Cybersecurity Dive（ITmedia エンタープライズ）

サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。

NISTが運営する脆弱性データベース「National Vulnerability Database」（NVD）は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。

MicrosoftはCommon Weakness Enumeration（共通脆弱性列挙）という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。

Moody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。

Pinpoint Search Groupによると、2024年第1四半期の資金調達額は23億ドルに達したが、2021年第4四半期の80億ドルと比較すると低い数値となった。資金調達額が縮小する中、大手サイバーセキュリティベンダーはどのようなビジネス戦略を採るのか。

Mandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。

重要インフラプロバイダーに対して、高い影響力を持つと考えられる「2022年重要インフラに関するサイバーインシデント報告法」（CIRCIA）が18カ月以内に施行される。これはいつ施行され、事業体に何を求めるのか。CIRCIAの概要を解説する。

SECが定めたサイバーインシデントの報告に関する新しい規則は、被害企業に対し、インシデントの重大性を評価するように求めている。では、それはどのように判断すればいいのか。判断に活用できる定量的／定性的な要素を紹介する。

Recorded Futureは、企業のソフトウェアやVPNなどのネットワークインフラにおいて、高リスクの脆弱性が積極的に悪用されるケースが約3倍に増加していると報告した。

悪質な国々はさまざまな悪意ある目的のために米国が保有する大量のデータを求めている。そしてその標的は大規模な企業だけでなく、中小企業や個人にまで及ぶだろう。

BlackBerryの調査によると、2023年9〜12月までの間に追跡された全業界のサイバー攻撃のうち、重要インフラプロバイダーが標的となったものは62％だった。なぜ重要インフラプロバイダーは標的になりやすいのか。

CISAと連邦管理予算局（OMB）は、米国政府と協働するソフトウェアメーカーが安全な開発プラクティスを順守しているかどうかを確認するための認証フォームを公表した。この認証フォームで要求される情報の提供を拒んだ場合、どうなってしまうのか。

Google Cloudのフィル・ヴェナブルズ氏（CISO）は、生成AIをセキュリティに利用することで防御者は攻撃者よりも優位に立てるという。同氏は、なぜそのように主張するのか。

JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。

ランサムウェアグループのインフラをシャットダウンする取り組みがあったにもかかわらず、ランサムウェアグループの活動はとどまるところを知らない。これらの取り組みの効果は、なぜ限定的になってしまうのか。

生成AIは劇的な効果を発揮するわけではないが、使い方によっては大きな力を発揮する。この技術は攻撃者と防御者のどちらに有利に働くのだろうか。

JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。

ランサムウェアグループALPHVは法執行機関による摘発の後、すぐに復活し、米国のインフラを標的にした攻撃の中でも過去最悪の攻撃を実行した。医療業界を揺るがすこの攻撃の影響とは。

リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。

IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。

重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。

数々のサイバー攻撃は、Oktaが自社のセキュリティを大きく変革する転機となった。同社は誤りを認め、セキュリティを最優先事項とする体制を築こうとしている。インシデントの発生からセキュリティ体制変更までの動きをまとめた。

Palo Alto Networksの株価が急落した。後払いや無償のインセンティブ提供によって収益の伸びが鈍化すると投資家たちに警告したためだ。この戦略にはどのような狙いがあり、勝算はあるのか。

FBI主導で実行されたbotネットの破壊活動が成果を挙げた。botネットが破壊されるまで脅威グループは、数百台の脆弱なルーターを悪用し、標的に対してスピアフィッシング攻撃やクレデンシャルハーベスティング攻撃を実行していた。

米国国務省はランサムウェアグループ「AlphV」のリーダーの身元または居場所に関する情報に対して懸賞金をかけた。その額は。

Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。

AlphVは、カナダの石油パイプライン運営企業Trans-Northern Pipelinesにサイバー攻撃を仕掛けたと主張している。このサイバー攻撃によって通信を含む内部システムに影響があったことを確認した。

リモートアクセスツール「AnyDesk」を運営するAnyDesk SoftwareはセキュリティインシデントによってAnyDeskの本番システムが侵害されたと伝えた。同社の主張と対応の食い違いに研究者らから疑念の声が挙がっている。

ビジネスの専門家や元CISOなどで構成された業界団体は、米国証券取引委員会（SEC）がSolarWindsに提起した訴えに対し、却下を支持した。その理由はどのようなものだろうか。

Oktaは全従業員の7％に相当する約400人を解雇する旨を発表した。「世界で最も頻繁に狙われている企業の一つ」とも言われる同社は、度重なるサイバー攻撃に悩まされている。今回の大規模なレイオフとサイバー攻撃との関係はあるのだろうか。

サイバーセキュリティの関係者は、中国とつながりのあるハッカーたちが潜在的な軍事行動から注意をそらすために、壊滅的な攻撃の準備をしていると警告した。

ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。

民間企業や重要インフラストラクチャの提供者は、製品のセキュリティや情報共有、データセキュリティの透明性に関してこれまでにない要求に直面している。

Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。

Progress SoftwareはMOVEitの脆弱性について政府による複数の調査が進行中であることを明らかにした。また同社は、100件以上の集団訴訟の当事者でもある。

セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。

ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。

ITRCによると情報漏えい被害を受けた組織は、これまで以上に重要な情報を隠しており、通知の透明性が揺らいでいるという。

2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。

Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。

SecurityScorecardは同社の調査で「国の経済的繁栄は防衛力の強化に直結しており、サイバーセキュリティには貧富の差が生じている」という見立てを公開した。果たして本当か。

企業のビジネスリスクにおいて最大の懸念は何か。損害保険会社が発表した年次企業リスク調査から明らかになった。

ランサムウェアの活動は依然として活発だが、Rapid7の研究者によると、攻撃に使用される独自のランサムウェアの数は半分以下に減少している。その理由とは。

Pinpointによると、ベンチャーキャピタルは2023年、潜在的な損失を最小限に抑えるために投資の基準を引き締める戦略へと移行した。その背景には何があるのだろうか。

ランサムウェアの脅威はかつてないほど深刻で、予防策は依然として不十分であり、新たなインシデント報告とコンプライアンス規制の波が押し寄せている。専門家たちが2024年に注目する5つのセキュリティトレンドとは。

CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。

CiscoはSplunkの買収に続き、OSSのネットワーキングおよびセキュリティオブザーバビリティベンダーIsovalentを買収することを明らかにした。Isovalentの共同経営者が指摘するその狙いとは。

SECのサイバーインシデント報告義務規則によって、上場企業はサイバーガバナンスと脅威への対応策を高いレベルで管理しなければならない。

法執行機関はランサムウェアグループ「AlphV」のインフラを摘発したが、その数時間後、同グループは再登場して新たなリークサイトで投稿を行った。

緊急連絡や不在通知を装った偽のテキストメッセージは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。

米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。

ランサムウェアグループが攻撃への関与を主張する中、クラフト・ハインツは「潜在的な攻撃は廃止されたマーケティングサイトに関するものであり、社内システムは正常に動いている」とコメントした。

NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。

Unitronics PLCの機器に対する現在進行中のサイバーキャンペーンは、米国の複数の水道施設に影響を与えており、当局はエネルギー業界や医療業界、食品および飲料製造業界も監視している。

脅威グループ「AlphV」は会計ソフトウェア金融テクノロジー企業のTipaltiにランサムウェア攻撃を仕掛け、顧客情報を含めて265GB以上のデータを盗んだと主張する。

CitrixBleedはBoeingをはじめとした多くの企業で悪用されている。今度はITベンダーであるTrellanceのグループ企業で事業継続サービスを提供するOngoing Operationsでネットワークインシデントが発生した。

ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。

Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。

2023年は金融機関を狙う悪質なサイバー攻撃が活動が数多く観測された。そして、この攻撃は複数の金融機関で連鎖する可能性がある。その原因とは。

ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。

ソーシャルエンジニアリング攻撃や生成AIによって、フィッシング攻撃やランサムウェアが巧妙化し、リスクが高まっている。

Huntressの調査によると、中堅・中小企業を標的とするサイバー攻撃者は従来のマルウェアを使った攻撃を実行する傾向は低くなっているという。

CISAはセキュア・バイ・デザインの原則を適用する方法をスマートフォンを狙うサイバー攻撃を例に解説した。

ラスベガスのカジノ業界を狙った一連のサイバー攻撃の背後にいる攻撃者はソーシャルエンジニアリング攻撃の達人が集まった巧妙な組織だ。

Palo Alto NetworksのUnit 42チームは、追加費用なしのインシデント対応プログラムを開始した。セキュリティに関する専門知識を同社の大口顧客に即座に提供する。このサービスを提供する背景には何があるのか。

2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。

サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。

CISOを目指すのなら、漠然とした目標を並べるのではなく、リーダーや同僚、チームという3つの重要な関係者に対して「信頼」を提供することに注力すべきだ。信頼を積み上げることでどのようなメリットがあるのだろうか。

Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。

CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。

BeyondTrustとCloudflareは2023年10月に発生した「Okta」環境に対する侵害について、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたという。

SplunkはCiscoが同社を買収する旨の合意をしてから6週間も経たないうちに、従業員の7％、少なくとも500人のレイオフを発表した。

訴状によると、SolarWindsはサイバーセキュリティの実践に関して誤った情報を投資家に提供し、既知のリスクを開示しなかったとされている。

ISC2の調査によると、サイバーセキュリティ業界の専門家は世界で550万人に増加しているが、増加するデジタル分野の脅威から身を守るためには、依然として数百万人の有資格者が必要であることが明らかになった。

Microsoftは、政府機関を含む25の顧客の電子メールアカウントがハッキング被害を受けた件で、クラウドセキュリティログ機能を無償で提供していたが、この機能のデフォルト保存期間を延長した。

Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。

Oktaの顧客を狙ったソーシャルエンジニアリング攻撃に対し、同社の顧客はどう対抗したのか。各被害企業がその詳細な取り組みを語った。

セキュリティ業界全体においてベンチャーキャピタルからの資金調達額が減少している。これは、ベンダーや重複するツールが飽和状態にあるこの業界の現実を反映している。

The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。

Mandiantの研究者は、Citrix NetScalerの脆弱性について、パッチを適用した組織が依然としてハッキングの被害を受けていると指摘した。一体どういうことだろうか。

ITRCの調査によると、米国において個人情報に関するデータ侵害数は2023年に過去最高を記録しているという。この要因は何か。

IANSの調査によると、サイバーセキュリティリーダーの半数以上が40万ドルの報酬を得ている。

サイバーセキュリティ人材の不足が全世界で叫ばれている。これを解消するために企業が取り組むべきことは何か。CISAが注意すべき2つの要素を紹介した。

CISAはロシアとウクライナの戦争に関連するリスクに重点を置いていたが、現在は中国を最も重要な国家レベルの脅威と見なしている。

統合型リゾート運営会社MGM Resortsは2023年9月に発生したサイバー攻撃の影響について公表した。客室稼働率の低下や特定の顧客データが盗まれたことが分かっている。

AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証（MFA）の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。

組織の中核となるセキュリティシステムを単独のプロバイダーに絞って構築することは容易かもしれないが、それが最善の選択肢とは限らない。

ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。

CiscoによるSIEMおよびオブザーバビリティ製品を提供するSplunkの買収は、市場の変化に大きな影響をもたらすとみられる。競合であるMicrosoftについてもそれは例外ではない。

MGM ResortsなどOktaの顧客を狙ったサイバー攻撃の背後には複数の脅威グループが連携した形跡が見られている。

MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。

パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。

消費財メーカーのCloroxによると、サイバー攻撃はITシステムに損害を与え、2023年の第1四半期の業績に重大な影響を与えるという。

CISAは、OSSのセキュリティに関するロードマップを発表した。重要インフラに関するセキュリティリスク軽減に向けてOpenSSFと連携する。

IBMによると、有効な認証情報はサイバー犯罪市場において注目の的であり、ダークWebで売買される資産のほぼ90％を占めている。

ダークWebでは脆弱性情報や不正プログラムが高値で取引されている。なかには1万ドル以上で取引されているものもあるようだ。

Gartnerは有能なCISOが実践している5つの行動を明らかにした。成功しているCISOはそうでないCISOと比較してこれらの5つの行動が1.5倍多く見られるという。

米国証券取引委員会が施行した新たなインシデント報告ルールが米国企業およびそれに関連した企業のCISOやセキュリティ担当者に与える影響とは。

米国はフランスやドイツなどの国と連携して全世界70万台以上のコンピュータに感染していたマルウェア「Qakbot」を破壊するための大規模な作戦を実行した。

MOVEitのゼロデイ脆弱性から始まったサイバー攻撃キャンペーンは発覚から数カ月が経過した今も被害者を増やし続けている。

4大監査法人であるEYの調査によると、Fortune 100に名を連ねる企業のCISOは取締役会や経営層との連携を強化している。

SentinelOneの研究者によると、サイバー攻撃者はWindowsやLinux、ESXiに対する攻撃のためにRustやGoのようなプログラミング言語を使用している。

Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。

BlackBerryの調査によると、Cuba Ransomwareグループは全世界の重要インフラ企業を標的としており、Veeam Software製品を悪用していることが確認された。

ランサムウェアグループClopは2023年7月に発生した全てのランサムウェア攻撃の3分の1に関与しているという。

基本的なサイバーセキュリティ対策を怠った結果、情報漏えいやサイバー攻撃の被害に遭うケースが後を絶たない。しかし、セキュリティの「基本」は思っているより難しいようだ。

パブリッククラウド利用を進める上で、セキュリティの観点から注意すべきことは何か。AWSのCISO室のディレクターが顧客が“やりがちなミス”を明らかにした。

脅威インテリジェンスを有効に活用して防御を構築するためには、まず何から始めればいいのだろうか。組織及びCISOがやるべきことをまとめた。

サイバーセキュリティ業界において、攻撃者と防御者のいたちごっこが続く中、防御側が優位に立つためにはどうすればいいのか。

NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。

CrowdStrikeの調査によると、サイバー攻撃者はシステム侵入時、攻撃手段を自動化するのではなく手動の戦術を利用するようになってきたという。

AWSは、幼稚園から高校までの教育機関に対するランサムウェアなどの被害を防ぐため、スキルアップと再教育などを提供する。

Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。

Sonatypeの調査によると、約60％の企業が取引先企業に対してSBOMを導入し、アプリケーションのセキュリティを高めるように求める傾向が強くなっている。

TenableのCEOであるアミット・ヨラン氏をはじめセキュリティベンダーや研究者、政府関係者らは、Microsoftのセキュリティ慣行が不十分であるとして激しく批判している。

Google Cloudの調査によると、クラウドで発生した侵害の5件に3件以上が、アクセス管理の不備、特に脆弱なパスワードなどを原因としていたという。

サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。

Tempur SealyはMattress Firmを買収する契約を締結し、世界でも有数のマットレスメーカーの1つとしての地位を築いた約2カ月後にサイバー攻撃が実行された。

セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。

Mandiantは、JumpCloudへのハッキング被害から始まった一連のサプライチェーン攻撃の実行者について、北朝鮮の脅威アクターの仕業だと断定し、その手口を解説した。

研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。

Microsoftの顧客の電子メールアカウントでハッキング被害が起きた件について、セキュリティ企業のWizが公開した調査報告書はOutlook.com以外のデータにもアクセスできる恐れがあると警告した。

Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。

Cloudflareは第2四半期にDDoS攻撃が急増していると調査報告書で発表した。現在、さまざまな種類のDDoS攻撃が出てきており、その手口の巧妙化が危惧されている。

Estee Lauderに対するランサムウェア攻撃について、脅威アクターALPHVが実行を主張している。同組織はEstee Lauderの暗号化されていないネットワークに侵入し、131GB以上のデータを奪ったという。

バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。

インフレと景気後退に対する懸念によって、第2四半期のサイバーセキュリティ業界における資金調達額が大幅に減少した。こうした市場の混乱の影響で人員削減を余儀なくされた企業もある。

「Microsoft Azure」や「Microsoft OneDrive」のDDoS攻撃への関与が疑われるハクティビストAnonymous Sudanは、StripeやRedditに対する侵害についても自分たちの仕業であると主張している。

政府および（電力やガス、鉄道、空港などの）重要インフラを対象にしたForcepointのセキュリティ事業の買収は、2023年のサイバーセキュリティ市場における最大規模の取引だ。

マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。

CISOの多くが業務を自社のCEOではなくCIOに報告している。この数字は年々減少傾向にあるという。これは何を意味するのか。

セキュリティ専門家にとってAIは心強い味方だ。これを使いこなすことで反復作業を自動化し、他のスキルを磨く時間を得られる。ただし、AIを活用する上では注意すべきこともある。

連邦政府機関は、支出がどのように国家サイバーセキュリティ戦略に合致しているかを示すよう求められている。

最近ランサムウェア被害に関する報告が頻繁に挙がっている。セキュリティインシデントにうまく対処できている企業とできていない企業は何が違うのか。

カナダのエネルギー企業Suncor Energyがサイバーセキュリティインシデントの被害に遭った。このサイバー攻撃は石油・ガスの供給を混乱させる狙いがあったとみられている。

生成AIをビジネスに活用する試みはサイバーセキュリティ分野でも広がっている。脅威は増すばかりなのに有資格者不足は深刻という悪条件に苦しむセキュリティ部門の人々の仕事を生成AIはどのように変えるのか。

米SECはサイバー攻撃を受けた上場企業が当局に報告することを義務付ける規則の制定を延期した。SECがこの規則を提案する背景には、多くの企業がサイバー攻撃に遭ったことを隠す傾向への危機感があるが、セキュリティ専門家からは規則への反発の声が挙がっている。

LastPassにおいて2022年最大のセキュリティ上の失策となったサイバー攻撃から約1年が経過し、CEOのカリム・トゥーバ氏は一連の出来事について話す準備ができたようだ。

Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。

現職の米国家サイバー長官であるケンバ・ウォールデン氏は「弾力性のあるクラウドインフラストラクチャは国家のサイバーセキュリティ戦略にとって重要だ」と話す。

近年、テレワークのようにオフィス以外の場所で勤務する経営幹部を狙ったサイバー攻撃が多発している。特にホームオフィスのネットワークは格好の侵入経路だ。

景気後退や経済の減速に対する懸念が広がる中、企業はサイバーセキュリティ予算を増やしている。

Palo Alto Networksは生成AIの展開に慎重な姿勢を採っているが、この技術がサイバーセキュリティにとって大きな転機になると信じている。

Python Package Index（PyPI）は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。

多くの従業員が休暇を取得し、防御が手薄になり危機意識が欠如する時期はサイバー攻撃者にとって絶好の攻撃機会だ。これに備えて企業やるべきこととは。

経営層はサイバーリスクを現実的な脅威だと認識し始めるようになった。これに合わせてIT予算のうちセキュリティが占める割合も改善傾向にある。

米国における電力やガス、鉄道、空港などの重要インフラ事業者はセキュリティに関する支出を増加させている。

企業は従業員のサイバーレジリエンス能力を高めるためにプログラムを提供しているが、その多くが適切な成果を挙げていないようだ。

KFCやTaco Bell、Pizza Hutといった飲食店ブランドを運営するYum Brandsはランサムウェア被害によって、従業員の集団訴訟に直面している。

Cisco Talosの研究者は、新興のランサムウェアグループRA Groupを観測した。RA Groupは製造や金融、保険および製薬業界の組織を標的にしており、1週間で4件の“成果”を得た。

Juniper Researchによると、ソフトウェアサプライチェーン攻撃による損失は2026年までに76％増加し、約810億ドルに達すると予測されている。

MicrosoftがVBAマクロのブロックし始めてから、サイバー犯罪者たちは新たな攻撃手法を模索するようになった。

身代金の支払いを禁止する措置の有効性について議論が再燃している。これは、ランサムウェアが世界の組織にもたらすコストと関連している。

セキュリティ企業のDragosは、新入社員になりすましたハッカーの標的になっていたことを公表した。同社はこの事態をどうやって鎮静化したのか。

パンデミックを経て、多くの従業員が通常業務に戻る中、CISOはサイバー攻撃に対する懸念を強めていることがProofpointの調査から明らかになった。

セキュリティ研究者は、組織がセキュリティ対策に向けて行動するためにはもう一度スノーデン事件のような出来事が必要なのではないかと疑問を呈した。

ランサムウェア攻撃をはじめとしたサイバー攻撃の激化はとどまることを知らないが、それでも世界のセキュリティ有識者たちは希望を持っている。

Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。

生成AIは技術的な革新であり、多くの企業が有効に活用する方法を模索している。セキュリティにおいてもそれは同様だ。攻撃・防御側それぞれでどのような使い方が考えられるか。

BakerHostetlerの調査によると、2022年のデータセキュリティインシデントの数は前年とほぼ同じだった。悪意のある活動に適切に対応するための対策が充実する一方で、新たな攻撃手段も生まれている。

MandiantのCEOによると、セキュリティツールを導入する以外にも、組織が防御力を強化してサイバー攻撃を検知、阻止、または最小化するためには明確な手順がある。

CISAは連邦政府に提供するソフトウェア製品がセキュリティ上最低限の開発基準を満たしているかどうかを、製作者自身が保証する「自己認証共通フォーム」を発表した。証明フォームへの記入は必須とされている。

サイバー保険の価格上昇が2023年第1四半期は緩やかになっている。これには米国と英国で起こった価格上昇の緩和が関係しているという。

CISAが発表した「セキュアバイデザインのガイドライン」に対する産業界からの意見は、好意的なものだけではない。もうけにつながらないセキュリティ対策にいくら投資すればいいのか、と不満をあらわにする企業もあるようだ。

「史上最速のランサムウェア」ともいわれる「Rorschach」。現在のところ影響や被害は不明だが、攻撃がいくつか進行中である可能性があると指摘する専門家もいる。Rorschachの特徴とは何か。

今、米国のサイバーセキュリティ当局を中心に、製品の開発段階でセキュリティを確保しようとする取り組み「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」が進んでいる。製品から脆弱性を取り除くための“戦術”の内容を見てみよう。

CISAは主要な関係者と協力してセキュア・バイ・デザインの原則を発表した。これらが業界慣習に大規模な変更をもたらす可能性がある。

データストレージ製品を提供するWestern Digitalは最初のインシデント開示以降、顧客に対して限定的なアップデートを提供した。

ある調査によると、ChatGPTのようなAIツールを業務に利用している人の3分の2以上は上司に報告していない。「サイバーリスクにも注意すべきだ」とBlackBerryのCISOは警鐘を鳴らす。

米政府は企画、設計段階からセキュリティ対策を組み込むことでセキュアな環境を確保しようとする「セキュリティバイデザイン」の取り組みを進めている。技術関係者に製品への責任を負わせようとするこの取り組みは議会を巻き込み長期化する見込みだ。

サイバーセキュリティ保険は万一の問題が発生した場合の損失を補うためのありがたいものだが、そもそも加入できるのはそれなりのセキュリティ体制を持つ企業のみで、対策にリソースを割きにくい中小企業は加入しにくかった。この問題を解消する新しい保険サービスが注目を集めている。

ランサムウェア被害を防ぐには攻撃の前兆をいち早く警告するしかない。情報を秘匿しがちな問題に業を煮やしたCISAは本気で情報提供を呼びかけているが、セキュリティ技術者は残念な実態に懸念を表明した。

組織が真剣に自己防衛に取り組むのであれば、インシデントに対処するための強固なシステムが必要だ。本稿ではインシデントに備えて組織が取り組むべき事項を紹介する。

多くの組織が資格情報管理や認証のためにアイデンティティーアクセスマネジメントツールを使っている。しかし、これらのツールを完全に信用するのは危険だ。

近年、サイバー攻撃の手口はますます多様化、巧妙化している。新しく編み出された攻撃手法などを明らかにする「脅威インテリジェンス」に注目が集まるが、Googleは「必ずしも全ての企業にとって有益であるわけではない」という。脅威インテリジェンスへの投資が無駄になる企業の特徴とは。

国家サイバー局長代理のケンバ・ウォルデン氏は「セキュリティは老朽化したシステムに取り付けるのではなく、米国人が毎日使う技術に組み込む必要がある」と述べた。どういうことなのだろうか。

CISAは重要インフラ事業者に対するサイバー攻撃が増加していることを踏まえ、ガイドラインを改訂した。その内容は？

2023年の世界におけるセキュリティ支出は2190億ドルに達し、2026年には3000億ドルに到達する見込みだ。特に銀行や製造業、サービス業、政府組織の支出だけで全体の3分の1を占める。

FS-ISACの「重要プロバイダープログラム」に主要クラウドプロバイダーとして初めてGoogle Cloudが参加した。金融サービス業界のセキュリティを強化する同プログラムの発展にとって重要なステップとして考えられる。

近年、サイバー攻撃の対象となるのは大企業や中堅企業ばかりではなく、中小企業も狙われるようになった。インシデントが発生した際はコストもかさみ、事業継続の阻害要因になるなど、リスクは大きい。それにも関わらず、リスク対策が進まない企業はまだ多いようだ。Ciscoの調査で判明した実態とは。

相次ぐ銀行破綻は、サイバーセキュリティにも多大な影響を与える可能性がある。脅威ハンターやセキュリティ専門家が警告する「ソーシャルエンジニアリング攻撃」とは何か。

企業が見るべきセキュリティの範囲が広範になるにつれ、CSOとCISOが果たすべき役割も変化しつつある。

重要インフラがランサムウェアの攻撃対象として浮上している。一方、2022年に報告されたランサムウェア被害件数は2385件だが、FBIですら「実際の発生件数」は把握していない。その理由は.

パスワードマネジャーLastPassの広範囲にわたる情報漏えいについて、同社のCEOであるカリム・トゥバ氏が「批判を受け止めて、全ての責任を負う」と述べた。

CISAは大規模な重要な社会インフラ提供者に向けてレッドチームによる演習を実施した。近年、サイバー攻撃の標的になる機会が増えている社会インフラ提供者はレッドチームによる攻撃を防御できたのか。

バイデン政権は、サイバーセキュリティに関する国家安全保障戦略を展開する際に、テック企業が企画や設計段階からセキュリティを確保できる、より安全な開発手法を重視しているようだ。

Proofpointの調査によると2022年に5社中4社以上の組織が少なくとも1回のフィッシング攻撃を経験し、半数以上が少なくとも3回の攻撃に遭遇しているという。

Gartnerの調査によると、セキュリティリーダーの半数が2025年までの転職を希望している。そのうち4分の1は全く異なる職務に就くと予測している。

サイバー攻撃者はより効率的なオペレーションを実行し、市販のツールでスキルを補完することで攻撃を成功させている。

フィッシングは初期侵入の手口としてサイバー攻撃者に好まれており、これによるインシデントは増え続けている。フィッシングはなぜ危険なのか。特に注意すべきフィッシング攻撃とは何か。

AmazonはAIのメリットとリスクをどのように評価しているのか。同社のCSOであるスティーブン・シュミット氏が組織が生成AIを使う際に注意すべき“3つの指針”を紹介した。