ソフトウェアのコードを改変してサイバー攻撃を仕掛けるサプライチェーン攻撃は珍しくない。信頼されているソフトの開発プロセスに潜り込んで長い時間をかけて準備した事例が見つかった。
Cybersecurity Dive:
連邦当局は、最近のXZ Utilsに対する攻撃キャンペーンとJavaScriptプロジェクトのメンテナーに対する新たな脅威活動との潜在的な関連を調査している。
Cybersecurity Dive:
ユーティリティーソフトウェア「XZ Utils」に不正アクセスを可能にする悪意あるコードが含まれていた問題について、CISAは声明を発表した。今回の事件はOSSコミュニティーのメンテナーにセキュリティ負担を押しつけていたことに起因するという。
ウクライナ侵攻ではサイバー攻撃が多数用いられている。これらの攻撃はウクライナだけを狙ったものではない。
Cybersecurity Dive:
MicrosoftはCommon Weakness Enumeration(共通脆弱性列挙)という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。
ファイル転送ソフト「MOVEit」に対する攻撃は2700社以上に被害を与え、約9500万人以上が影響を受けたといわれる。この攻撃を防ぐ古典的な対策が見つかった。
Cybersecurity Dive:
Moody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。
IoT機器のサイバーセキュリティを高める試みが米国主導で始まった。どのような試みなのだろうか。
Cybersecurity Dive:
SECが定めたサイバーインシデントの報告に関する新しい規則は、被害企業に対し、インシデントの重大性を評価するように求めている。では、それはどのように判断すればいいのか。判断に活用できる定量的/定性的な要素を紹介する。
Cybersecurity Dive:
BlackBerryの調査によると、2023年9〜12月までの間に追跡された全業界のサイバー攻撃のうち、重要インフラプロバイダーが標的となったものは62%だった。なぜ重要インフラプロバイダーは標的になりやすいのか。
Cybersecurity Dive:
CISAと連邦管理予算局(OMB)は、米国政府と協働するソフトウェアメーカーが安全な開発プラクティスを順守しているかどうかを確認するための認証フォームを公表した。この認証フォームで要求される情報の提供を拒んだ場合、どうなってしまうのか。
Cybersecurity Dive:
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。
リモートデスクトップソフトウェアはリモートアクセスを提供するため、サイバー攻撃者に狙われやすい。脆弱性が見つかった場合、すぐにでも攻撃が始まる可能性がある。
中国系の複数の攻撃者が電力や鉄道などの重要インフラを狙っている。なぜ重要インフラを狙うのだろうか。
Cybersecurity Dive:
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。
Cybersecurity Dive:
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。
生成AIを使ったより巧妙な攻撃が迫っている。ChatGPTを開発したOpenAIや資金を提供するMicrosoftはどのように捉えているのだろうか。
Cybersecurity Dive:
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。
Cybersecurity Dive:
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。
Cybersecurity Dive:
Palo Alto Networksの株価が急落した。後払いや無償のインセンティブ提供によって収益の伸びが鈍化すると投資家たちに警告したためだ。この戦略にはどのような狙いがあり、勝算はあるのか。
米国に対するサイバー攻撃が続いている。米政府は中国が関与していると主張し、対策をとると発言した。犠牲になるのは誰なのだろうか。
Cybersecurity Dive:
FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。
Cybersecurity Dive:
Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。
Cybersecurity Dive:
ビジネスの専門家や元CISOなどで構成された業界団体は、米国証券取引委員会(SEC)がSolarWindsに提起した訴えに対し、却下を支持した。その理由はどのようなものだろうか。
政府機関などが採用するITシステムに危険な脆弱性が含まれていた場合、誰が音頭を取って対応すればよいのだろうか。
厳重なセキュリティに守られているはずのMicrosoftがサイバー攻撃を受けて、個人情報が流出した。何が起こったのだろうか。
Cybersecurity Dive:
サイバーセキュリティの関係者は、中国とつながりのあるハッカーたちが潜在的な軍事行動から注意をそらすために、壊滅的な攻撃の準備をしていると警告した。
Cybersecurity Dive:
民間企業や重要インフラストラクチャの提供者は、製品のセキュリティや情報共有、データセキュリティの透明性に関してこれまでにない要求に直面している。
Cybersecurity Dive:
Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。
Cybersecurity Dive:
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。
金銭を目的としたランサムウェア攻撃だけでなく、政治的な意図を持ったサイバー攻撃も盛んになっている。戦争に関連するサイバー攻撃を受けたとき、保険は下りるのだろうか。
Cybersecurity Dive:
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。
Cybersecurity Dive:
企業のビジネスリスクにおいて最大の懸念は何か。損害保険会社が発表した年次企業リスク調査から明らかになった。
企業がサイバー攻撃に遭った事実を開示すると、脅威グループに対して攻撃に関するロードマップを与えることになったり、セキュリティ担当役員に過剰な負担をかけたりするという意見がある。この意見は正しいのだろうか。
Cybersecurity Dive:
CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。
Cybersecurity Dive:
SECのサイバーインシデント報告義務規則によって、上場企業はサイバーガバナンスと脅威への対応策を高いレベルで管理しなければならない。
サイバー攻撃を受けたとき、直後の復旧はもちろんのこと、長く続く調査にも落とし穴がある。対応がまずいと訴訟の対象になってしまう。SolarWindsの事例を紹介しよう。
Javaベースのアプリケーションで問題になった「Apache Log4j」の脆弱性が、いまだに危険だという調査結果が発表された。安全なパッチが提供されているのにもかかわらず、なぜ危険なのだろうか。
Cybersecurity Dive:
米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。
Cybersecurity Dive:
NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。
企業が利用するソフトウェアの種類は予想以上に多い。どこに脆弱性が潜んでいるのかは分からない。国が音頭を取って脆弱性を減らす取り組みが進んでいるものの、成果は出ているのだろうか。
Cybersecurity Dive:
Unitronics PLCの機器に対する現在進行中のサイバーキャンペーンは、米国の複数の水道施設に影響を与えており、当局はエネルギー業界や医療業界、食品および飲料製造業界も監視している。
もはやサイバー攻撃を受けない業界は「ない」と言ってもよいだろう。今、不動産関連ビジネスが立て続けに攻撃を受けている。
Cybersecurity Dive:
2023年は金融機関を狙う悪質なサイバー攻撃が活動が数多く観測された。そして、この攻撃は複数の金融機関で連鎖する可能性がある。その原因とは。
今の時代で最も重要な技術はAIだろう。こうした意見に対して、AIのセキュリティはどうかという疑問が生じるのは当然だろう。
誰でも名前を知っている企業だけが、サイバー攻撃の対象になるのではない。中堅・中小企業が攻撃を受けるとどのような被害が生じるのだろうか。
Cybersecurity Dive:
ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。
Cybersecurity Dive:
ソーシャルエンジニアリング攻撃や生成AIによって、フィッシング攻撃やランサムウェアが巧妙化し、リスクが高まっている。
Cybersecurity Dive:
Palo Alto NetworksのUnit 42チームは、追加費用なしのインシデント対応プログラムを開始した。セキュリティに関する専門知識を同社の大口顧客に即座に提供する。このサービスを提供する背景には何があるのか。
ソフトウェアの脆弱性を利用したサイバー攻撃は多い。脆弱性に対応したパッチが提供されていても、まだ攻撃が続く場合がある。なぜこうなるのだろうか。