Protection – Page 5 – IoT OT Security News

Snake はロシア FSB 由来：米政府が無効化した最強のスパイツールとは？

U.S. Government Neutralizes Russia’s Most Sophisticated Snake Cyber Espionage Tool

2023/05/10 TheHackerNews — ロシア連邦の FSB (Federal Security Service) が保有する、高度なマルウェア Snakeが侵害したグローバル・ネットワークを、裁判所の許可を得た米国政府が、5月12日に停止したことが発表された。最も洗練されたサイバー・スパイ・ツールとされる Snake の背後には、Turla (別名 Iron Hunter／Secret Blizzard／SUMMIT／Uroburos／Venomous Bear／Waterbug) と呼ばれるロシアの国家支援グループがいるとされるが、その正体について米国政府は、FSB の Center 16 のユニットであると見ている。

Microsoft Secure Boot のゼロデイ CVE-2023-24932：アップデートしてもデフォルトでは無効？

Microsoft issues optional fix for Secure Boot zero-day used by malware

2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。

フィッシングの 2022年を総括：AI ツールにより高度化／急増しているキャンペーン – Zscaler

AI tools help attackers develop sophisticated phishing campaigns

2023/04/25 HelpNetSecurity — Zscaler のレポートによると、フィッシング詐欺の手法が洗練され、検知やブロックが困難になっていることで、サイバー犯罪の脅威が増大しているとのことだ。このレポートでは、現代のフィッシング攻撃の大半が、盗まれた認証情報に依存していることも明らかにされている。さらに、最近トレンドとして、中間者攻撃 (AitM) や、InterPlanetary File System (IPFS) の利用増加、ブラックマーケットから調達したフィッシング・キット、ChatGPT などの AI ツールへの依存についても概説している。

LockBit が macOS 用のマルウェアを開発：サンプルが検出されたが完成度は？

Researchers Discover First Ever Major Ransomware Targeting macOS

2023/04/19 DarkReading — 悪名高い LockBit ランサムウェア・グループが、macOS デバイス用のマルウェアを開発した。これは、主要なランサムウェア・グループが、Apple の領域に踏み込む初めてのケースになる。LockBit は、世界で最も多発する Ransomware-as-a-service (RaaS) オペレーターの１つであり、注目を集める攻撃／洗練された悪意のプログラム／グレードAの PR などで知られている。

中小企業でも OK：無料オンライン・サイバーセキュリティ・ツール５選

5 free online cybersecurity resources for small businesses

2023/04/19 HelpNetSecurity — サイバー攻撃の頻度と巧妙さが増すにつれ、中小企業 (SMB：Small and Medium-sized Businesses) は、サイバー脅威に対してより脆弱になりつつある。大企業とは異なり、中小企業には、悪意の人物からネットワークやデータを効果的に保護するための資金や技術的リソースが不足している場合が多い。多くの中小企業は、予算や IT スタッフが限られているため、どこにリソースを配分するのかという難しい決断を迫られる。

英国の大手企業のセキュリティ態勢が大幅に向上 – Rapid7

Rapid7 Has Good News for UK Security Posture

2023/04/13 InfoSecurity — Rapid7 によると、この２年間において英国の大手上場企業は、リスクの高いポートへのアクセスを減らし、電子メールのセキュリティを強化したが、一部の企業は依然として過度のサイバーリスクを抱えているとのことだ。セキュリティ・ベンダーである Rapid7 は、2023年3月時点の英国の攻撃対象領域を把握するため、FTSE350 を３つの分野で評価した。

LastPass 侵害を再考する：そこから学ぶことがタクサンあるはず

LastPass Breach Reveals Important Lessons

2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

2023年サイバー・セキュリティのトップトレンドは “人間中心のアプローチ” – Gartner 報告

Gartner: Human-Centric Design Is Top Cybersecurity Trend for 2023

2023/04/13 DarkReading — セキュリティ障害の軽減に効果的なサイバー・セキュリティの施策をとるためには、セキュリティとリスク管理のリーダーたちが、人間を中心としたアプローチに目を向けることが不可欠であると、調査／コンサルティング会社の Gartner が明らかにした。サイバー・セキュリティの実践において、人間を中心としたアプローチを取ることができれば、個々の従業員と経験が優先され、摩擦とリスクを軽減しながら、最終的には良い結果に繋がるという。

MSP たちは何を考える？セキュリティ・サービスの強化に同意する経営者と技術者

MSPs urged to refine security solutions in response to growing SMB needs

2023/04/10 HelpNetSecurity — Kaseya の調査によると、それぞれの MSP は、サービス提供を効率化し、コスト管理を改善するために、コアツール間の統合と自動化にフォーカスしている。回答者の約 90% は、エンドポイントの管理／監視および、パッチ適用、チケット解決などの、サイバー・セキュリティに関するプロセスを自動化することで、効率を改善しようとしている。それにより、より多くの顧客を引き受け、より多くの収益を生み出すことが可能になるため、彼らのビジネスにとって自動化は、重要なテクノロジーであると評価しされる。

BGP ハイジャッキングを止めろ：オランダ政府が RPKI を全面採用する理由を考える

All Dutch govt networks to use RPKI to prevent BGP hijacking

2023/04/09 BleepingComputer — オランダ政府は、2024年末までに RPKI (Resource Public Key Infrastructure) 規格を採用することで、インターネット経路のセキュリティを向上させる予定だという。RPKI (Resource Certification) は、経路を暗号的に検証することで、悪意の有無にかかわらず、誤った経路変更からインターネット・トラフィックを保護するものである。この規格では、デジタル証明書を使用して、経路情報の交換に使用される BGP (Border Gateway Protocol) を保護し、ディスティネーション経路の IP アドレスを制御する正当なネットワーク事業者を、トラフィックが経由することを確認するものだ。

Microsoft Exchange Online に計画変更：Azure AD CA への移行は 2024年まで延期

Microsoft delays Exchange Online CARs deprecation until 2024

2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を１年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値／例外／アクション／条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ／接続を確立するために使用する、プロトコル／アプリケーション／サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。

サイバー攻撃に悪用される ChatGPT：防御側も LLM を活用すべき

Bad Actors Will Use Large Language Models — but Defenders Can, Too

2023/04/07 DarkReading — 各種の AI がヘッドラインを席巻しているが、その中でも ChatGPT は最新のトピックであり、その斬新さに誰もが心を奪われている。しかし、 LLM (Large Language Models) が兵器化される方法などについては、誰も触れていない。インターネットは信じられないほど巨大で複雑になり、数多くの機密情報が露呈されるようになった。10年前には１つの Web サイトしか持たなかった企業が、今日では数十の Web サイトを持ち、未知の資産や子会社を抱えている。それらを悪用する攻撃者が、ネットワーク／システムへの侵入や知的財産の流出を活性化している。

ネットワーク・セキュリティのリスクが定量化できない？いまのアプローチが問題なのか？

Companies carry unquantified levels of risk due to current network security approaches

2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油／ガス／通信／銀行／金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。

Android アプリに新たなデータ削除規定：Google からの開発者への要求とは？

Google Mandates Data Deletion Policy For Android Apps

2023/04/06 InfoSecurity — Android アプリアによるカウント作成について、Google が新しいポリシーの導入を発表した。この新たなルールにより、それらのアプリは、アカウントの削除と、関連するデータの削除を、オプションとしてユーザーに提供することが義務付けられる。

Cobalt Strike のクラック版を潰せ：Microsoft と Fortra が取り締まりを発表

Microsoft and Fortra crack down on malicious Cobalt Strike servers

2023/04/06 BleepingComputer — Microsoft／Fortra／Health-ISAC (Health Information Sharing and Analysis Center) の三者は、サイバー犯罪者が使用する主要ハッキングツールである、Cobalt Strike のクラック・コピーをホストするサーバに対する、広範な法的取り締まりを発表した。Microsoft の Digital Crimes Unit (DCU) の Amy Hogan-Burney は、「世界中でホストされている Cobalt Strike のクラックされたレガシー・コピーを取り締まるには、粘り強く取り組む必要がある。Fortra のセキュリティ・ツールの、正当な利用を保護するための重要な行動である。Microsoft も同様に、自社の製品／サービスの正当な利用を守るために尽力している」と述べている。

Genesis のテイクダウン：Operation Cookie Monster が老舗のダークウェブを追い詰めた

FBI Seizes Genesis Cybercriminal Marketplace in ‘Operation Cookie Monster’

2023/04/06 DarkReading — 盗み出されたクッキーなどの、危険なデータを流通させるために広く利用されている、ダークウェブ・フォーラムのホームページが、米国連邦法執行機関の押収通知に置き換えられた。FBI が押収した Genesis Market は、盗み出されたクッキー／認証情報／トークンだけではなく、被害者のネットワークにイニシャル・アクセスするための、ボットなどのツールを提供する、最大かつ広範に利用されるダークウェブ・フォーラムの１つである。この出来事は、世界中でサイバー犯罪に関与している人々に、国際的な法執行機関が与えた新たな打撃である。

NTT の新たな MDR サービス：Microsoft Sentinel をベースに展開される

NTT Taps Microsoft to Provide MDR Service

3023/04/03 SecurityBoulevard — NTT Ltd が提供を開始した MDR (Managed Detection and Response) セキュリティ・サービスは、Azure クラウド・サービスにホストされている SIEM (Security Information Event Management) プラットフォーム Microsoft Sentinel をベースにしたものとなる。この NTT MDR サービスは、オンプレミス／クラウド環境における、あらゆるユーザー／デバイス／アプリケーション／インフラ・プラットフォームからデータを収集する。そして、このアプローチにより、NTT は高度な分析と機械学習アルゴリズムを適用して、効果的に攻撃を特定し阻止することが可能になるという。

Microsoft OneNote の安全性を確保する：危険なファイル拡張子のブロックが始まる

Microsoft OneNote Starts Blocking Dangerous File Extensions

2023/04/03 SecurityWeek — Microsoft が発表したのは、危険とされる拡張子を持つエンベッド・ファイルを自動的にブロックする、OneNote ユーザー向けの保護機能の向上である。OneNote は、企業ユーザーがメモ作成やタスク管理のために使用する、Office スイートのコンポーネントであり、マルチ・ユーザー・コラボレーション機能も備えている。その他の Office アプリケーションと同様に、OneNote はマルウェア配信に悪用されてきた。そして、OneNote ドキュメントでは、ユーザーに対する警告を出さずに実行されるファイルを添付できる。

100万回のペンテスト・データは語る：この１年で増大したリスクとは？

Millions of Pen Tests Show Companies’ Security Postures Are Getting Worse

2023/03/29 DarkReading — 平均的な企業のリスク・スコアは、この１年で悪化している。その背景にあるのは、企業におけるデータ流出への対応が不足し、Web アプリケーションの適切な保護が向上しないという現実である。企業におけるデータ流出のリスク・スコアは、2021年の 30ポイントから、2022年の 44ポイントに上昇し、データ漏洩に関する全体的なリスクが高まったことを示している。この調査結果は Cymulate によるものであり、プロダクション環境における 170万時間に及ぶ攻撃的サイバー・セキュリティ・テストを含む、100万回のペンテスト・データを集計したものである。

ChatGPT に対するユーロポールの評価：近い将来に起こり得る問題の可能性

Europol details ChatGPT’s potential for criminal abuse

2023/03/28 HelpNetSecurity — ChatGPT に対する社会の関心が高まる中、この問題に真剣に取り組んでいる Europol Innovation Lab は、さまざまな部門の専門家が参加する、一連のワークショップを実施した。これらのワークショップは、ChatGPT のような LLM (Large Language Models) が犯罪者に悪用される可能性や、捜査官の日常業務を支援する可能性の、調査を目的としている。

米大統領令による商用スパイウェア制限：政府による使用については曖昧さが残る

President Biden Signs Executive Order Restricting Use of Commercial Spyware

2023/03/28 TheHackerNews — 2023年3月27日 (月) に、米国のジョー・バイデン米大統領は、連邦政府機関による商用スパイウェアの使用を制限する大統領令に署名した。この大統領令には、「スパイウェアのエコシステムが、米国政府にとって深刻な防諜上のリスクとセキュリティ上のリスクをもたらし、また、外国政府または外国人により不適切に使用される重大なリスクをもたらす」と記されている。また、こうしたツールの政府による使用が、法の支配および、人権と、民主主義の規範／価値の尊重と一致する方法で行われることを、保証するよう求めている。

Microsoft の AI セキュリティ：GPT-4 を搭載する Copilot のプレビューが始まった

Microsoft Introduces GPT-4 AI-Powered Security Copilot Tool to Empower Defenders

2023/03/28 TheHackerNews — 2023年3月28日 (火) に Microsoft は、Security Copilot のプレビュー版を発表した。それは、マシンのスピードとスケールで End−to-End 防御を提供するために、AI 指向の機能を組み込むことを、継続的に推進していくことを示すものだ。この、OpenAI の GPT-4 AI と、独自のセキュリティ専用モデルを搭載した製品は、サイバー・セキュリティ・アナリストによる、脅威への迅速な対応／シグナルの処理／リスク露出の評価を可能にする、セキュリティ分析ツールだとされている。

Windows／Ubuntu／VMWare Workstation が陥落：Pwn2Own 2023 レポート Day_3

Windows, Ubuntu, and VMWare Workstation hacked on last day of Pwn2Own

2023/03/24 BleepingComputer — ハッキング・コンテスト Pwn2Own の Day-3 でセキュリティ研究者たちは、Windows 11／Ubuntu Desktop／VMware Workstation を標的とした５つのゼロデイ・エクスプロイトを実演し、$185,000 を獲得した。この日のハイライトは、Ubuntu Desktop オペレーティングシステムが、３つのチームにより３回ハッキングされたことだが、そのうちの１つは、以前から知られていたエクスプロイトと重なってしまった。

企業におけるストレージとバックアップを考える：ハイリスクの Top-5 とは？

Top 5 security risks for enterprise storage, backup devices

2023/03/23 HelpNetSecurity — 企業向けのストレージとバックアップのデバイスには、平均で 14件の脆弱性が存在し、そのうち3件は、悪用された場合に重大な侵害をもたらす高リスクの脆弱性であると、Continuity はレポートで記している。この調査結果は、企業におけるストレージとバックアップのセキュリティ状況に、大きなギャップが生じていることを浮き彫りにしている。つまり、IT の他のレイヤーのセキュリティに比べて、大きく遅れているかことを示している。

Microsoft クラウドへのハッキングを検出：CISA が最新ツールを提供

New CISA tool detects hacking activity in Microsoft cloud services

2023/03/23 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、Microsoft のクラウド環境における悪意のアクティビティの兆候の検出に有効な、新しいオープンソースのインシデント対応ツールを公開した。米国エネルギー省の国立研究所である Sandia と共同で開発された、この Untitled Goose Tool という名の Python ベースのユーティリティは、Azure Active Directory／Microsoft Azure／Microsoft 365 環境からテレメトリ情報をダンプする。

Okta のパスワード誤入力が狙われる：不適切なログ管理に起因する攻撃手法とは？

New Post-Exploitation Attack Method Found Affecting Okta Passwords

2023/03/23 InfoSecurity — 企業向け ID ソリューション・プロバイダーである Okta のソフトウェア監査ログから、攻撃者がユーザーのパスワードや認証情報を読み取ることができる、ポストエクスプロイトにおける新たな攻撃方法が発見された。この手法は、フォレンジック専門家である Mitiga により発見され、本日の未明に同チームが発表したアドバイザリで説明されている。

Windows 11／Tesla／Ubuntu／macOS が陥落：Pwn2Own 2023 レポート Day_1

Windows 11, Tesla, Ubuntu, and macOS hacked at Pwn2Own 2023

2023/03/22 BleepingComputer — Pwn2Own Vancouver 2023 の初日のこと、セキュリティ研究者たちは Tesla Model 3／Windows 11／macOS のゼロデイ攻撃とエクスプロイト・チェーンのデモに成功し、$375,000 と Tesla Model 3 を手に入れた。最初に陥落したのは、エンタープライズ・アプリケーション部門の Adobe Reader である。Haboob SA の Abdul Aziz Hariri (@abdhariri) が、６つのバグ連鎖を標的とするエクスプロイト・チェーンを用いて、サンドボックスを抜け出し、macOS の禁止 API リストを回避する複数の失敗したパッチの悪用に成功し、$50,000 を獲得した。

中小企業とセキュリティ：山積するギャップを乗り越えるための処方箋とは？

Most mid-sized businesses lack cybersecurity experts, incident response plans

2023/03/20 HelpNetSecurity — Huntress の調査によると、米国／カナダの全企業の 99％が中小企業であり、サイバー・セキュリティの課題に直面していることが判明した。この調査の目的は、組織構造／リソース／サイバー・セキュリティ戦略などに関する洞察を得ることにある。具体的に言うと、ツールキット／計画／人員配置／セキュリティ意識のトレーニングなどに加えて、サイバー・セキュリティ保険の確保の難しさといった、主要な課題を文脈化して示している。

Emotet が本気の戦略シフト：OneNote ファイルを介した配布が始まった

Emotet malware now distributed in Microsoft OneNote files to evade defenses

2023/03/18 BleepingComputer — 現時点において Emotet マルウェアは、Microsoft のセキュリティ制限を回避して、より多くのターゲットに感染させるために、OneNote ファイルを添付したＥメールで配布されている。Emotet は、歴史的に悪名高いマルウェア・ボットネットであり、悪意のマクロを仕込んだ Word や Excel の添付ファイルを通じて配布されていた。これらの添付ファイルを、ユーザーが開いてマクロを有効にすると、DLL がダウンロード／実行され、Emotet マルウェアがデバイスにインストールされる。このマルウェアがロードされると、Ｅメールの連絡先やメールの内容が盗まれ、今後のマルウェア・キャンペーンで悪用されるようになる。また、企業ネットワークへのイニシャル・アクセスを提供する、他のペイロードもダウンロードされる。

Outlook のゼロデイ脆弱性 CVE-2023-23397：突出した危険度に要注意

Microsoft Outlook Vulnerability Could Be 2023’s ‘It’ Bug

2023/03/18 DarkReading — 先日に Microsoft は、積極的に悪用されている Outlook のゼロデイ脆弱性 CVE-2023-23397 にパッチを適用した。この脆弱性の悪用に成功した攻撃者は、権限昇格を実行し、被害者の Net-NTLMv2 チャレンジ・レスポンス認証ハッシュにアクセスし、ユーザーになりすますことが可能だ。現時点において、CVE-2023-23397 は、今年に入って発生したバグの中で、最も広範囲に影響を及ぼす危険なものだと判明し、セキュリティ研究者たちは警告を発している。わずか３日前に公開されたばかりだが、数多くの PoC エクスプロイトが登場している。悪用する際に、ユーザーの操作が必要ないという点からも、犯罪者の関心が大きく高まることは間違いない。

CISA の Secure Cloud Business Applications：パブリック・コメントの募集を開始

CISA Seeks Public Opinion on Cloud Application Security Guidance

2023/03/16 SecurityWeek — CISA は、クラウド・ビジネス・アプリケーションの安全性確保のためのガイダンスについて、パブリック・コメントを募集している。この、SCuBA (Secure Cloud Business Applications) Hybrid Identity Solutions Architecture と題されたドキュメントは、連邦政府機関におけるクラウドベースのソリューションと、既存のオンプレミス・インフラとの安全な統合を支援するものだ。

フィッシングで悪用されるブランド URL：Top-50 をリストアップ

Top 50 most impersonated brands by phishing URLs

2023/03/15 HelpNetSecurity — 今日のフィッシングは、最も急速に成長しているインターネット犯罪であり、消費者と企業の両方にとって大きな脅威となっている。Cloudflare によると、金融／テクノロジー／テレコムなどのブランドが、最も頻繁に成りすまされた。特に、銀行口座や、電子メール、ソーシャルメディア、テレコムなどが、攻撃者に許してしまった前例のないアクセスから生じる、金銭的な利益が理由となっている。

Microsoft Outlook のゼロデイ CVE-2023-23397 が FIX：直ちにパッチ適用を！

Microsoft fixes Outlook zero-day used by Russian hackers since April 2022

2023/03/14 BleepingComputer — ロシアの軍事情報機関 GRU に関連するハッキング・グループが、欧州の組織への攻撃に悪用した Outlook のゼロデイ脆弱性 (CVE-2023-23397) に、Microsoft はパッチを適用した。この脆弱性は、2022年4月中旬から 12月までの間に、政府／軍事／エネルギー／輸送機関などのネットワークを標的にした、15件ほどの攻撃で悪用されてきた。この攻撃を仕掛けたのは、APT28／STRONTIUM／Sednit／Sofacy／Fancy Bear などの名前で追跡されているハッキング・グループである。その手口は、悪意の Outlook のメモとタスクを送信し、NTLM ネゴシエーション・リクエストを介して NTLM ハッシュを盗み出し、攻撃者が制御する SMB 共有に対して、ターゲットのデバイスを強制的に認証させるというものだ。

NordVPN の Meshnet が無償で開放：誰もが簡単にプライベート・トンネルを作れる時代に

NordVPN makes its Meshnet private tunnel free for everyone

2023/03/13 BleepingComputer — NordVPN を契約していないユーザーであっても、プライベート・トンネル機能 Meshnet の Windows／macOS／Linux バージョンを、無料で利用できるようになった。2022年6月に NordVPN が、Meshnet の提供を開始したときは有償版だった。この製品を使えば、ネットワーク・トラフィックを受け渡すための、信頼できるデバイス間でのプライベートな暗号化トンネルが作成され、本質的に自分自身の VPN (仮想プライベート・ネットワーク) サーバが得られる。

MFA の限界を知ろう：Active Directory との相性の悪さについて深堀りする

When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About

2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。

米政府職員のセキュリティ意識：20％が雇用主へのハッキングに無関心だと回答

Fifth of Government Workers Don’t Care if Employer is Hacked

2023/03/09 InfoSecurity — 説明責任を果たさない文化と、不十分なサイバー衛生と、限られたスタッフ・トレーニング・・・このような傾向が、世界中の政府にサイバー・リスクの大きな嵐を生み出し、その一方では、深刻なデータ漏洩の可能性に対して、多くの職員が無関心になっていると、Ivanti は警告している。セキュリティ・ベンダーである Ivanti は、世界中の公共部門の職員 800人を対象にアンケートを実施し、新しい Government Cybersecurity Status Report を公開した。

Akamai が DDoS 攻撃を緩和：アジアでは最大級の 900Gbps という規模だった

Akamai mitigates record-breaking 900Gbps DDoS attack in Asia

2023/03/09 BleepingComputer — Akamai が発表したのは、APAC 地域の顧客に仕掛けられた、過去最大の DDoS 攻撃を緩和したというものである。DDoS (Distributed Denial of Service) 攻撃とは、標的となるサーバに大量のリクエストを送信してキャパシティを枯渇させることで、そのサーバがホストする Web サイト／アプリケーションなどのオンライン・サービスを、正規のユーザーからアクセスできない状態にするものだ。

Google One の新機能：VPN アクセス／Dark Web レポートでセキュリティを強化

Google One expands security features to all plans with dark web report, VPN access

2023/03/08 HelpNetSecurity — Google One に、２つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。

API 悪用の脅威がスピードアップ：脆弱性の発生と攻撃の頻度も増大している

Attackers exploit APIs faster than ever before

2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。

Microsoft Excel の XLL add-ins がデフォルトでブロック：さらなる MoTW の強化

Microsoft Excel now blocking untrusted XLL add-ins by default

2023/03/07 BleepingComputer — 世界中の Microsoft 365 テナントに配置される、表計算ソフトの Excel において、信頼できない XLL アドインをデフォルトでブロックするようになったと、Microsoft が発表した。同社は、この変更について 2023年1月に発表しているが、Insiders 向けにロールアウトの初期テスト・フェーズに入ったときに、この新しいエントリーが Microsoft 365 のロードマップに追加された。この新機能は、Current／Monthly Enterprise／Semi-Annual Enterprise チャネルの全デスクトップ・ユーザーにロールアウトされた後の３月下旬までに、世界中のマルチ・テナントで一般でも利用可能になる予定だ。

Toyota Customer 360 の深刻な脆弱性が FIX：開発用／本番用 API の錯綜が原因

Vulnerability in Toyota Management Platform Provided Access to Customer Data

2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報／購入履歴／サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。

Microsoft OneNote ファイルによるマルウェア感染：防止のための手順を詳述する

How to prevent Microsoft OneNote files from infecting Windows with malware

2023/03/05 bleepingComputer — 一見何の変哲もない Microsoft OneNote ファイルが、マルウェアの拡散／企業ネットワークへの侵入で悪用される、ハッカーたちの人気のファイル形式になっている。ここでは、OneNote のフィッシング添付ファイルが、Windows に感染するのをブロックする方法を紹介していく。Microsoft OneNote ファイルが、マルウェアをばらまくフィッシング攻撃のツールとして選ばれるようになった背景を、少し説明する必要があるだろう。まずは、ここに至るまでの経緯を説明する。

Web Browser Security Report 2023：ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理／非管理デバイスで使用され、Web ブサイト／SaaS アプリケーション／社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した。

Google Cloud Platform のフォレンジック・ログに欠陥：どのような処方箋があるのか？

Google Cloud Platform allows data exfiltration without a (forensic) trace

2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション／イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り／ファイルのダウンロード／外部バケットへのファイルのコピー／サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。

多要素認証 (MFA) バイパス：３種類の侵入ベクターについて解説する

Cyberattackers Double Down on Bypassing MFA

2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、２月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。

Palo Alto の Zero Trust OT Security：製造業を保護する新たなソリューションとは？

Palo Alto Networks Unveils Zero Trust OT Security Solution

2023/02/27 SecurityWeek — Palo Alto Networks は、製造業の Operational Technology (OT) 環境を保護するために設計された、新たなゼロトラスト・セキュリティ・ソリューションを発表した。この新たなソリューションは Zero Trust OT Security と名付けられ、Industrial OT Security という新サービスとともに、３月より提供が開始される予定だという。Industrial OT Security はクラウド・サービスであり、Industrial Control Systems (ICS) および防犯カメラ／空調システムなどの IoT デバイスを含む、サイバー・フィジカル・システムを包括的に可視化するものだ。

SaaS-to-SaaS 接続のリスク：人々の認識よりも遥かに根深い問題とは？

Shocking Findings from the 2023 Third-Party App Access Report

2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取／更新／作成／削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。

米国の国家サイバー戦略が規制を強化：攻撃的な Hack-Back アプローチも容認

US National Cyber Strategy Pushes Regulation, Aggressive Hack-Back Operations

2023/02/27 SecurityWeek — 米国政府は、重要インフラ・ベンダーに対する強制的な規制を承認する一方で、外国の敵対者に対する積極的な Hack-Back アプローチを容認するための、サイバー・セキュリティ戦略文書を発表する予定である。ワシントンで話題になっている、この戦略文書に関する初期の報道によると、国家安全保障における公平な競争条件のために規制を利用する、35 ページに及ぶ国家サイバーセキュリティ戦略の最終詳細を、バイデン政権は熟考しているとのことだ。

Brave のユーザー保護機能が前進：open in app のブロックで pool-party 攻撃に対抗

Brave browser to block “open in app” prompts, pool-party attacks

2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。