TOP ＞ セキュリティ

• 

  

  SDP 2.0仕様が登場、ゼロトラストの成熟度を高めるためのポイントは（前）

  　クラウドコンピューティングのセキュリティー強化に取り組んでいる業界団体Cloud Security Alliance（CSA）は、「Software-Defined Perimeter（SDP）Specification v2.0」（以下SDP 2.0）を3月に公開した。SDPの仕様書の最新版として、SDPとゼロトラストを担当するワーキンググループが作成したものだ。2014年に最初のバージョンが公開され、ゼロトラスト導入の気運が業界全体で高まってきた中で、今回のバージョンアップは絶妙なタイミングと言える。続きを読む

• 

  

  米サイバーセキュリティー当局、VMwareの新たな脆弱性2件で緊急指令、早急な対策を指示

  　米国土安全保障省のサイバーセキュリティー・インフラストラクチャ・セキュリティー庁（CISA）は5月18日、米VMwareの製品で新たに見つかった脆弱性2件「CVE-2022-22972」「CVE-2022-22973」について、連邦政府機関に対策を命じる緊急指令を出した。対象製品は「Workspace ONE Access」「Identity Manager」「vRealize Automation」「Cloud Foundation」「vRealize Suite Lifecycle Manager」。2022年4月発表の脆弱性2件「CVE-2022-22954」「CVE-2022-22960」と合わせて、サイバー攻撃のリスクの軽減策を直ちに講じるよう求めている。続きを読む

• 

  

  「AirPodsの警報音で鼓膜が破れた」としてAppleが訴えられる

  　米Appleのワイヤレスイヤホン「AirPods Pro」が発した大音量の警報音が原因で、12歳の少年の聴力が損なわれたとして、少年の両親が5月16日、Appleと製造元に損害賠償を求める訴訟をカリフォルニア州の連邦地方裁判所に起こした。米法務情報サイトLaw360が17日付の記事で報じた。この警報音は誘拐事件の緊急速報システム「AMBER Alert」のものだった。続きを読む

• 

  

  「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき（後）

  　何らかの脆弱性の話が大きく報じられたときに、テストもしていないパッチを慌てて適用したり、影響がありそうなソフトウエアを強制終了させたりするのはセキュリティー担当者として賢明な対応ではない。まず前提として利用しているデバイスやリソースを洗い出し、インターネットとのやりとりの防御の態勢を確認しておく必要がある。WebサーバーやWebアプリケーションをはじめ、あらゆるデバイスやリソースに対し、フィルタリングやパターン検知のための仕組みは欠かせない。続きを読む

• 

  

  「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき（前）

  　「Spring4Shell」のような脆弱性に関して、自社の環境に潜むリスクをどのように判断しているだろうか。WebサーバーやWebアプリケーションを外部機関に診断してもらうと、現実には必ずしも問題につながるとは限らない点を、問題点として指摘されることがある。セキュリティー担当者はこうしたフォルス・ポジティブ（偽陽性）の指摘について調査し、許容可能なリスクかどうかを上層部に報告することになる。続きを読む

• 

  

  Progress、DevSecOpsを強化する新製品「Chef Cloud Security」を発表

  　構成管理ツール「Chef」などを手がける米インフラソフトウエア開発企業Progressは5月10日、新製品「Progress Chef Cloud Security」を発表した。ネイティブクラウド資産のコンプライアンスへの対応でDevSecOpsを強化し、オンプレミスやクラウド、ネイティブクラウドのリソース全体をエンドツーエンドで管理できる製品だとうたっている。また同社は既存製品の機能強化についても発表した。続きを読む

• 

  

  Microsoft環境での2要素認証の見直し、そのポイントとは（後）

  　Duoの場合、インストール後にこのモードを修正するには、レジストリエディター（regedit.exe）を管理者権限で起動し、レジストリキー「HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv」で、「FailOpen」という項目の値を作成（または更新）する。この項目の値を「1」にするとフェールオープン、「0」にするとフェールクローズになる。続きを読む

• 

  

  Microsoft環境での2要素認証の見直し、そのポイントとは（前）

  　筆者がかつて2要素認証を導入する際に考えたのは、シンプルかつ効果的に機能する仕組みであること、邪魔にならないこと、不正な認証の余地をなるべく与えないことだった。そのうえで社内の環境を防御する必要性と、リモートアクセスを実現する必要性とのバランスを考える必要があった。2要素認証の導入に関与したことがある方は、おそらく同じような経験をしてきたものと思う。続きを読む

• 

  

  Emotet、大規模な攻撃の休止中に新たな手法をテストか

  　米セキュリティー企業Proofpointは4月26日、マルウエア「Emotet」の攻撃に関して、これまでと異なる新たな手法を確認したとするブログ記事を公開した。通常の大規模な攻撃キャンペーンが下火となっていた2022年4月4～19日の期間に、別の手法を使った小規模な攻撃が見られたという。今後の攻撃キャンペーンで新たな手法を導入するためのテストを行ったか、大規模なキャンペーンと並行して限定的な攻撃を行うようになったかのどちらかと同社はみている。続きを読む

• 

  

  現在最大のサイバー脅威に対処するための最良のアドバイス（後）

  　攻撃の状況を把握できる情報源を見つけ、自社の防御体制についての判断に活用する。ロシア軍の侵攻を受けたウクライナは、ランサムウエアやワイパー型などのマルウエアでも激しい攻撃に見舞われた。仮に自分の会社が同じような攻撃を受けた場合、システムの復旧に必要なリソースを確保できるだろうか。サービス拒否（DoS）攻撃への耐性はどうだろうか。続きを読む

• 

  

  現在最大のサイバー脅威に対処するための最良のアドバイス（前）

  　現在は、ロシアやベラルーシからのトラフィックをブロックすれば、ログファイルのノイズを減らしたり、Webサイトへのトロールやスパムコメントを抑制したりできるかもしれない。だが、こうして特定の地域や国からのアクセスをブロックしても、標的型の攻撃の抑制にはならない。VPNを介して別の場所からアクセスすれば済むからだ。続きを読む

• 

  

  ネットワークアクセス盗む4つの攻撃手口（後）

  　昔は、メールを使った攻撃というと、ペイロードをメールに直接添付して送る手法が多かった。マクロなどのコードを使った攻撃がOutlook上で直ちに作動するのを防ぐために、プレビューウィンドウを非表示にした人も多いと思う。続きを読む

• 

  

  盗まれたOAuthトークンで利用者のGitHubリポジトリに不正アクセス

  　米GitHubは4月15日、盗まれたOAuthユーザートークンを使ってGitHubのプライベートリポジトリが不正アクセスを受ける事案が発生したと明らかにした。米Salesforce傘下のPaaSベンダー米Herokuや、継続的インテグレーションサービスの独Travis CIのアプリケーションとGitHubとを連携するためのOAuthトークンが悪用されたとしている。こうしたサービスをGitHubと連携している利用者は、不正アクセスの被害に遭った可能性があるという。続きを読む

• 

  

  ネットワークアクセス盗む4つの攻撃手口（前）

  　筆者が思い出すのは、2000年ごろに世界的に流行したワーム「ILOVEYOU」だ。メールを通じて感染を広げ、IT（情報技術）業界も対応に追われた。「ILOVEYOU」と書かれたメールを見て、その添付ファイルを開くというのは、いかにも軽率な行為だが、実際にそうした人は大勢いた。続きを読む

• 

  

  Chrome、プライバシー設定にウィザード形式の新機能を導入

  　米Googleは4月6日、Webブラウザー「Chrome」のセキュリティー設定画面に、ウィザード形式の新機能「Privacy Guide」を導入したことを明らかにした。一つひとつの設定項目が持つ意味をステップバイステップで分かりやすく確認できるようにした。続きを読む

• 

  

  決済アプリのCash App、元従業員が約820万人の顧客情報を侵害

  　スマートフォン向け決済アプリ「Cash App」の親会社である米Block（旧Square）は、Cash Appの投資サービスがデータ侵害を受け、ユーザーの氏名や、証券口座の評価額、口座番号などが流出したことを米証券取引委員会（SEC）に提出した臨時報告書（FORM8-K）で明らかにした。影響を受けたのは過去のユーザーも含めて約820万人で、現在インシデントの発生について連絡しているという。続きを読む

• 

  

  企業のIT環境、地理的問題に対処するうえでの考慮事項（後）

  　コンプライアンスとプライバシーは、密接に関係していることが多く、セキュリティーとも必然的に関連性がある。クラウドセキュリティーチームは、コンプライアンスチームと協力し、現在のソリューションが対象の国や地域の要件を満たしているかどうか、確認する必要がある。続きを読む

• 

  

  企業のIT環境、地理的問題に対処するうえでの考慮事項（前）

  　我々はこれまで、クラウド化を推進する中で、地理的問題、地政学的問題、国境といった要素がもたらす影響について、考えたことがあっただろうか。次のような事態が現実に起きている。続きを読む

• 

  

  CISA、ネット接続機能を持つUPSへの攻撃に注意を喚起

  　インターネット接続機能を持つ無停電電源装置（UPS）が攻撃の標的になりつつあるとして、米国土安全保障省のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は3月29日、注意を喚起する文書を公開した。リモートコード実行の脆弱性や、デフォルトのままのユーザー名とパスワードが、攻撃に利用される恐れがある。続きを読む

• 

  

  企業のDFIR担当者、ランサムウエアの脅威やスキルギャップを懸念

  　カナダMagnet Forensicsは、DFIR（デジタルフォレンジック／インシデントレスポンス）に関する調査レポート「2022 State of Enterprise DFIR」を公開した。同社の委託により米調査会社IDCが作成したレポートで、北米と欧州の企業のDFIR担当者466人に対する調査の結果をまとめたもの。ランサムウエアの脅威や、スキルギャップ、データ量の増加、ハイブリッドワーク環境など、企業のDFIRチームが直面している課題のほか、金融、ヘルスケア、テクノロジーといった主要業界のDFIRの状況について取り上げている。続きを読む