubyのリポジトリに対してのみ表示される。Product Marketing Manager である Walker Chabbott によると、GitHub は今後6ヶ月間において、より多くの言語へのサポート拡大に取り組んでいくとのことだ。

Continue reading “GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見”

ChatGPT という人工知能:フィッシング/BEC/マルウェア開発に利用できる?

ChatGPT Artificial Intelligence: An Upcoming Cybersecurity Threat?

2023/01/06 DarkReading — 人工知能 (AI) に秘められる可能性は、サイバー・セキュリティへの取り組み方を含めて、私たちの生活の多くの側面に革命をもたらす。しかし、それは、慎重に管理する必要がある、新たなリスクと課題も提示している。AI をサイバー・セキュリティに活用する方法の1つは、サイバー脅威を検知して対応できる、インテリジェントなシステムの開発を通じてとなる。これは、ある AI チャット・ボットからの返答であり、私が AI とサイバー脅威について書いてほしいと頼んだときのものだ。もうお分かりだと思うが、この世で一番人気の ChatGPT である。

Continue reading “ChatGPT という人工知能:フィッシング/BEC/マルウェア開発に利用できる?”

GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”

Google が OSV-Scanner を公開:OSS の脆弱性を網羅する分散型データベース

Google Launches Largest Distributed Database of Open Source Vulnerabilities

2022/12/13 TheHackerNews — 12月13日に Google は、さまざまなプロジェクトの脆弱性情報に簡単にアクセスするためのスキャナ OSV-Scanner の、オープンソース提供を発表した。Google のソフトウェア・エンジニアである Rex Pan は、「この Go ベースのツールは、Open Source Vulnerabilities (OSV) データベースを利用しており、プロジェクトの依存関係リストと、それに影響を与える脆弱性を結びつけるよう設計されている」と、The Hacker News に共有した投稿で述べている。

Continue reading “Google が OSV-Scanner を公開:OSS の脆弱性を網羅する分散型データベース”

Chrome での Passkeys サポート開始:Android/iOS デバイスの生体認証を活用

Google Adds Passkey Support to Chrome for Windows, macOS and Android

2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。

Continue reading “Chrome での Passkeys サポート開始:Android/iOS デバイスの生体認証を活用”

Google の進化する機械学習:Android の PCC 機能によりプライバシーを保護

Google: How Android’s Private Compute Core protects your data

2022/12/08 BleepingComputer — Google は、Android 上のPrivate Compute Core (PCC) 機能のフローと、保護されたデバイス上でローカルに処理される機密ユーザー・データの保持について、より詳細な技術情報を開示した。Android 12で導入されたPCC は、GPS/センサー/マイク/カメラ/スクリーンからのデータを保存/処理し、ユーザーに機械学習機能を提供する、オペレーティング・システム内の安全で分離された信頼できる環境である。

Continue reading “Google の進化する機械学習:Android の PCC 機能によりプライバシーを保護”

CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ

Why CVE Management as a Primary Strategy Doesn’t Work

2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。

Continue reading “CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ”

CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル

CISA Releases Decision Tree Model to Help Companies Prioritize Vulnerability Patching

2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。

Continue reading “CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル”

CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗

CISA Urges Organizations to Implement Phishing-Resistant MFA

2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、2つ以上の異なる認証手段の組み合わせを要求するものだ。

Continue reading “CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗”

MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?

The future of MFA is passwordless

2022/10/19 HelpNetSecurity — Secret Double Octopus と Dimensional Research の両者は、従業員 1,000人以上の組織において従業員の ID とセキュリティを担当する300人以上の IT 専門家を対象に、従業員のパスワードレス認証と多要素認証 (MFA) の使用状況について調査を実施した。

Continue reading “MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?”

CISA が RedEye をリリース:C2 ログの可視化や Cobalt Strike 追跡などに対応

CISA releases open-source ‘RedEye’ C2 log visualization tool

2022/10/14 BleepingComputer — 米国の Cybersecurity and Infrastructure Security (CISA) は、Command and Control (C2) アクティビティ可視化し報告するオペレーター向けに、オープンソースの分析ツール RedEye を発表した。この RedEye は、レッドチームとブルーチームの双方に対応し、実用的な意思決定につながるデータを、簡単に測定する方法を提供する。

Continue reading “CISA が RedEye をリリース:C2 ログの可視化や Cobalt Strike 追跡などに対応”

Microsoft Office 365 の OME に問題:暗号化されたデータ・パターンの結合による情報漏えい

Weakness in Microsoft Office 365 Message Encryption could expose email contents

2022/10/14 HelpNetSecurity — Microsoft Office 365 Message Encryption (OME) に存在するセキュリティ上の弱点と、悪用に成功した攻撃者が機密情報を不正に取得する可能性について、WithSecure の研究者たちがユーザー組織に対して警告を発している。暗号化された電子メールを、社内外に送信するために組織的に使用される OME は、Electronic Codebook (ECB)  実装を利用しており、ある動作モードでは、メッセージに関する特定の構造情報の漏えいが生じる。

Continue reading “Microsoft Office 365 の OME に問題:暗号化されたデータ・パターンの結合による情報漏えい”

Microsoft が Security Update Guide を RSS フィードで提供:最新のセキュリティ・リスクを共有

Microsoft adds new RSS feed for security update notifications

2022/10/12 BleepingComputer — Microsoft は、Security Update Guide の RSS フィードを通じて、新しいセキュリティ更新プログラムに関する通知を可能にした。したがって、Microsoft が自社製品のセキュリティ脆弱性を修正した場合には、その詳細が Security Update Guide (SUG) で公開されることになる。現状において、Microsoft は月に2回、新しい脆弱性を開示しているが、その大部分は毎月の Patch Tuesday と Microsoft Edge の脆弱性を修正するときだ。

Continue reading “Microsoft が Security Update Guide を RSS フィードで提供:最新のセキュリティ・リスクを共有”

Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート

Google Rolling Out Passkey Passwordless Login Support to Android and Chrome

2022/10/12 TheHackerNews — 水曜日に Google は、次世代認証規格である Passkeys のサポートを、Android と Chrome に対して正式に展開した。Google は、「Passkeys は、フィッシングに狙われやすいパスワードなどの認証要素に代わる、より安全性の高い認証手段である。再利用できず、サーバーの侵入で漏れることもなく、フィッシング攻撃からユーザーを保護する」と述べている。この機能は、共通のパスワードレス・サインイン規格をサポートするための、広範なプッシュ規格の一部として、2022年5月に発表されたものだ。

Continue reading “Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート”

Dissect でフォレンジック:データの収集/分析を促進する OSS フレームワークとは?

Dissect: Open-source framework for collecting, analyzing forensic data

2022/10/05 HelpNetSecurity — サイバー・インシデント対応におけるゲーム・チェンジャーである Dissect フレームワークは、攻撃が生じた後に調査すべき IT 環境の性質/規模に関わらず、数千のシステムに対して数時間でデータを取得することを可能にする。これまでの 10年にわたり Fox-IT は、顧客のインシデント・レスポンス調査における重要なフレームワークとして Dissect を開発/使用してきた。現在では、フォレンジック/データの収集/分析を促進するオープンソース・ソフトウェアとして、GitHub 上でセキュリティ・コミュニティに公開されている。

Continue reading “Dissect でフォレンジック:データの収集/分析を促進する OSS フレームワークとは?”

Windows 11 の新機能:パスワードを保護する Enhanced Phishing Protection とは?

Windows 11 now warns when typing your password in Notepad, websites

2022/09/24 BleepingComputer — Windows 11 22H2 がリリースされ、安全ではないアプリケーションや Web サイトにおいて、Windows のパスワードを入力する際に警告する、新しいセキュリティ機能 Enhanced Phishing Protection が搭載された。Windows のログイン情報は、企業内ネットワークへのアクセスを伴う、データ窃盗やランサムウェア攻撃を可能にするため、脅威アクターにとって貴重なものである。一般的に、これらのパスワードはフィッシング攻撃などで不正に取得されるが、ワープロ/テキストエディタ/表計算ソフトなどの安全ではないアプリケーションに、ユーザーがパスワードを保存することでも不正に取得される。

Continue reading “Windows 11 の新機能:パスワードを保護する Enhanced Phishing Protection とは?”

Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?

Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages

2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。

Continue reading “Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?”

NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために

NSA and CISA share tips to secure the software supply chain

2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障システムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。

Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”

PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”

OSINT について考える:企業のセキュリティ保護に適用する理由と方法とは?

How and Why to Apply OSINT to Protect the Enterprise

2022/08/15 DarkReading — あなたは、Strava のような、フィットネスに特化した SNS のファンだろうか?あなただけではなく、軍人でさえも、ランニングの記録/共有を楽しんでいる。しかし、Strava が収集/公開する、彼らのすべての活動量と GPS データは、軍事基地の正確な位置を晒してしまう。現在、インターネット上で公開されている情報の種類を見ると、驚くかもしれない。しかし、私たちが過剰な共有の時代に生きていることを考えれば、驚くことではない。Twitter や自動返信のメールで、休暇の計画を公開している私たちは、実質的に強盗を招いているようなものだ。

Continue reading “OSINT について考える:企業のセキュリティ保護に適用する理由と方法とは?”

OCFS でセキュリティ・アラートを正規化:AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

Continue reading “OCFS でセキュリティ・アラートを正規化:AWS と Splunk が Black Hat で発表”

Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される

Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks

2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証/ZTNA/SSO/ID プロバイダー・サービスなど) は、Cookie の盗難/再利用および、セッション ハイジャック攻撃からの保護にはほとんど効果がない。 今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。

Continue reading “Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される”

Google Workspace 保護の強化:アカウント・ハイジャックを防ぐための警告/確認とは?

Google now blocks Workspace account hijacking attempts automatically

2022/08/10 BleepingComputer — Google Workspace (旧 G Suite) における高リスクのアカウント操作への保護が強化され、本人確認のプロンプトにより乗っ取りの試みが自動的にブロックされ、さらなる調査のためのログが記録されるようになった。この、追加されたセキュリティ層は、ユーザー・アカウントに不正アクセスする脅威アクーをブロックし、個人データや組織の機密情報を保護するものだ。このアカウント保護機能の強化は、従来の G Suite Basic および Business の顧客を含む、すべての Google Workspace の顧客に提供される。

Continue reading “Google Workspace 保護の強化:アカウント・ハイジャックを防ぐための警告/確認とは?”

バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える

Why Bug-Bounty Programs Are Failing Everyone

2022/07/30 DarkReading — Black Hat USA の講演で Katie Moussouris は、バグバウンティ・プログラムが目標を達成できない理由と、セキュリティ上の成果としてバウンティを活用するために、それに続くステップで必要となるものを説明することになる。

Continue reading “バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える”

IPFS 分散型ファイル・システムとサイバー犯罪:フィッシング・キャンペーンの温床?

Researchers Warns of Increase in Phishing Attacks Using Decentralized IPFS Network

2022/07/29 TheHackerNews — IPFS と呼ばれる分散型ファイル・システム・ソリューションが、フィッシング・サイトをホストするための新たな温床になりつつあると、研究者たちが警告を発している。サイバー・セキュリティ企業の Trustwave SpiderLabs は、特定された過去3ヶ月間の攻撃キャンペーンの詳細を公開し、攻撃ベクターとして IPFS フィッシング URL を含む、3,000 以上の電子メールを確認したと述べている。

Continue reading “IPFS 分散型ファイル・システムとサイバー犯罪:フィッシング・キャンペーンの温床?”

Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”

AWS における Security/Privacy/Compliance 対応:クラウド・ユーザーを強力に支援

AWS Announces Enhancements to Cloud Security, Privacy, Compliance

2022/07/27 SecurityWeek — AWS が新たに立ち上げた Customer Incident Response Team (CIRT) は、顧客が責任を負うシステムやデータに影響を与える、アクティブなセキュリティ・イベント時に、ユーザーを支援することを目的とする。AWS CIRT との連携は、サポートケースを開設することで実施される。また、AWSのアカウントとワークロード向けの脅威検知サービス である Amazon GuardDuty に、マルウェア検知機能が追加されることも発表された。この Malware Protection 機能を有効にすると、EC2 インスタンスやコンテナ・ワークロードで不審なアクティビティが検出されたたときに、マルウェアスキャンが開始される。

Continue reading “AWS における Security/Privacy/Compliance 対応:クラウド・ユーザーを強力に支援”

DDoS トレンド 2022:ウクライナから世界へと広がる規模と頻度

DDoS Attack Trends in 2022: Ultrashort, Powerful, Multivector Attacks

2022/07/27 BleepingComputer — 2022年に入ってからというもの、ヨーロッパをはじめとする世界の政治情勢は劇的に悪化した。それにより、DDoS 攻撃の性質/強度/地理的条件に影響が生じ、政治的な目的のために積極的に利用されるようになった。

Continue reading “DDoS トレンド 2022:ウクライナから世界へと広がる規模と頻度”

Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減

Detectree: Open-source tool simplifies data analysis for blue teams, reduces alert fatigue

2022/07/22 HelpNetSecurity — セキュリティ・インシデントが止まらない中、悪意の活動と影響の特定に、数多くの企業が苦戦している。攻撃を食い止め、被害を最小限に抑えるための、時間とリソースが浪費されている。そこに、インシデントの可視性を高めることで、企業における損害を緩和する新しいオープンソースツールが登場した。

Continue reading “Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減”

サイバー保険を考える:ランサムウェアが引き上げる保険料と予測不能な未来

Ransomware Scourge Drives Price Hikes in Cyber Insurance

2022/07/12 DarkReading — ランサムウェア攻撃がもたらすコスト上昇により、英国/米国でサイバー保険の保険料が大幅に上昇していることが、新しいデータで明らかになった。米国では、過去2年間の平均支払額が $3.5 million を超えており、顧客のセキュリティ指標や対策に直接アクセスしたいと考える、サイバー・セキュリティ保険会社が増えているようだ。サイバー保険業界の現状に関する Panaseer のレポートによると、このような方式の採用により、セキュリティ管理の状況を証明しやすくなるという。

Continue reading “サイバー保険を考える:ランサムウェアが引き上げる保険料と予測不能な未来”

Microsoft Windows の Autopatch が開始:Enterprise E3/E5 ライセンスを持つ顧客が対象

Microsoft Windows Autopatch is Now Generally Available for Enterprise Systems

2922/07/11 TheHackerNews — 月曜日に Microsoft は、登録されたエンドポイントで Windows/Office ソフトウェアを自動的に最新の状態に保つ、Autopatch と呼ばれる機能の一般提供を発表した。Microsoft が月例セキュリティ・パッチをリリースする前日に、この機能は発表されており、Windows Enterprise E3/E5 ライセンスを持つ顧客が利用できるものとなる。ただし、Windows Education (A3) および Windows Front Line Worker (F3) ライセンスには対応していない。

Continue reading “Microsoft Windows の Autopatch が開始:Enterprise E3/E5 ライセンスを持つ顧客が対象”

Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性

Microsoft updates Azure AD with support for temporary passcodes

2022/07/01 BleepingComputer — Azure Active Directory (Azure AD) の管理者による、期限付きのパスコードの発行が可能になった。このパスコードは、パスワードレス認証での新規登録や、Windows オンボーディング時において、また、認証情報や FIDO2 キー紛失などのアカウント復旧においても利用できる。 Microsoft は TAP (Temporary Access Pass) と表現しているが、Azure ポータルからAzure AD の認証方式ポリシーで TAP を有効にすると、(初回サインアップ時やデバイスのセットアップ時に) 認証情報を登録するために利用できるようになる。

Continue reading “Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性”

オープンソース・ソフトウェアと脆弱性の関係:実際に攻撃可能なものは3%に過ぎない

Only 3% of Open Source Software Bugs Are Actually Attackable, Researchers Say

2022/06/25 DarkReading — ソフトウェア・サプライチェーンにおけるセキュリティ・リスクが高まる中、脆弱性管理の作業負荷が増大しているが、今日の Shiftleft レポートでは、現存の脆弱性のうち、実際に攻撃者が到達可能なものは約3%に過ぎないことが示されている。このデータは、アプリケーション・セキュリティ (appsec) の専門家と開発者たちが、攻撃可能な脆弱性の修正と軽減に注力すれば、チームの負担を劇的に軽減できることを示唆している。

Continue reading “オープンソース・ソフトウェアと脆弱性の関係:実際に攻撃可能なものは3%に過ぎない”

SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減

Gathering Momentum: 3 Steps Forward to Expand SBoM Use

2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。

Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”

Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?

Google Created ‘Open-Source Maintenance Crew’ to Help Secure Critical Projects

2022/05/13 TheHackerNews — 木曜日に Google は、重要なオープンソース・プロジェクトのセキュリティ強化のために、Open Source Maintenance Crew を創設したことを発表した。さらに Google は、パッケージと依存関係をグラフで分析するツールとして Open Source Insights を指摘し、それを使って「依存関係にある脆弱性が自身のコードに影響を及ぼす可能性の有無を判断する」ことを提案した。

Continue reading “Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?”

CISO として考えるべき脅威検知の視点:7つの質問を用意してみた

7 threat detection challenges CISOs face and what they can do about it

2022/05/05 HelpNetSecurity — セキュリティ運用 (SecOps) チームは、新たな攻撃やマルウェアの亜種の氾濫に、さらされ続けている。最近の AV-TEST 調査によると、2021年だけで 1億7000万以上の新しいマルウェア亜種が存在している。その結果として、CISO とチームが、これらの新たな脅威を特定し、阻止するための負担は、かつてないほど高まっている。しかし、それを行おうとすると、スキル不足/データの相関関係の特定 (手作業)/誤検出の追及/長時間の調査といった、さまざまな課題に直面する。この記事では、CISO が直面している脅威検知プログラムの課題を探り、セキュリティ運用を改善するためのヒントを紹介したいと思う。

Continue reading “CISO として考えるべき脅威検知の視点:7つの質問を用意してみた”

OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”

メッセージング・アプリの選び方:利便性と安全性をビジネス目線で考察する

Which Third-Party Messenger App Is Best for Secure Business?

2022/04/07 SecurityIntelligence — 2021年10月のこと、世界中で Facebook/Instagram/WhatsApp/Messenger が最大で6時間にわたり停止し、数十億人がメッセージ・サービスを受けられなくなった。Facebook のエンジニアたちが問題解決に奔走する間、ユーザーは他のアプリに移行してつながりを維持した。Telegram の創設者である Pavel Durov によると、この停止の後に、7000万人のユーザーが増加したという。

Continue reading “メッセージング・アプリの選び方:利便性と安全性をビジネス目線で考察する”

Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗

Google Teams Up With GitHub for Supply Chain Security

2022/04/07 SecurityWeek — Google と GitHub が協力して、SolarWinds や Codecov に影響を与えたような、ソフトウェア・サプライチェーン攻撃に対抗するための、防御ソリューションを提供している。Google の Open Source Security Team の説明によると、SolarWinds の攻撃では、ハッカーがビルド・サーバーを制御し、ビルド・プラットフォームに悪意のアーティファクトを注入している。また、Codecov の攻撃では、脅威者は信頼できるビルド・サーバを迂回して、悪意のアーティファクトをアップロードしていた。

Continue reading “Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗”

GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩

Companies’ Code Leaking More Passwords and Secrets

2022/03/03 DarkReading — 今日の GitGuardian の新しいレポートによると、2021年に組織全般から流出したパスワード/AP Iキーなどの機密データは 600万件を超え、前年の2倍に増加したとのことです。このレポートでは、より多くのコードがリポジトリにプッシュされ、より優れた検出機能が利用できるようになったことが主要因である。

Continue reading “GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩”

ウクライナ戦でのオンラン・バトル:最前線に押し出された SNS の役割とは?

The Online Battle In Ukraine

2022/03/02 CyberSecurityIntelligence — 多くの人々のポケットに入ったスマフォのカメラから、ロシアによるウクライナ侵攻の様子が世界に流れ出している。デジタル時代の新たな最前線であるインターネットを導入された、ヨーロッパで初めて経験する武力紛争である。オンラインでの戦いが双方でエスカレートし、米国のテクノロジー企業はロシアからのコンテンツのブロックについて混乱している。たとえば、オンライン検閲や、偽情報の拡散を考える一方で、ミサイル攻撃に直面しているウクライナのインターネットユーザーのことも考える必要がある。

Continue reading “ウクライナ戦でのオンラン・バトル:最前線に押し出された SNS の役割とは?”

CISA が編纂するリスト:サイバー・セキュリティのための無償ツール/サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス/ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

Continue reading “CISA が編纂するリスト:サイバー・セキュリティのための無償ツール/サービス”

GitHub の新しいコード・スキャン:JavaScript/TypeScript のエコシステムをサポート

GitHub code scanning now finds more security vulnerabilities

2022/02/17 BleepingComputer — 昨日に GitHub は、機械学習を利用した新しいコード・スキャン解析機能を発表した。これにより、より一般的なセキュリティ脆弱性を、プロダクション環境に至る前に自動的に発見することが可能となる。この新しい実験的な静的解析機能は、JavaScript および TypeScript の GitHub リポジトリで、パブリック・ベータ版として提供されている。

Continue reading “GitHub の新しいコード・スキャン:JavaScript/TypeScript のエコシステムをサポート”

Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日

Google Cloud offers good news and bad news on Log4Shell, other issues

2022/02/15 CyberScoop — Google Cloud では、Log4Shell バグを持つ脆弱なシステムに対して、1日あたり 40万回のスキャンが行われていると、同社は火曜日に発表した。Google Cloud の CISO である Phil Venables は CyberScoop に対して、「当社の不定期レポート Threat Horizons の調査結果では、スキャンは継続的に行われており、脆弱なインスタンスを1つでもオープンにしておくと発見される。IT セキュリティ担当者は常に注意を払う必要がある」と述べている。

Continue reading “Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日”

Secure Web Gateway と Web Filtering:ルール/メリット/問題点は?

How To Secure Web Gateway & Web Filtering

2022/01/26 CyberSecurityIntelligence — Secure Web Gateway は、企業のセキュリティ・ポリシーを適用し、悪意のインターネット・トラフィックをリアルタイムにフィルタリングすることで、オンライン・セキュリティの脅威からの保護を強化する。Secure Web Gateway は、最低限、URL フィルタリング/Web アプリケーションのコントロール/悪意のコードの検出とフィルタリングなどを提供するが、データ漏洩防止機能も不可欠となる。

Continue reading “Secure Web Gateway と Web Filtering:ルール/メリット/問題点は?”