Resilience – Page 2 – IoT OT Security News

LockBit ランサムウェア・グループ：法執行機関によるテイクダウンから復活

LockBit Ransomware Group Resurfaces After Law Enforcement Takedown

2024/02/24 TheHackerNews — 先日に、国際的な法執行機関が LockBit のサーバーの制御を押収した。しかしその数日後に、LockBit ランサムウェアの背後にいる脅威アクターは、新しいインフラを使用してダークウェブに再浮上したことが明らかになった。悪名高い LockBit は、データ漏洩ポータルを TOR ネットワーク上の新しい .onion アドレスに移し、現時点において 12社の被害者を新たにリストアップしている。

KeyTrap という DNS の脆弱性 CVE-2023-50387：広範囲でインターネットを停止させる恐れ

‘KeyTrap’ DNS Bug Threatens Widespread Internet Outages

2024/02/21 DarkReading — 2000年以降から放置されてきた、DNS (Domain Name System) のセキュリティ拡張機能における基本的な設計上の欠陥が、最近になって研究者たちにより解明された。DNS サーバとは、Web サイトの URL を IP アドレスに変換するという、目立たない機能を提供するものだが、すべてのインターネット・トラフィックの転送において、不可欠なものである。

DDoS シミュレーション・テストは合法なのか：各国の法体系と Red Button のサービス

Are DDoS Simulation Tests Actually Legal?

2024/02/21 InfoSecurity — サイバー攻撃への対応の方式をテストするためには、DDoS シミュレーションを定期的な実施が推奨される。それより、システムやチームにおける、技術やプロセスのギャップを特定し、DDoS 対応戦略を改善できるかもしれない。しかし、DDoS 攻撃のシミュレーションは合法なのだろうか？ DDoS シミュレーション・テストは、ハッカーによる実際の DDoS 攻撃とは、異なる法的カテゴリーに分類される。

Google Chrome の新機能のテストが開始：プライベート・ネットワークへの攻撃をブロック

New Google Chrome feature blocks attacks against home networks

2024/02/17 BleepingComputer — Google Chrome の新機能のテストが始まった。その機能というのは、悪意の Web サイトがユーザーのブラウザを経由して、内部プライベート・ネットワーク上のデバイスやサービスを攻撃するのを防ぐためのものだ。簡単に言うと Google は、インターネット上の悪質な Web サイトを訪問したユーザーの、自宅やコンピュータ上のデバイスが、攻撃されることを防ごうと計画しているのだ。一般的に、これらのデバイスは、インターネットにはダイレクトに接続されておらず、ルーターにより保護されているため、安全だと考えられている。

OSINT の商業的な活用：それはセキュリティ・チームの仕事になる

Rethinking Open-Source Intelligence for Security in Commercial Settings

2024/02/16 InfoSecurity — グローバルなセキュリティとインテリジェンスの状況が進化し続ける中で、OSINT (Open-Source Intelligence) は、政府／軍／法執行機関にとって貴重なツールとして支持を得ている。捜査官やアナリストたちは、通常の手作業では数時間／数日／数ヶ月かかるプロセスを、OSINT により僅か数分で自動化できるようになった。

CISA と OpenSSF の新たな OSS フレームワーク：安全なパッケージ・リポジトリのために

CISA and OpenSSF Release Framework for Package Repository Security

2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。

Microsoft が公表した防御のガイダンス：Midnight Blizzard の狡猾な戦術を封じる

Microsoft Provides Defense Guidance After Nation-State Compromise

2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium／APT29／Cozy Bear) による、ネットワーク上での悪質な活動を検知した。

Defense-in-Depth 戦略の自動化に関する考察 – Picus Security

Perfecting the Defense-in-Depth Strategy with Automation

2024/01/26 TheHackerNews — 中世の城郭は、その綿密な設計のおかげで、何世紀にもわたって難攻不落の要塞として機能してきた。デジタルの時代になっても、この中世の知恵はサイバー・セキュリティに継承されている。攻撃に耐えるために、戦略的なレイアウトが施された城のように、Defense-in-Depth 戦略は、戦略的な冗長性と受動的／能動的なセキュリティ制御を組み合わせた、現代における多層的なアプローチである。

2023年ランサムウェア調査：組織の 75% が攻撃に遭っている – Veeam

75% of Organizations Hit by Ransomware in 2023

20124/01/17 InfoSecurity — Veeam の Data Protection Trends Report 2024 によると、2023年は 75％の組織が、少なくとも１回のランサムウェア攻撃を受けていたことがわかった。研究者たちによると、2023年は、ランサムウェア攻撃を受けなかったと回答した組織よりも、4回以上攻撃を受けた組織 (26％) の方が多かったという。Veeam の VP／Market Strategy である Jason Buffington は、「統計的に、ランサムウェアは、”発生するかどうか” というものではなく、”いつかは発生する可能性があるもの” だと言える」と、オンラインの事前ブリーフィングでコメントしている。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

企業の 85% でインシデントが発生：そのうちの 11% は Shadow IT 関連 -Kaspersky

New Report: 85% Firms Face Cyber Incidents, 11% From Shadow IT

2023/12/20 InfoSecurity — これまでの２年間で、世界の企業の 85％がサイバー・インシデントを経験しており、そのうちの 11％は Shadow IT が原因となっている。この数字は、サイバー・セキュリティ企業 Kaspersky が、先日に実施した調査に基づくものであり、企業において懸念すべき脅威のパターンを露呈している。Kaspersky によると、分散型ワークフォースが拡大する中、従業員による Shadow IT の利用が深刻化しているため、企業におけるセキュリティが危殆性しているという。

Microsoft がクラウド・ロギング機能を拡張：中国政府に支援される Storm-0558 攻撃への対応

Microsoft Expands Cloud Logging to Counter Rising Nation-State Cyber Threats

2023/07/20 TheHackerNews — 7月19日 (水) に Microsoft が発表したのは、同社の電子メール・インフラを狙う最近のスパイ攻撃キャンペーンを受けて、ユーザー組織におけるサイバー・セキュリティ・インシデントの、調査を促進して可視化を高めるための、クラウド・ロギング機能を拡張するというものだ。同社は、国家に支援されるサイバー犯罪が進化し、また、攻撃の頻度が増加していることにダイレクトに対応するために、この変更を行うと述べている。この変更は、2023年9月から。すべての政府機関および民間企業の顧客に展開される予定だ。

ChatGPT のアカウント 10万件がダークウェブで販売されている：侵害されると何が起こる？

Over 100,000 ChatGPT Accounts Found in Dark Web Marketplaces

2023/06/20 InfoSecurity — OpenAI の LLM (Large Language Models) である ChatGPT の、10万件以上の侵害されたアカウントが、ダークウェブ・マーケットプレイスで発見された。それを発見した、シンガポール拠点のサイバー・セキュリティ企業 Group-IB が、6月20日のブログ記事で説明している。Group-IB の Head of Threat Intelligence である Dmitry Shestakov は、「多くの企業が、ChatGPT を業務フローに組み込んでいる。具体的なアクティビティとしては、従業員による機密通信の入力や、ボットを用いたコードを最適化などが挙げられる」とコメントしている。

サイバー・セキュリティ態勢が改善された：CISO たちが経営陣に話し続けた結果だ！

Cybersecurity culture improves despite the dark clouds of the past year

2023/06/16 HelpNetSecurity — 経済情勢の悪化や、世界的な緊張の高まり、そして、サイバー犯罪を容易にする新技術の登場などの状況が危惧されている。しかし、ClubCISO と Telstra Purple の調査によると、CISO の 76％が、過去12ヶ月間に重大な侵害は発生していないと回答し、60％が重大なサイバーセキュリティ・インシデントは発生していないと回答したという。このようなセキュリティ対策の結果は、それぞれの CISO が組織の全体的なセキュリティ態勢について、前年よりも低下したと評価する状況を考えると、非常に興味深いものとなる。

CISA／NSA の共同指針：BMC セキュリティ強化ガイドラインを発表

CISA and NSA Publish BMC Hardening Guidelines

2023/06/15 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、BMC (Baseboard Management Controller) のセキュリティ強化に関する共同指針を発表した。6月14日に発表された、この文書の目的は、重要なインフラ・システムの侵害を試みる脅威アクターにとって、潜在的な侵入経路となり得る BMC の、見落された脆弱性への対処である。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

API は何ができる？何ができない？どうしたら安全に使える？

What APIs Do and Don’t Do

2023/06/06 tripwire — 最近のテクノロジーの世界で、API について耳にしない日はない。ChatGPT の API が登場したときも、Twitter の深刻なデータ漏洩のニュースが報じられたときも、API が主役であった。しかし、どこにでもある API なのだが、多くの人々は API の機能 (限界) について疑問を抱いている。API は何のためにあるのか？APIは何をするものなのか？そして、今の時代にできないものは何なのか？

Windows 11 の SMB 署名を義務化：NTLM リレー攻撃に対する保護を優先する

Windows 11 to require SMB signing to prevent NTLM relay attacks

2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名：セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。

フィッシング攻撃の最新分析：キットの利用が増加している理由を考えよう – Group-IB

Phishing campaigns thrive as evasive tactics outsmart conventional detection

2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25％増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。

PyPI による 2FA 義務化のアナウンスメント：すべてのアカウントで年末までに対応

PyPI announces mandatory use of 2FA for all software publishers

2023/05/28 BleepingComputer — Python Package Index (PyPI) が発表したのは、同プラットフォーム上でプロジェクトを管理する全てのアカウントに対して、2023年内に二要素認証 (2FA) をオンにすることの義務付けである。PyPI とは、プログラミング言語 Python で作成されたパッケージのための、ソフトウェア・リポジトリのことである。このインデックスには、20万個のパッケージが登録されており、開発者は各種プロジェクトの要件を満たす既存のパッケージを、ここで見つけることにより、時間と労力を節約することが可能となる。

バックアップの重要性について再考：ランサムウェアから身を守るために – Veeam

Backup Repositories Targeted in 93% of Ransomware Attacks

2023/05/24 InfoSecurity — Veeam の 2023 Ransomware Trends Report によると、依然としてランサムウェアの脅威は生き続けており、これまでの 12ヶ月間において、85% の組織が少なくとも１回は、そのような攻撃を受けたことがあるとしている。このレポートは、「このような傾向が続けば、ランサムウェア攻撃による損失が、利益を上回るという組織が多くなる」と警告している。

米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査

Software Supply Chain Attacks Hit 61% of Firms

2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの１年間において米国企業の５分の３以上 (61％) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家／IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。

Google の Dark Web Report が米国で発動：あなたの情報がダークウェブで見つかるかもしれない

Google brings dark web monitoring to all U.S. Gmail users

2023/05/10 BleepingComputer — 5月10日に Google が発表した計画によると、米国のすべての Gmail ユーザーは、自身のメールアドレスがダークウェブ上で開示されているかどうかを確認するための、セキュリティ機能 Dark Web Report を近々に利用できるようになるようだ。さらに Google は、アニュアル・デベロッパー・カンファレンス Google I/O での発表で、この機能は今後の数週間をかけて展開され、一部のグローバル市場からのアクセスは対しても拡大される予定だと述べている。

SBOM について考える：複数のプラットフォーム間でのデータの標準化は？

The SBOM Bombshell

2023/05/09 SecurityWeek — リスク管理や脆弱性の影響を判断する際に SBOM は有用であるが、複数のプラットフォームでデータが標準化されていないと、全体的なリスク・モデルを構築することは極めて困難になる。2021年5月に発せられたバイデン大統領の大統領令 14028号には、「ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを使って既知の脆弱性を分析することが、リスク管理において重要である」と記されており、ソフトウェアを政府調達する際の SBOM の必要性を訴えるものだった。そのことが、セキュリティ分野における大きな契機となり、米政府の機関と請負業者の双方において、広く使われているソフトウェアの内部構造に関して、さまざまな疑問が生じることになった。

Microsoft Secure Boot のゼロデイ CVE-2023-24932：アップデートしてもデフォルトでは無効？

Microsoft issues optional fix for Secure Boot zero-day used by malware

2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。

IT Security 意思決定者たちの困惑：分かっていない取締役が多すぎる – Delinea 調査

Only 39% of IT Security Decision-Makers See it As Business Enabler

2023/05/09 InfoSecurity — ITセキュリティの意思決定者 2000人以上を対象とした最近の調査で、ビジネスの成功におけるサイバー・セキュリティの役割を、自社のリーダーが的確に把握していると考えている人が、39％に過ぎないことが判明した。PAM (Privileged Access Management) ソリューション・プロバイダーの Delinea が発表したレポートでは、コンプライアンスや規制上の要求の観点からのみ、サイバー・セキュリティが重視されていると、回答者の 36% が捉えていることも示唆されている。

人工衛星の乗っ取りを実演：Thales が証明した制御方法とは？

White hat hackers showed how to take over a European Space Agency satellite

2023/04/30 SecurityAffairs — 宇宙産業のサイバー・セキュリティに特化した、欧州のイベントである CYSAT の第３回目が開催された。同イベントで ESA (European Space Agency) は、衛星のテスト・ベンチを設置し、ホワイトハット・ハッカーを招き、デモンストレーション目的で運用している超小型衛星 OPS-SAT を制御する試みを行った。そこで、Thales の Offensive Cybersecurity Team は、世界初の倫理的衛星ハッキング演習とされる、ESA 衛星の制御方法を実演した。

Codenotary SBOM Center のプレビューが公開：セキュアな SBOM の作成が可能に

Codenotary Previews Secure SBOM Creation Service

2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成／保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成／保存する機能を備えているという。

VirusTotal の新機能 Code Insight：AI を活用してマルウェアを解析する

VirusTotal now has an AI-powered malware analysis feature

2023/04/24 BleepingComputer — 4月24日 (月) に VirusTotal は、Code Insight と命名された AI ベースの新しいコード解析機能の提供について発表した。この新機能は、RSA Conference 2023 で紹介された Google Cloud Security AI Workbench を搭載しており、特にセキュリティのユースケース向けに細かく調整された Sec-PaLM LLM (Large Language Model) を使用している。VirusTotal Code Insight は、潜在的に有害なファイルを解析して、その悪意の挙動を説明し、実際の脅威をもたらすものを特定する能力を向上させるという。

中小企業でも OK：無料オンライン・サイバーセキュリティ・ツール５選

5 free online cybersecurity resources for small businesses

2023/04/19 HelpNetSecurity — サイバー攻撃の頻度と巧妙さが増すにつれ、中小企業 (SMB：Small and Medium-sized Businesses) は、サイバー脅威に対してより脆弱になりつつある。大企業とは異なり、中小企業には、悪意の人物からネットワークやデータを効果的に保護するための資金や技術的リソースが不足している場合が多い。多くの中小企業は、予算や IT スタッフが限られているため、どこにリソースを配分するのかという難しい決断を迫られる。

クラウド・セキュリティ警告の解決には約６日が必要：OSS への依存が要因 – Palo Alto 調査

Cloud Security Alerts Take Six Days to Resolve

2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) ／業界／国々にまたがる組織に配備された数万個のセンサーや、GitHub／NVD (National Vulnerability Database) などの公開ソースを調査した。

ビジネスの優先順位とサイバー・セキュリティの均衡：Google が考える取締役会へのアドバイス

Balancing cybersecurity with business priorities: Advice for Boards

2023/04/18 HelpNetSecurity — 今日の急速に進化する技術環境において、これまで以上に取締役会や経営陣にとって重要となるのは、テクノロジーやデジタルの最新の進歩や潜在的なリスクについて、常に情報を得ることである。この Help Net Security のインタビューでは、Google Cloud の Director, Financial Services, Office of the CISO である Alicja Cade が、正しい疑問を持つことで、サイバー・パフォーマンスと準備状況を改善し、責任ある AI プラクティスを推進すべきだと述べている。それにより、サイバー・セキュリティの必要性と、ビジネスにおける他の優先事項をバランスさせる方法について、洞察が提供されるとしている。

Vice Society ランサムウェア：新しいデータ窃盗ツールに PowerShell を導入

Vice Society ransomware uses new PowerShell data theft tool in attacks

2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。

Active Directory のセキュリティ：Tier-Zero 資産の特定と保護を最優先すべきだ

How to Define Tier-Zero Assets in Active Directory Security

2023/04/13 DarkReading — Active Directory 環境のセキュリティ向上を目指す企業は、「攻撃者の選択肢が多すぎる」というシンプルな問題に直面している。平均的な企業の AD 環境には、数千から数万もの攻撃経路が存在する。それは、低特権ユーザーのアカウントへの初期アクセスに成功した攻撃者が、特権を拡大し、高特権ユーザーへと移動し、ドメイン乗っ取りに可能にするという、ミスコンフィグレーションの連鎖である。すべてのミスコンフィグレーションの修正は不可能かもしれないが、セキュリティ／アイデンティティ／アクセスの管理者は、AD の安全性を確保するために、有意義な進歩を遂げていくはずだ。しかし、それを成功させるためには、作業に優先順位をつける方法が不可欠となる。

LastPass 侵害を再考する：そこから学ぶことがタクサンあるはず

LastPass Breach Reveals Important Lessons

2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。

Shadow API の調査：監視／監査されない最も脆弱な存在について考える

Why Shadow APIs are More Dangerous than You Think

2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化／サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視／監査されない、最も脆弱な存在なのだ。

Microsoft Azure ユーザーへの警告：侵害された Shared Key 認証がもたらす甚大な被害とは？

Microsoft Azure Users Warned of Potential Shared Key Authorization Abuse

2023/04/11 SecurityWeek — Azure Active Directory (Azure AD) の認証情報と同様に、Microsoft Azure Storage アカウントで利用できる認証方法には Shared Key があり、Azure のデフォルト・インフラの一部になっている。この Shared Key は、Azure AD と比較してセキュリティが劣るため、きめ細かいアクセスが必要な場合には、アクセスキーによるストレージ認証は非推奨とされている (組織がリスクにさらされる可能性があるため)。今回、Orca が発見した攻撃シナリオは、こうしたリスクを証明するものであり、Shared Key による認証を無効化する必要性を、セキュリティ・ベストプラクティスとして強調するものである。

米陸軍は SBOM を望んでいる：民間への波及効果が期待される？

The Army Wants SBOMs—and So Should the Other Services

2023/04/11 DefenseOne — 公共分野の組織と、連携するすべての組織は、どのようなソフトウェアが使われているのかを、よりよく把握する必要がある。2022年10月に、米陸軍の調達部門は、ソフトウェアとネットワークをベースにした攻撃を防ぐために、大きな変化をもたらす可能性のある小さな一歩を踏み出した。それは、SBOM に関する情報提供を求めるものである。

サイバー・リスクを評価する：定量化のための Step-by-Step ガイドを eBook で！

[eBook] A Step-by-Step Guide to Cyber Risk Assessment

2023/04/11 TheHackerNews — 今日のサイバー・リスクが高まる状況において、CISO と CIO に要求されるのは、ランサムウェア／フィッシング／インフラ攻撃／サプライチェーン侵害／悪意のインサイダーなどからの、容赦ないサイバー脅威から組織を守ることだ。しかし、しれと同時に、セキュリティ・リーダーたちは、コスト削減と賢い投資という、大きなプレッシャーにもさらされている。

MSP たちは何を考える？セキュリティ・サービスの強化に同意する経営者と技術者

MSPs urged to refine security solutions in response to growing SMB needs

2023/04/10 HelpNetSecurity — Kaseya の調査によると、それぞれの MSP は、サービス提供を効率化し、コスト管理を改善するために、コアツール間の統合と自動化にフォーカスしている。回答者の約 90% は、エンドポイントの管理／監視および、パッチ適用、チケット解決などの、サイバー・セキュリティに関するプロセスを自動化することで、効率を改善しようとしている。それにより、より多くの顧客を引き受け、より多くの収益を生み出すことが可能になるため、彼らのビジネスにとって自動化は、重要なテクノロジーであると評価しされる。

Microsoft Exchange Online に計画変更：Azure AD CA への移行は 2024年まで延期

Microsoft delays Exchange Online CARs deprecation until 2024

2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を１年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値／例外／アクション／条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ／接続を確立するために使用する、プロトコル／アプリケーション／サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。

サイバー攻撃に悪用される ChatGPT：防御側も LLM を活用すべき

Bad Actors Will Use Large Language Models — but Defenders Can, Too

2023/04/07 DarkReading — 各種の AI がヘッドラインを席巻しているが、その中でも ChatGPT は最新のトピックであり、その斬新さに誰もが心を奪われている。しかし、 LLM (Large Language Models) が兵器化される方法などについては、誰も触れていない。インターネットは信じられないほど巨大で複雑になり、数多くの機密情報が露呈されるようになった。10年前には１つの Web サイトしか持たなかった企業が、今日では数十の Web サイトを持ち、未知の資産や子会社を抱えている。それらを悪用する攻撃者が、ネットワーク／システムへの侵入や知的財産の流出を活性化している。

ネットワーク・セキュリティのリスクが定量化できない？いまのアプローチが問題なのか？

Companies carry unquantified levels of risk due to current network security approaches

2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油／ガス／通信／銀行／金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。

GitHub が SBOM エクスポートをサポート：ソフトウェア要件への対応を容易にする

GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements

2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。

マルウェアの侵入ベクターなどを数値化してみた：2022年 Q3／Q4 で比較すると？

The hidden picture of malware attack trends

2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。

Docker の BuildKit で SBOM をサポート：どのように機能するのか？どんな制限があるのか？

Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations

2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。

100万回のペンテスト・データは語る：この１年で増大したリスクとは？

Millions of Pen Tests Show Companies’ Security Postures Are Getting Worse

2023/03/29 DarkReading — 平均的な企業のリスク・スコアは、この１年で悪化している。その背景にあるのは、企業におけるデータ流出への対応が不足し、Web アプリケーションの適切な保護が向上しないという現実である。企業におけるデータ流出のリスク・スコアは、2021年の 30ポイントから、2022年の 44ポイントに上昇し、データ漏洩に関する全体的なリスクが高まったことを示している。この調査結果は Cymulate によるものであり、プロダクション環境における 170万時間に及ぶ攻撃的サイバー・セキュリティ・テストを含む、100万回のペンテスト・データを集計したものである。

Microsoft の AI セキュリティ：GPT-4 を搭載する Copilot のプレビューが始まった

Microsoft Introduces GPT-4 AI-Powered Security Copilot Tool to Empower Defenders

2023/03/28 TheHackerNews — 2023年3月28日 (火) に Microsoft は、Security Copilot のプレビュー版を発表した。それは、マシンのスピードとスケールで End−to-End 防御を提供するために、AI 指向の機能を組み込むことを、継続的に推進していくことを示すものだ。この、OpenAI の GPT-4 AI と、独自のセキュリティ専用モデルを搭載した製品は、サイバー・セキュリティ・アナリストによる、脅威への迅速な対応／シグナルの処理／リスク露出の評価を可能にする、セキュリティ分析ツールだとされている。

企業におけるストレージとバックアップを考える：ハイリスクの Top-5 とは？

Top 5 security risks for enterprise storage, backup devices

2023/03/23 HelpNetSecurity — 企業向けのストレージとバックアップのデバイスには、平均で 14件の脆弱性が存在し、そのうち3件は、悪用された場合に重大な侵害をもたらす高リスクの脆弱性であると、Continuity はレポートで記している。この調査結果は、企業におけるストレージとバックアップのセキュリティ状況に、大きなギャップが生じていることを浮き彫りにしている。つまり、IT の他のレイヤーのセキュリティに比べて、大きく遅れているかことを示している。

Microsoft クラウドへのハッキングを検出：CISA が最新ツールを提供

New CISA tool detects hacking activity in Microsoft cloud services

2023/03/23 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、Microsoft のクラウド環境における悪意のアクティビティの兆候の検出に有効な、新しいオープンソースのインシデント対応ツールを公開した。米国エネルギー省の国立研究所である Sandia と共同で開発された、この Untitled Goose Tool という名の Python ベースのユーティリティは、Azure Active Directory／Microsoft Azure／Microsoft 365 環境からテレメトリ情報をダンプする。