▪️ICT基盤のセキュリティ運用監視サービス「∴ TRINITY(トリニティ)」
私はサイバーセキュリティ関連のビジネスに携わっています。 なかなかとっつきにくい「サイバーセキュリティ」の世界を分かりやすく丁寧に説明しようと思います。 またその他、ITに関わる情報やビジネスに関することなら何でも投稿しようと思いますので、宜しくお願いします。
2019年4月26日金曜日
2019年4月25日木曜日
脆弱性診断の 8 割を標準化する:脆弱性診断, インシデントレスポンス, 脅威インテリジェンス…セキュリティプロセス標準化を考える
▪️脆弱性診断の標準化を進める株式会社SHIFT SECURITY
▪️同社は、むしろ属人的なスキルが評価されがちな脆弱性診断や侵入テストに、あえて標準化が必要だと主張している。
▪️複数の意味でボーダーレスなサイバー攻撃に対して、いまや自社だけ強固に守っていればいいという時代でもない。すべては無理でも、可能な業務や対策を標準化できれば、全体のセキュリティレベルを上げられる(可能性が高くなる)
▪️ある自治体のシステムで、ツールが問題ないと診断したものが、ホワイトハッカーによって簡単に侵入されてしまったこともあり、この認識が強化され現在に至る。
▪️あまりに属人的になると、診断する人によって同じシステムの評価が変わり、診断結果にばらつきが生じる。今度は信頼性の問題が発生する。松野氏は、属人的な診断への揺り戻しが、次のパラダイムシフト(診断の標準化)につながるとみている。
▪️脆弱性診断のうち、およそ8割は「作業」であり、システムやエンジニアでの代替が可能だという。残りの 20 % は、プロフェッショナルや職能者による「判断」が必要な部分だ。診断に必要な処理や作業、判断を細分化し、数値化すれば 80 % の部分を標準化できるとした。
▪️インシデント発生時の初動における誤った判断は、被害をさらに広げる可能性があるほか、2 次被害、風評被害、法規制違反などコンプライアンスの問題や罰則などにまで影響が広がる場合がある。
▪️ここ数年、証拠隠滅を行うものや揮発性の高い領域(メモリなど)にのみしか痕跡が残らない攻撃も増えており、攻撃中や攻撃直後のメモリダンプをダンプする、あるいは後日追跡できるようにプロセス等のログを確認できるなどの対策を行わないと、インシデント対応時に痕跡を見つけられないこともある。
▪️ある調査では、侵入からインシデント対応が始まるまでの平均日数は 197 日、別の調査でも侵入から検知までにかかる日数の中央値が 101 日というレポートを公開している。
▪️GDPR のようにインシデントの報告期限を 72 時間以内に行わないと制裁対象となる規制も出てきている。
・守るべき資産の特定
・インシデントの多くが犯罪絡みという認識のもと、IT や技術部門に限定せず全社で対応すること
・策定したルールの実効性確認と改善のため演習を定期的に行うこと
・対応は自社で解決できないので、外部機関や当局との連携を平時に行っておくこと
・インシデントの多くが犯罪絡みという認識のもと、IT や技術部門に限定せず全社で対応すること
・策定したルールの実効性確認と改善のため演習を定期的に行うこと
・対応は自社で解決できないので、外部機関や当局との連携を平時に行っておくこと
2019年4月24日水曜日
うさぎ用品の通販サイトが改ざん - 偽決済画面でカード情報詐取
▪️ウェブサイトの脆弱性を突かれて不正なファイルが設置され、商品を購入しようとすると正規の決済ページに見せかけた外部の偽サイトへ誘導される状態になっていたという。
▪️攻撃者が用意した外部偽サイトでクレジットカード情報を入力すると再び同社サイトへ誘導され、本来のクレジットカード情報入力画面が表示される状態となっていた。
ペネトレーションテストレポート:92%の企業ネットワークが侵入可能な状態
▪️成功事例のほとんどは、外部とのやり取りを受け持つウェブアプリのソースコード中に存在する脆弱性を突いたものだったという。ウェブアプリは、企業のITインフラにおいて最も脆弱なコンポーネントと見なされている。
キヤノンMJ、未知のマルウエアを検出するサービスを提供開始
▪️法人向けセキュリティー対策の新製品「ESET Dynamic Threat Defense」「ESET Enterprise Inspector」を5月8日から販売することを発表した。
▪️価格は ESET Dynamic Threat Defenseが1年当たり1520円(税別)
▪️ESET Enterprise Inspectorが1年当たり2840円(同)。いずれも250ライセンス購入時の価格であり、ライセンス数に応じて割引する。
▪️端末で検知した不審なファイルをクラウド上の解析環境である「ESET Cloud」へ自動で送信。サンドボックス内で挙動を解析して、問題ありと判別したらブロックする。
▪️ESET Enterprise InspectorはいわゆるEDR(Endpoint Detection and Response)製品。ESET Dynamic Threat Defenseと同様にエンドポイント防御の製品と組み合わせる。端末から様々なログを収集して分析し、サイバー攻撃と疑われる挙動や悪意あるファイルを可視化する。
ランサムウェア高度化や「陽動作戦」の発生を報告--サイランス
▪️本来の攻撃から標的の目を逸らさせたり、証拠隠滅を図ったりするなどの目的で、別の目立ちやすい攻撃手法を組み合わせるというもの。南米の銀行を狙ったAPT攻撃では、1000万ドルの不正送金を実行するタイミングに合わせて、「MBRKiller」と呼ばれるHDDのマスターブートレコードを消去するマルウェアを銀行内に大量感染させ、大量のPCを起動不能に陥れた。
▪️この例では、標的にされた銀行がMBRKillerへの対処に追われることで、不正送金に気付くのが遅れることを攻撃者が期待したものと見られるという。さらには、MBRKillerを消去するために銀行がPCの再インストールなどを行うことで、攻撃者が不正送金で実行した手口の痕跡や証跡がPC上から消去されることも狙った可能性もあるという。
2019年4月23日火曜日
2019年4月22日月曜日
サイバー攻撃を把握する時間は12カ国中で日本が最長--ソフォス調査
▪️"真実"として挙げられたのは以下の7つのトピックだ。
- サイバー攻撃を受けるのは珍しいことではなくなった
- IT管理者は、攻撃者の滞在時間を把握していない
- IT管理者は脅威の進入口を把握していないため、それをふさぐことができない
- 企業はセキュリティ問題でないことが判明するインシデントの調査に年間41日を費やしている
- 5社中4社はセキュリティの専門知識不足で、脅威の検出と対応に苦心している
- 半数を超える企業がEDRソリューションを最大限に活用できない
- 1度被害を受けた企業は2度目からより慎重にインシデントを調査する
2019年4月19日金曜日
個人のマルウェア感染率は企業の二倍、半数以上が1年以内に再感染(ウェブルート)
▪️企業エンドポイントのウイルス感染率が32%であるのに対し、コンシューマーエンドポイントの感染率は68%と、 2倍以上の差が見られた。また、感染したデバイスの半数以上(53%)が1年以内に再感染していた。
2019年4月18日木曜日
EPPとEDRを統合、トレンドマイクロのエンドポイントセキュリティ新製品「Trend Micro Apex One」
▪️価格は1000~1999ライセンスの場合、1ライセンス当たり年間6600円。EPPの機能だけを使う場合は3300円。トレンドマイクロは新製品を同社のセキュリティー対策ソフト「ウイルスバスター コーポレートエディション」の後継製品とも位置付けており、EPPの機能は同ソフトをバージョンアップしても利用できるとした。
テクマトリックス、ネットワーク/セキュリティ製品向けサポートサービスの最上位プランを提供
▪️「TechMatrix Premium Support powered by TRINITY」は、テクマトリックスが培ってきたネットワーク/セキュリティ製品の販売・構築・サポートの知見と、既存の「TRINITYセキュリティ運用監視サービス」による運用実績を組み合わせた最上位のサポート&セキュリティサービス。
▪️ユーザー企業が導入した製品に対する横断的かつ最適化された機器運用サービスを提供するほか、テクマトリックスが独自開発した、数百パターンに及ぶ脅威シナリオによって相関分析を行うセキュリティ統合監視サービスをあわせて提供する。
▪️対象は、同社が取り扱っている次世代ファイアウォール、IDS/IPS、プロキシ、ロードバランサ、メールセキュリティ、エンドポイントセキュリティ、SDPといった各製品で、
テクマトリックスから購入した、あるいは保守サポートが提供されているもの。これらの統合的、横断的な機器運用(障害監視/障害対応、設定変更/バージョンアップなど)をテクマトリックスが行ってくれる。▪️ゲートウェイセキュリティ製品やエンドポイントセキュリティ製品などのセキュリティアラートに加えて、ネットワークフローの情報も取得。AIやマシンラーニングといった最新技術を活用し、分析システムで相関分析を行うことにより、ユーザー企業の環境の通信に対して網羅的な統合セキュリティ監視を提供するとした。さらに、オンプレミス/クラウドの両環境をサポートし、ハイブリッド環境にもワンストップで対応する
2019年4月17日水曜日
環境省のWebサイトが改ざん、通販サイトに偽装
▪️改ざんの被害にあったのは、環境省が実施していた洋上風力発電実証事業についてのWebサイト。このWebサイトのドメイン配下にあるファイルの一部が第三者によって書き換えられ、通販サイトを偽装したページが表示されるようになっていた。第三者がファイルを書き換えた理由は不明だが、フィッシングサイトに利用しようとした可能性がある。
▪️環境省は2018年12月21日、外部からの通報でWebサイトが改ざんされていることを知り、同日に該当のWebサイトを閉鎖した。今後は原因分析を進め、対策を講じた上でWebサイトを再公開する予定だ。
アズジェント、次世代マルウェア対策エンドポイント製品「Deep Instinct」をSaaS型サービスで提供開始
▪️ディープラーニングを学習アルゴリズムとして採用したことで正確性が飛躍的に向上し、今までの次世代エンドポイント製品では問題であった誤検知率の発生が、極小化されている。
▪️「Deep Instinct」の管理モジュールを使った単独利用に加えて、従来型エンドポイント製品(シグネーチャベース)と機能競合することなく共存利用できる。これによりエンドポイント上で多層化防御を実現することが可能だとしている。
▪️「Deep Instinct」は、未知の脅威防御時に対応策を検討できるよう、マルウェア分類機能やサンドボックス等強力なマルウェア解析機能を実装し、また、管理サーバを準備する必要がなく、今までの次世代エンドポイント製品では必要だった年数回のアップデートも年1回に減り、セキュリティ対策コストも包括的に軽減できるという。
▪️SaaS型サービスは、マネージドサービスを運用するための様々な管理機能を有している。Windows、macOS、Androidと様々なデバイスが一元管理でき、かつ主要SIEM製品サポート、無償Appsも提供しており、セキュリティログの簡単な取り込み、視覚化された情報提供が可能で、SOCチームと連携させることにより、監視サービスを提供することも可能だという。
犯罪者の興味はランサムウェアや仮想通貨からフォームジャッキングへ(シマンテック)
▪️フォームジャッキングとは、サイバー犯罪者が悪意のあるコードを小売業者のWebサイトに書き込み、買い物客のペイメントカード情報を盗み出すというシンプルな攻撃で、本質的にはATMスキミングと同じとしている。毎月平均4,800以上のWebサイトがフォームジャッキング攻撃を受けている。シマンテックは、2018年にエンドポイントで370万件以上のフォームジャッキング攻撃をブロックしているが、その約3分の1がオンラインショッピングの利用のもっとも多い11月と12月に集中していた。
2019年4月16日火曜日
不正アクセスでホームページが改ざん被害、ハングル文字の投稿を発見(徳島県鳴門病院)
▪️これは11月29日午後4時頃に発生したもので、同日午後5時頃に同院事務局職員がホームページ管理画面より不正アクセスによるハングル文字投稿を発見したというもの。
寝台列車「ななつ星」通販サイトに不正アクセス - JR九州
▪️クレジットカード情報が流出したことがわかった。そのほかの個人情報も流出した可能性が高いという。
▪️システムの脆弱性を突く不正アクセスを受けたもの。
▪️決済代行会社からクレジットカード情報が流出した可能性があるとの指摘があり、サイトの管理を委託している事業者に連絡してサイトを閉鎖。その後外部事業者の調査で、カード情報の流出が確認された。
2019年4月15日月曜日
「エコレオンラインショップ」へ不正アクセス、セキュリティコード含むカード情報が流出の可能性(レジナ)
▪️2018年12月24日より第三者調査機関「Payment Card Forensics 株式会社」へ調査を依頼、2019年1月26日に最終調査報告書を受領した。
▪️調査結果によると、2018年5月16日に攻撃者が販売管理システムの脆弱性を突いてデータベースへ不正プログラムをページ内に埋め込み、ページ内の入力フォームに入力されたカード会員情報を外部サイトへ転送したために、2018年5月16日以降に同サイトのカード利用者のカード会員情報が窃取されていたと推測される。
▪️カード決済に至らずカード番号が特定されていない顧客についても、カード番号、カード有効期限、カード名義人名、セキュリティコードが流出した可能性がある
▪️同社では現在、同サイトは再開しているが、カード決済については、今後もセキュリティを更に強化したとしても安全を100%保証することは非常に難しいため取り扱い自体を中止するとのこと。
2019年4月12日金曜日
「WinRAR」の脆弱性攻撃が拡大中 - ヒット曲のファイルに偽装
▪️同バージョンより以前のバージョンで問題のファイルを開くと、スタートアップフォルダに悪意あるファイルを作成され、次回起動時にマルウェアへ感染するおそれがある。
2019年4月11日木曜日
「Office 365」の通知装う詐欺メールが横行、送信元偽装の手口が巧妙化
▪️本文は、「あなたがOffice 365 Business Premiumに使っている決済方法が拒絶されました」と通知する内容で、「サービスに支障が出ることを防ぐために、決済情報を今すぐ更新してください」などと促し、カスタマーポータルサイトに見せかけた不正なページに誘導してユーザーIDなどを入力させようとする。
2019年4月10日水曜日
アイネット、SaaS型改ざん検知・復旧ソリューション「SECURE-ARGUS」をサービスメニューに追加
▪️株式会社アイネットは19日、自社が提供するマネージドクラウドサービスおよびデータセンターサービスのセキュリティサービスメニューに、株式会社アールワークスが提供しているSaaS型改ざん検知・復旧ソリューション「SECURE-ARGUS」を追加すると発表した。
マネージド型 クラウド型セキュリティサービス市場規模、CASB 急伸(ミック経済研究所)
▪️サービスカテゴリ別での2018年度売上構成トップは、「セキュリティ監視・運用サービス」で、2018年度は前年対比117.2%の577.3億円、46.8%のウエイトを占めた。同カテゴリは近年、サイバー攻撃の多様化・高度化によってその検知、解析も非常に高度な専門性を要するものとなっており利用が拡大している。さらに、EDRなどの新たなセキュリティ製品を対象とした監視・運用サービスを提供するベンダも増えており、今後も市場は好調に推移すると見込んでいる。
▪️2018年度に前年比80.5%と急激な成長を遂げているのが「CASB(Cloud Access Security Broker)サービス」であった。CASBは、従業員のクラウドサービス利用を把握しコントロールするもので、企業でのクラウドサービス利用の拡大を受けて、そのセキュリティ対策として認知が高まり、大手企業を中心に導入が進んでいる。
セキュリティエキスパートが競い合ってマルウェアを解析、PolySwarmの「エコシステム的脅威検出マーケット」とは
▪️発見できるマルウェアは重複する。現在、セキュリティベンダー1社だけで、すべてのマルウェアを検知するのは難しい」
2019年4月9日火曜日
パロアルトネットワークス、2018年のサイバー脅威の振り返りと2019年に注意を払うべき脅威予測を発表
▪️クラウド脅威解析サービス「WildFire」と脅威インテリジェンスサービス「AutoFocus」から得られたデータを元に2018年の振り返りを行った。
▪️●業界別検出数
- ハイテク
- 専門・法律サービス
- 教育
- 卸・小売
- 製造業
- 電気通信
- 自治体
- 保険
- 金融
- サービス
「.docx」のWord文書からマルウェアに感染、動画埋め込み機能を悪用して不正なURLを隠蔽
▪️Microsoft Wordの動画埋め込み機能を悪用して、情報窃取型マルウェア「URSNIF」の亜種に感染させる攻撃が10月下旬に確認された
PSC、Windows Defender ATPを利用したエンドポイント向けセキュリティサービスを提供
▪️「EDR Service for Windows Defender ATP」は、Windows Defender ATPの脅威検出機能と、PSCが培ってきたPCライフサイクル管理サービスを連携させたセキュリティサービス。マルウェアの早期発見と、マルウェアに感染したPCの復旧、その後の原因調査までをカバーしており、エンドポイント端末のセキュリティ強化をトータルに支援する
▪️PSCのセキュリティオペレーションセンター(SOC)と連携したセキュリティイベント常時監視(24時間/365日)、セキュリティ脅威検知・通知、セキュリティ月次レポートなどを基本サービスで提供。
▪️オプションサービスとして、根本原因の特定調査及び削除/駆除、フォレンジック、インシデントレスポンス、ポリシーの設定変更(ブラックリストやホワイトリストの登録、アラートのDismiss)などにも対応する。
▪️参考価格は月額30万円から。
不正アクセスによる改ざんで情報調査室ホームページと文献情報総合検索システムが2ヶ月間停止 (広島大学高等教育研究開発センター)
▪️第三者からの不正アクセスにより同センターホームページ内のデータが改ざんされ、特定の検索サイトの検索結果画面から情報調査室のホームページにアクセスした場合に、外部の問題がある商業サイトに転送される不正コードが組み込まれていたことが判明した。
日本の芸能人の名前を件名にした“Love You”マルウェアスパムが急増(キヤノンMJ)
▪️ダウンローダーである「JS/Danger.ScriptAttachment」が28.1%でもっとも多かった。これに、HTMLに埋め込まれた不正スクリプト「HTML/ScrInject」(8.3%)、アドウェア「JS/Adware.Agent」(8.0%)が続いた。
2019年4月8日月曜日
2019年最大のセキュリティ支出先はMSSに--IDC予測
▪️技術カテゴリー別での2019年の最大支出先は、マネージドセキュリティサービス(MSS)で、24時間体制のセキュリティ監視と監視施設の管理に210億ドル以上が費やされる見通しという。
▪️以下は、ネットワークセキュリティハードウェア(統合脅威管理:UTM、ファイアウォール、侵入検知/防止システム:IDS/IPSを含む)
▪️インテグレーションサービス、エンドポイントセキュリティソフトウェア。
▪️2018~2022年でCAGRが高いのは、MSS(14.2%)、セキュリティアナリティクス/インテリジェンス/レスポンス/オーケストレーションソフトウェア(10.6%)、ネットワークセキュリティソフトウェア(9.3%)となっている。
2019年4月5日金曜日
2019年4月4日木曜日
サイバネット、クライアント運用管理製品「SKYSEA Client View」とウイルス対策ソフト「CB Defense」を連携
▪️CB Defenseは、EDR機能を備えた次世代型ウイルス対策ソフトウェアで、マルウェア攻撃だけでなく、メモリやPowerShellのような、スクリプト言語を悪用する非マルウェア(ファイルレス)攻撃もブロックすることが可能という。
中華食材販売サイトへ不正アクセス、2926件の情報流出の可能性(友利)
▪️2018年11月22日に完了した調査結果によると、同サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスによりカード情報を含む個人情報が流出し、一部のカード情報が不正利用された可能性があることが確認された。
はんだ付け製品販売サイトへ不正アクセス、情報流出したアドレスへの迷惑メールも確認(白光)
▪️ユーザーからWebサーバに個人情報の含まれたファイルが設置されていることをWeb検索で発見した旨の連絡があり判明した
▪️検索サイトや海外のアーカイブサイトへの削除依頼を実施
▪️脆弱性の修正をはじめWAFやIDSの設置といった緊急措置を実施
グーグル、「Android」のセキュリティ年次報告書を公開
▪️「害を及ぼすおそれのあるアプリ」(PHA)の定義に今回初めてクリック詐欺アプリを含めた
▪️Google Playストアでは新たなアドウェアやマルウェアが依然として報告され続けている。しかし同社は、PHAがインストールされているデバイスの割合は実際には低く、Google Playストアのみからアプリをインストールしているユーザーははるかに安全だと強調している。
▪️PHAにクリック詐欺アプリ(別名アドウェア)を含めるようになった結果、Google PlayストアからインストールされたPHAの割合は、2017年の0.02%から2018年に0.04%に上昇した。
▪️クリック詐欺アプリは、Google PlayストアからインストールされたPHAの約55%を占めており、他を大きく上回っている。その後にトロイの木馬が16%で続いている。
2019年4月2日火曜日
NTTコムがサイバー攻撃の分析サービスを強化、FortiGateの生パケットを即時解析
▪️米フォーティネット(Fortinet)のUTM(統合脅威管理)製品「FortiGate」からリアルタイムに情報を収集・分析するサービスを開始した。米パロアルトネットワークス(Palo Alto Networks)製のセキュリティー機器を対象にしていた従来サービスの対象デバイスを拡大した。
▪️FortiGateにパケットのキャプチャー・データを収集するAPIを追加した。サイバー攻撃に使われた生パケットをリアルタイムに解析することで、NTTコムのSOC(セキュリティー・オペレーション・センター)で実施するサイバー攻撃の分析速度や精度を高められる
2018年の「不正アクセス認知」1486件 - 前年比284件増
▪️管理者別認知件数では、「企業」が1314件、「大学、研究機関など」が161件、「行政機関など」が6件、「プロバイダ」が4件だった。
「なりすまし」による不正アクセスで顧客情報が閲覧された可能性(ディノス・セシール)
▪️中国及び国内の同一IPアドレスより外部で不正に取得したと推測されるID(メールアドレス)とパスワードを使用して2,929回にわたる「なりすまし」による不正アクセスが行われ、そのうち6件が不正ログインされ6名分の氏名、会員ランク、保有ポイント数の顧客情報が第三者に閲覧された可能性が判明したというもの。
▪️同社では本件判明後に不正ログインされたIDに対しログインできないように対応し、不正アクセスが行われた特定IPアドレスからのアクセスをブロックした。
2019年4月1日月曜日
「サイバーセキュリティ経営ガイドライン」の実践事例集--IPAが公開
サイバーセキュリティ経営ガイドラインが指示する「重要10項目」
- サイバーセキュリティリスクの認識、組織全体での対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策のための資源(予算、人材など)確保
- サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- サイバーセキュリティリスクに対応するための仕組みの構築
- サイバーセキュリティ対策におけるPDCAサイクルの実施
- インシデント発生時の緊急対応体制の整備
- サプライチェーンセキュリティ対策の推進
- ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策および状況把握
- 情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供
RDP経由でランサムウェアに感染するケースが増加--四半期レポート(ラック)
https://scan.netsecurity.ne.jp/article/2019/03/26/42131.html
▪️また、ランサムウェアによりデータが暗号化された組織からの相談が増加傾向にあるが、インターネットからRDP(Remote Desktop Protocol)接続されて、ランサムウェアを実行されたことが原因だという。APT攻撃と推測されるインシデントの相談も複数の組織から受けているが、これらには過去にもAPT攻撃を受けているケースが多く、攻撃者グループは同一の標的を執拗に狙っているとしている。
▪️2018年10月から12月までの「サイバー119」の出動傾向では、引き続きMicrosoft Office 365のクラウド型メールサービスを不正に利用された組織からの相談が多かった。
→これは、フィッシングメールにより誘導された偽のOffice 365ログイン画面にアカウント情報を入力してしまい、窃取されたものとみられる。
▪️また、ランサムウェアによりデータが暗号化された組織からの相談が増加傾向にあるが、インターネットからRDP(Remote Desktop Protocol)接続されて、ランサムウェアを実行されたことが原因だという。APT攻撃と推測されるインシデントの相談も複数の組織から受けているが、これらには過去にもAPT攻撃を受けているケースが多く、攻撃者グループは同一の標的を執拗に狙っているとしている。
ASUSの自動更新を悪用したサプライチェーン攻撃、ユーザーにマルウェア配信
▪️ASUS Live UpdateはASUS製のコンピュータにプリインストールされているユーティリティーで、BIOSやドライバなどの自動更新に使われている。この仕組みを突いたサプライチェーン攻撃は、2018年6月~11月にかけて発生していた。
▪️不正な更新プログラムには正規の証明書が利用され、ASUSの正規のサーバでホスティングするなど巧妙な手口を使って、長期間にわたって発覚を免れていた。こうした手口からKasperskyでは、非常に高度なサプライチェーン攻撃だったと指摘する。同社はこの攻撃を「ShadowHammer」と命名している。
SOCの活動は脅威検知とインシデント対応にシフト--Gartner
▪️SOCは、ネットワーク上にサイバー攻撃の兆候や疑わしい行動がないかどうかを監視するとともに、社内のセキュリティの管理や手続きを改善する役割を担うサイバーセキュリティの専門家チームだ。
▪️最近のSOCは、新たな脅威が増え続けている状況に対応するため、資金やリソース、時間を投じる対象を、脅威の防止から脅威の検知と積極的な対応へと移しつつあることを明らかにした。
▪️2022年までに全SOCの50%がインシデント対応、脅威インテリジェンス、脅威検知能力の機能を取り込むようになるという。2015年には、これらの機能を備えたSOCの比率は10%だったと推定されている。
▪️「セキュリティリスク管理(SRM)のリーダーは、脅威インテリジェンスを統合し、セキュリティアラートを集約し、対応を自動化できるSOCを構築するか、アウトソースする必要がある。その重要性はどれだけ強調しても足りない」と述べている。
▪️サイバーセキュリティ分野におけるもう1つの戦略の変化として、パスワードレス認証の採用について挙げている。
▪️「Touch ID」などのバイオメトリクス認証サービスがすでによく利用されるようになっているほか、Googleは最近、「Android」デバイスにアプリベースのパスワードレス認証を導入するために、FIDOアライアンスの認証を取得している。
▪️「パスワードを使わない認証方式は、ユーザーとデバイスを結びつけることで実現される仕組みで、クラウドベースのアプリケーションにアクセスしようとパスワードを狙うハッカーに対抗するための取り組みであり、セキュリティと使いやすさを両立するものだ。
大学・研究機関等への不正アクセスが増加、侵入後はメール盗み見が1位(総務省、経済産業省、警察庁)
▪️不正アクセスの認知件数は1,486件で、平成26年から減少傾向が続いているが、前年(1,202件)からは284件増加した。不正アクセス行為を受けた管理者では、引き続き「一般企業」が1,314件で突出して多いが、「大学、研究機関等」が前々年の2件、前年の5件から161件へと大幅に増加している。
▪️認知の端緒は、「利用権者(利用者)からの届出」が852件と全体の57.3%を占めている。「不正アクセスを受けたアクセス管理者からの届出」は345件で23.2%であった。
▪️不正アクセス後の行為では、「メールの盗み見等の情報の不正入手」(385件:25.9%)でもっとも多かった。
▪️4年にわたり1位であった「インターネットバンキングでの不正送金等」は(330件:22.2%)で2位となっている。以下、「オンラインゲーム・コミュニティサイトの不正操作」(199件:13.4%)、「仮想通貨交換業者等での不正送信」(169件:11.4%)、「インターネットショッピングでの不正購入」(149件:10.0%)と順位に変動が認められた。
▪️検挙した不正アクセス禁止法違反に係る被疑者の年齢は、「14~19歳」と「20~29歳」がともに48人(27.7%)でもっとも多かった。
▪️14~29歳で全体の55.4%を占める。なお、不正アクセス禁止法違反として補導または検挙された者のうち、最年少は11歳、最年長は66歳であった。
▪️被疑者と利用権者の関係では、「元交際相手や元従業員等の顔見知りの者によるもの」が108人でもっとも多く、「交友関係のない他人によるもの」(53人)、「ネットワーク上の知り合いによるもの」(12人)と続いている。
▪️手口では、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が278件で55.4%を占め、「識別符号を知り得る立場にあった元従業員や知人等によるもの」が131件(26.1%)でこれに続いた。動機では、「顧客データの収集等情報を不正に入手するため」(195件:37.5%)がもっとも多く、「好奇心を満たすため」(103件:19.8%)、「オンラインゲームやコミュニティサイトで不正操作を行うため」(101件:19.4%)という順番となっている。
登録:
投稿 (Atom)