ランサムウェアの脅威が増大し、国家を超えた対処が必要とされる中、セキュリティの権威は、その変遷を紹介。さらに、犯罪者グループがAIへの投資を加速させるなか、高度な認証やバックアップの重要性を訴える。サプライチェーンセキュリティの強化が喫緊の課題となっている。
Tag: JPIT risk & security
企業のセキュリティ対策は生成AI活用などで改善傾向に–Splunk調査
“サイバーセキュリティ調査報告書”が公表された。調査によると、企業のセキュリティ対策は改善し、AIの活用やコラボレーションによる効果が見られる。主な取り組みとして、セキュリティ対策の容易化、生成AIのポリシー導入、セキュリティチームへのAI活用などが挙げられた。セキュリティ業界ではAIを活用した攻撃への懸念も高まっており、将来のセキュリティ重点はAIになる可能性が高い。
アイデンティティーを狙う攻撃に多層防御で備えてほしい–Oktaに聞く推奨策
Oktaの調査で、クレデンシャルスタッフィング攻撃が増加しており、多層防御が必要と報告。日本でもフィッシング脅威が拡大。フィッシング対策協議会のデータによると、フィッシング報告件数が86倍に増加。企業や組織は、Authenticatorやポリシーなど多層的な認証保護策を導入する必要がある。(__50__ words)
アップル製デバイスを狙う新たなパスワードリセット攻撃が登場
セキュリティ関連のブログサイトKrebsOnSecurity.comを運営するBrian Krebs氏は米国時間3月26日付の投稿で、Appleのパスワードリセット機能を悪用したとみられるハッキング攻撃がこのところ発生しているとし、そうした攻撃を受けたユーザーの体験を報告している。それによると攻撃者は、Appleのパスワードリセットツールを使用し、「Apple ID」のパスワードをリセットするよう求める通知を数百件とはいかないまでも、数十件単位で標的に送りつけたという。ユーザーがこれら通知のうちの1つにでも「Allow」(許可する)を選択してしまうと、攻撃者はユーザー認証情報のリセットに向け、1歩近づくことになる。このデバイスを使って新たなパスワードを設定できるようになるためだ。しかも残念なことに、全ての通知に対して「Don’t Allow」(許可しない)を選択したとしても問題が解決するわけではない。 同投稿によると、標的になった人々がパスワードのリセットを許可しないという選択肢を選ぶと、Appleのサポートチームを名乗る攻撃者からの電話がかかってきたという。攻撃者の目的は、ユーザーのデバイスにパスワードのリセットコードが送信されるよう仕向け、ユーザーからそのコードを聞き出すことだとされている。コードが分かれば、Apple IDのパスワードをリセットし、標的としているユーザーのアカウントへの全面的なアクセスを得ることができる。 Krebs氏に情報を提供した人々は、こうした通知に対して「許可する」を選択しなかったため、許可した場合に攻撃者が何をしようとしたのか明らかではない。おそらく許可した場合でも、Appleサポートを名乗って標的に電話をかけ、デバイスのパスワードをリセットするよう仕向け、そのパスワードを聞き出そうとしていただろう。 このMFA爆弾攻撃の影響を受けたAppleユーザーの数は不明だ。しかし、Krebs氏の情報源は、「iPhone」「Apple Watch」「Mac」で通知を受け取ったと報告しており、この攻撃が1種類のAppleデバイスだけに限定されたものではないことを示唆している。さらに悪いことに、この攻撃を止める簡単な方法はない。 情報提供者の1人は、この攻撃に関してAppleに支援を求めたところ、Apple IDのパスワードを変更する際に必要となる28文字からなる復旧キーを作成しておくよう告げられたという。しかし、復旧キーを作成してあったとしても、攻撃者から複数の通知が送り付けられてくるのを防ぐことはできないとKrebs氏は述べている。この問題はどうやらAppleのパスワードリセット機能そのものにあると言えそうだ。このため、同社がその仕組みを変更するまで攻撃者はこの手法を用いてユーザーを狙い続けるだろう。 今のところAppleユーザーにとって唯一の選択肢は、常に情報を入手し、警戒を怠らないことだ。突然パスワードリセットのリクエストが大量に送られてきたら、必ず通知で「許可しない」を選ぼう。通知のせいでデバイス上のアプリやサービスを利用できないからといって、「許可する」を選んではならない。いずれにせよ着信に備え、決して応答しないことだ。 また、Appleはユーザーに直接電話をかけることはないと明言している。そのため、Appleのサポートに見せかけた電話番号からかかってきた場合は、決して応答せず、ましてや発信者に情報を提供することがあってはならない。 この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。 ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料) Original Post>
サイバー攻撃の侵入成功から侵害開始までは平均62分–クラウドストライク報告書
クラウドストライクは2024年版グローバル脅威レポートを発表。サイバー攻撃の侵入成功から侵害開始までは平均62分で、クラウド環境の侵害が増加。加藤氏は脆弱性の悪用やソーシャルエンジニアリングなど攻撃手法の高度化を指摘。クラウドセキュリティ対策と教育の重要性を強調。2024年の脅威としてAIの悪用による攻撃増加や政治への便乗も懸念される。
グーグル、新たなセキュリティサービス–AWSやAzureに対応
Google Cloudは、新たなセキュリティサービス「Security Command Center Enterprise(SCCE)」を発表しました。このプラットフォームは複数クラウド対応で、オンプレミスを含むセキュリティリスクに対応します。また、AIを活用し、セキュリティ脅威への対応を迅速化します。GAは4月上旬を予定しています。
生成AI使用企業は35%、情報漏洩やハルシネーションなど懸念か──ITR・JIPDEC調査
日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は、国内企業983社のIT戦略策定または情報セキュリティ施策の従事者を対象に共同で実施した「企業IT利活用動向調査2024」の結果を発表した。 調査概要 調査期間:2024年1月19~23日 調査方法:Webアンケート形式 調査対象:従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約1万7,000名 有効回答:983名(1社1名) 生成AIの使用企業は35.0%、導入進行中が34.5%となり、今後急速な拡大が見込まれる 業務における生成AIの使用状況について質問したところ、「会社で構築・契約した生成AIを使用している」が15.9%、「各自で契約・登録した生成AIを使用している」が19.1%となり、合わせて35.0%の企業が生成AIを使用していることがわかった。また現時点では、企業が用意した生成AIよりも、従業員個人が登録した生成AIが多く使用されている状況にある。しかし、「会社が生成AIの導入を進めている」が34.5%を占めていることから、今後、会社で構築・契約した生成AIを導入して業務で活用する企業が急速に増えていくとみられる。 図1:業務における生成AIの使用状況 [画像クリックで拡大表示] 生成AIの使用においては、機密情報の漏洩とハルシネーションが大きな懸念点となっている 生成AIに関する利用規定やガイドラインを策定している企業の割合は、会社で構築・契約した生成AIを使用している企業では68.6%に上ったのに対し、各自で契約・登録した生成AIを使用している企業ではわずか9.0%にとどまった。また、生成AIを使用していくうえでの懸念点を質問したところ、企業で構築・契約した生成AIを使用している企業では、「社内の機密情報(個人情報含む)を生成AIの学習データとして使用し情報漏洩する」が最多の67.3%に上った。 一方、各自で契約・登録した生成AIを使用している企業では26.1%にとどまり、これらの企業では利用規定もほとんど策定されておらず、情報漏洩リスクに対する危機感が薄いことがわかった。また、各自で契約・登録した生成AIを使用している企業では、「生成AIが出力した偽情報を従業員が信じ業務で使用する」が46.3%で最多となり、会社で構築・契約し使用している企業でも42.3%となった。業務で生成AIを使用していくうえでは、ハルシネーションに対する懸念や不安が多いことが明らかになったという。 図2:生成AIを使用していくうえでの懸念点 [画像クリックで拡大表示] DXでは「業務のデジタル化・自動化」に取り組む企業の半数が成果を出しているが、ビジネス成長に向けた取り組みでは成果を出している企業がまだ少ない DXを実践している企業に対して、具体的な取り組み内容とその成果について質問した。社内の業務や働き方に関するDXを「内向きのDX」、顧客向けの新たな製品やサービス、マーケティングに関するDXを「外向きのDX」と分類。「内向きのDX」で最も取り組みが進んでいるのは「業務のデジタル化・自動化」であり、50.8%の企業で成果が出ており、次いで「ワークスタイルの変革」では36.9%が成果が出ていると回答した。 一方、「外向きのDX」において最も成果が出ているのは、「データに基づいた営業・マーケティングの高度化」で28.9%となり、次いで「顧客体験や顧客接点のデジタル化」が28.5%となった。ただし、「外向きのDX」の取り組みは、いずれも取り組んではいるが成果が出ていない割合がより高い結果が見て取れる。今後は「外向きのDX」でいかに成果を出し、ビジネスの成長や顧客満足度の向上を図っていくかが重要になっていくという。 また、DXを実践していくうえでの課題について質問したところ、52.4%と過半数の企業が「情報セキュリティ対策」を課題と認識していることがわかった。その他の課題としては、「DX人材の育成と獲得」が38.8%、「従業員のDXに対する理解や協力姿勢」が38.1%、「新しいデジタル技術の選定と導入」が37.5%となった。 図3:DXの取り組み内容と成果の状況 [画像クリックで拡大表示] ランサムウェアの感染経験のある企業は47.1%。身代金を支払った企業の3分の2が復旧できず ランサムウェアの感染被害の経験について質問したところ、47.1%がランサムウェアの感染経験があることがわかった。このうち、「感染被害に遭い、身代金を支払ってシステムやデータを復旧させた」が9.0%、「感染被害に遭い、身代金を支払ったがシステムやデータは復旧できなかった」が17.9%となり、合わせて26.9%が身代金を支払った経験を持つが、このうち3分の2は復旧できなかったことになるという。 サイバー攻撃対策について「極めて優先度が高く、積極的に投資を行っている」企業は37.5%、「優先度が高く、継続的な投資を行っている」が36.7%となり、今後もサイバー攻撃対策への投資は一層拡大していくと同社はみている。また、情報漏洩対策についても、「極めて優先度が高く、積極的に投資を行っている」企業が27.1%、「優先度が高く、継続的な投資を行っている」は44.9%に上り、外部向けだけではなく、内部向けのセキュリティ対策への投資も重点的に行われていることがわかった。 図4:ランサムウェアの感染被害の経験
CloudNative Days Tokyo 2023から、Yahoo! JAPANを支えるKaaS運用の安定化やトイル削減の取り組みを紹介
2023年12月11日、12日の両日にハイブリッド形式で開催されたCloudNative Days Tokyo 2023から、LINEヤフーの社内KaaSプラットフォーム「ZCP」のSREが、Kubernetesプラットフォームの運用と改善について紹介。SLI/SLOの導入やノイジーネイバーの特定による信頼性向上やトイル削減、アラートの分類と対策、UX向上の取り組みを報告。ZCPは100万コンテナを5年間スケーラブルに運用、信頼性・安定性、トイル削減、UXの3つを優先順位とするプロダクトビジョンを持ち、改善段階ごとに課題に取り組んでいる。
NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円
NTT(持株会社)は、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえ、約300億円を投じて対策を発表した。この対策には、緊急対策と本格対策の2段階が含まれており、それぞれ実施計画が進行中。NTTは内部不正に加え、外部からのサイバー攻撃にも対応する姿勢。
2024年のサイバーセキュリティ予測–AI、クラウド、CISOの変化など
2024年のサイバーセキュリティの予測では、AIの悪用が拡大し、クラウドセキュリティの取り組みが重要視される。企業や組織はAIのリスクを評価し、クラウドセキュリティ対策を強化する必要がある。CISOの役割もビジネスリスクとしての認識が進み、新たなスキルや連携が求められる見通し。
AI時代のメールセキュリティ技術とは–Check Point傘下のAvanan創業者に聞く
現在、メールはマルウェア感染の主要な入口であり、攻撃者はフィッシングサイトへのリンクを埋め込んだメールを送ることでユーザーにマルウェアをダウンロードさせる手口が主流となっています。しかし、生成AIの発展により、フィッシングメールの日本語文面が自然に見えるようになっており、検出が困難になっています。このような状況に対応するために、Check Point Software Technologiesはクラウドベースのメールセキュリティを提供するAvananを買収し、より高度なメールセキュリティソリューションの提供を開始しています。メールは依然として攻撃ベクターの大きな要素であり、日本を含む世界各地でフィッシングメールが観測されています。
重要なデータが集まるエンドポイントをどう守ればいいのか?「防御」と「侵入後の対策」から布陣を考える
サイバー攻撃対策技術を提供するCybereasonの特徴が、「Security Online Day 2023 秋の陣」で紹介されました。日本法人の今村友哉氏によると、同社のエンドポイント保護技術は、「MITRE Engenuity ATT&CK評価 第5ラウンド」で高評価を得ました。また、同社は直感的なUIと複数端末への一括対応機能、MDRサービスなどが評価されていると述べました。
Mandiantの脅威レポート作成者に訊いた、注目すべきポイント 選外となるも重要な2つのトピックも
Google Cloudの脅威レポート『Threat Horizons』(2023年8月)は、企業のクラウドサイバー脅威に係る情報提供を目指す。レポートは、認証情報に関連したインシデントが多いこと、特に通信業界のセキュリティに関心が高いことを示す。また、”ゼロトラスト”の推進、最新のセキュリティオペレーション導入の重要性を強調している。
第2回サイバー保険は、企業をどの程度守ってくれるのか?
サイバー攻撃の増加に伴い、企業は補償を求め、保険会社は保険料の引上げや適応基準を厳格化しています。しかし、サイバー保険は状況が急速に変化し、それぞれの事故が複雑であるため、完全な理解や対応が難しい領域であるとされています。サイバー保険への加入は必要ですが、保険は対策の一部で、事故が起きてしまった結果を完全に解決するものではないとの認識が必要です。