米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2023年10月5日(米国時間)、共同サイバーセキュリティアドバイザリー(CSA)を発表した。 この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順(TTP)を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。 NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。
関連キーワード サイバー攻撃 | セキュリティ | 脆弱性 セキュリティベンダーFortinetの製品に重大な脆弱(ぜいじゃく)性が見つかった。この脆弱性は、SQLクエリ(データベース言語「SQL」による問い合わせ)に悪意のある操作を挿入して標的システムでの実行を可能にする「SQLインジェクション」だ。共通脆弱性評価システム(CVSS)では最高スコア(10)に近い9.8と評価されている。極めて危険なこの脆弱性の影響を受けるのは、どの製品なのか。 すぐに対策が必要なFortinet製品はこれだ 併せて読みたいお薦め記事 脆弱性の知識を深めるには SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性 「手動ペネトレーションテスト」でしか調べられない脆弱性とは? Fortinetは2024年3月、SQLインジェクションと位置付けた脆弱性「CVE-2023-48788」を
Microsoft Incident Response lessons on preventing cloud identity compromise | Microsoft Security Blog
Microsoft observed a surge in cyberattacks targeting identities in 2023, with attempted password-based attacks increasing by more than tenfold in the first quarter of 2023 compared to the same period in 2022. Threat actors leverage compromised identities to achieve a significant level of access to target networks. The compromise of an identity, under certain circumstances, could enable threat acto
Cloudflareは2023年8月21日(米国時間)、2023年第2四半期(4~6月)におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。以下、グローバルなトラフィックに関する内容を要約する。 HTTPリクエストのみに焦点を当てると、2023年第2四半期にCloudflareは毎日平均1120億件のサイバー脅威をブロックした。これがレポートの根拠となるデータだという。データはCloudflareネットワーク全体で観察されたトラフィックのみに基づいて計算されている。 「軽減されたトラフィック」とは 関連記事 2022年に最も悪用された脆弱性は? Cloudflareが分析結果を発表「Log4jの脆弱性は桁違いだった……」 Cloudflareは、CISAが公開した「2022年に最も悪用された脆弱性」を参考に、同社のWAFで検出された脆弱性に対するリクエ
広告ブロッカーの素晴らしさをもっと認識しよう
これは別に大袈裟な表現ではないのですが、広告ブロッカーは本当に優れています。 2016 年に広告ブロッカーを使い始めてからというもの、私のインターネット使用体験は飛躍的に向上しました。今では、インフルエンサーのブログをランダムにチェックしても簡単に夕食のレシピが見つかるし、「車のヘッドライトの交換方法」を調べると以前よりも早く答えが得られます。何百ものマルバタイジングを回避できるようにもなりました。 ところが、YouTube が広告ブロッカーの利用を防ぐための新しいポリシーを打ち出したことで、広告ブロッカーの利用がますます物議を醸しています。新しい警告によると、広告ブロッカーの許可リストに youtube.com を登録しない限り、ユーザーは一定の本数の動画しか視聴できません。こうすることで YouTube 動画の前に広告が表示されるようにしているのです。 2 週間前にこの警告が表示された
JPCERT/CCは、2024年2月7日に制御システムセキュリティカンファレンス2024を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で16回目となります。 オンラインでの開催は今回で4回目となり、日本全国各地より419名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および7つの講演の様子を紹介いたします。 開会挨拶 経済産業省 サイバーセキュリティ・情報化審議官 上村 昌博 経済産業省サイバーセキュリティ・情報化審議官の上村氏より開会のご挨拶をいただきました。 近年、サイバーとフィジ
既知の悪用された脆弱性一覧 CISA KEVカタログCISA KEVカタログの概要と公開された背景、SSVCと呼ばれる優先順位付けのフレームワークの概要と実運用時の課題について紹介します。
CISAは1300人以上のサイバーセキュリティ人材をどうやって集めたのか?:Cybersecurity Dive サイバーセキュリティ人材の不足が全世界で叫ばれている。これを解消するために企業が取り組むべきことは何か。CISAが注意すべき2つの要素を紹介した。 有能なサイバー人材を探して確保することは、依然として課題だ。 サイバーセキュリティトレーニングを提供するISC2の調査によると(注1)、サイバーセキュリティに携わる専門家の数は過去最高であり、470万人に上る。しかし人材の空白を完全に埋めるためには、さらに340万人の従業員が必要になる。 セキュリティリーダーの大多数である70%が「自社の組織にはサイバーセキュリティを担当する十分な従業員がいない」と回答している。 サイバーセキュリティ人材を集めるために企業がすべき2つのこととは? セイバーセキュリティの分野で働く専門家に高い給与を支
米連邦政府のサイバーセキュリティ諮問機関CISAは4月11日(現地時間)、日本にも顧客を持つ米BI企業Sisenseが侵害されたとして、顧客に資格情報をリセットするよう推奨した。また、不審なアクティビティが検出された場合はCISAに報告するよう呼び掛けた。 CISAは、この侵害は独立系セキュリティ研究者が発見したもので、民間業界と協力して対応に取り組んでいるとしている。 Krebs on Securityが入手した侵害調査に詳しい情報筋の話によると、攻撃者は何らかの方法でSisenseのGitlabコードリポジトリにアクセスして侵害を開始したという。そのリポジトリにSisenseのAmazon S3バケットへのアクセストークンまたは認証情報が含まれていたとみられる。 Sisenseは10日、顧客に対し特定の企業情報が侵害されたと通知したという。同社からの公式な発表などはまだない。 関連記事
新手のVPNサイバー攻撃「TunnelVision」はどう危ない? 手法と対策を徹底解説(1/2 ページ) VPNを利用していても通信内容を盗まれてしまうサイバー攻撃の手法が見つかった。社外から社内にVPN接続した際にも情報が漏れるため、非常に危険だ。 セキュリティ企業のLeviathan Security Group(以下、Leviathan)は、2024年5月6日、VPN(Virtual Private Network、仮想プライベートネットワーク)通信の安全性を脅かす攻撃手法「TunnelVision」を公開した。この攻撃では、ユーザーがVPNを利用していたとしても通信の内容が漏れてしまう。さらに攻撃されていてもユーザー側からは安全にVPNで接続されているように見えるため、非常に危険だ。 まずは対策や企業に対する影響を紹介した後、攻撃の内容を解説する。 どうすればTunnelVisi
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After observing a few odd symptoms around liblzma (part of the xz package)
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects | OpenJS Foundation
Community Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source ProjectsXZ Utils cyberattack likely not an isolated incident By: Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated in
How Microsoft is expanding cloud logging to give customers deeper security visibility | Microsoft Security Blog
In response to the increasing frequency and evolution of nation-state cyberthreats, Microsoft is taking additional steps to protect our customers and increase the secure-by-default baseline of our cloud platforms. These steps are the result of close coordination with commercial and government customers, and with the Cybersecurity and Infrastructure Security Agency (CISA) about the types of securit
Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起
HOME緊急情報を確認するBarracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起 JPCERT-AT-2023-0017 JPCERT/CC 2023-09-05 I. 概要2023年8月23日(現地時間)、米連邦捜査局(FBI)はBarracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用した攻撃について、すでに修正対応などを済ませたユーザー組織においても追加で侵害調査を行うよう再度の注意喚起を公開しました。また同月29日、同脆弱性の悪用事案に関する調査を行っているMandiantは追加の分析レポートを公表し、5月以降に本脆弱性の影響を受けてBarracuda Networksから通知を受けたユーザー組織のうち、限定された数のユーザ
公共図書館におけるサイバーセキュリティ対策の実践方法について 成田市役所,日本図書館協会認定司書2052号(2022.4~2032.3):米田渉(よねだわたる) 1. はじめに 本稿は、サイバー攻撃が企業だけでなく病院や図書館といった公共施設にも及ぶこととなった昨今の状況を踏まえ、公共図書館におけるサイバー攻撃の事例と併せ、地方自治体情報システムと比較した公共図書館の図書館システムの特徴を概観し、そのセキュリティ対策を提案するものである。また、公共図書館の運営に係るセキュリティ対策だけでなく、利用者へのリテラシー向上のために公共図書館が気を付ける点についても言及している。 2. 一般的なサイバー攻撃と図書館における被害及び発生事例 独立行政法人情報処理推進機構(IPA)の『情報セキュリティ白書2023』(1)で主要なサイバー攻撃として挙げられているものの内、公共図書館に関連のあるものとして
米国務省などの電子メールを狙った不正アクセスの被害が7月に発覚した。米ワシントンポストの報道によると、8月には日本でも機密防衛ネットワークが不正侵入を受けていたという。米政府などは、いずれも中国のハッカー集団が関与していたとして警戒を強めている。 米国務省や商務省の電子メールシステムに侵入していたのは「Storm-0558」と呼ばれる組織。米Microsoftはその正体について「“ある程度の確信を持って”中国を拠点とするスパイ目的のハッカー集団だ」と推測している。その根拠は、Storm-0558の活動時間が中国の一般的な勤務時間(月~金曜の午前8時~午後5時)と一致していることなどだ。 Storm-0558は主に米欧の政府機関や台湾、新疆ウイグル自治区とつながる人物などを標的にしているとみられ、狙った組織の環境やポリシーなどを詳しく把握した上で攻撃を仕掛ける。Storm-0558は高度な技
米国や英国を含む18カ国は現地時間11月26日、人工知能(AI)を「設計段階から安全に」開発するための措置を講じることを約束する国際協定に署名しました。同日に発表された20ページの文書において、AIを設計、利用する企業は、悪用から顧客や一般市民を守る措置を講じてAI開発及び導入する必要があると18カ国が合意しています。 ■3行で分かる、この記事のポイント 1.米国を含む18カ国、企業に安全なAI開発を促すガイドラインに署名。 2.協定に拘束力はなく、データーの改ざんを防ぐことなどを推奨する内容。 3.欧州連合(EU)は、AI規制法の制定を目指している。 18カ国がガイドラインに同意 この協定に拘束力はなく、AIシステムが不正利用されないよう監視し、データーの改ざんを防ぎ、ソフトウェアサプライヤーを厳選するよう推奨する内容となっています。 米国サイバーセキュリティ・社会基盤安全保障庁(CIS
Google Drive上の「リンクを知っていれば誰でも閲覧できる状態」のファイルを発見するには?(大元隆志) - エキスパート - Yahoo!ニュース
クラウドストレージ上に保存していたファイルが実はインターネット上の誰からでもアクセス出来る状態で保存されていた。このような報道が目につくようになってきました。 企業内の業務アプリがクラウドに移行しているため、クラウドに情報が集約される傾向にあります。特に公開権限の設定ミスは大きな事故に発展するリスクもあるので注意が必要です。 では、どのようにしてクラウドストレージ上に保存されているファイルの公開設定を確認すれば良いでしょうか? ■クラウド上に公開されているファイルの状態を可視化する Netskope等のSSE、またはSSPM製品を利用することでクラウド上に公開されているファイルの状態を可視化することが可能です。 以下にNetskopeのGoogle Drive API保護を利用しているケースにおいての可視化状態を示します。 NetskopeとGoogle DriveをAPI連携している状態
Inspector のコンテナイメージスキャンを CodeBuild で実行してみた #AWSreInvent | DevelopersIO
こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。 re:Invent 2023 にて、 Amazon Inspector が CI/CD 内で実行可能になりました。 そこで今回は、 CodeBuild のビルド処理中に、 Inspector のコンテナイメージスキャンを試してみようと思います。 やってみる前に まず、今回発表された Inspector の脆弱性スキャンは、従来提供されているようなコンテナイメージに対して直接スキャンするのではなく、 SBOM(ソフトウェア部品表) ファイルに対して、脆弱性スキャンをかけるような仕組みになります。そのため、脆弱性スキャンを実行する前に SBOM Generator で SBOM ファイルの生成が必要になります。 今回の機能に対応するために、 AWS から Amazon Inspector SBOM Gen
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国家安全保障局(NSA)は2023年10月4日(現地時間)、ID管理やアクセス管理において開発者や技術メーカーが直面する課題を評価し、対処できるようにするガイドライン「Identity and Access Management: Developer and Vendor Challenges」を公開した。 Identity and Access Management: Developer and Vendor Challengesは、CISAとNSAの主導で官民のクロスセクターパートナーシップを含む作業部会であるEnduring Security Framework(ESF)が取りまとめたもの。 今回のガイダンスは、重要インフラと国家安全保障システムを脅かすリスクに対処することを目的としており、同作業
【セキュリティ ニュース】ランサムウェア「Play」に警戒を - 米豪当局が注意喚起(1ページ目 / 全2ページ):Security NEXT
米豪当局は、北南米やヨーロッパなどで被害が拡大しているランサムウェア「Play」の攻撃手法など詳細を明らかにし、注意を呼びかけた。 2022年6月以降、活動が確認されている同ランサムウェアについて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、豪サイバーセキュリティセンター(ACSC)が共同でアドバイザリをリリースし、注意を呼びかけたもの。 攻撃グループは、ランサムウェアを用いてデータを盗み出し、さらに利用できないよう暗号化することで身代金を要求するいわゆる「二重脅迫」のモデルを採用していることで知られており、企業や重要インフラなどでも被害が発生した。 ファイルの拡張子を「.play」に変更する特徴があり、のこされる身代金のメモには要求金額など詳細は示されておらず、メールで連絡を取るよう促される。 FBIでは、10月の時点で同ランサムウェアに
Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies | Google Cloud Blog
Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies Written by: Matt Lin, Austin Larsen, John Wolfram, Ashley Pearson, Josh Murchie, Lukasz Lamparski, Joseph Pisano, Ryan Hall, Ron Craft, Shawn Chew, Billy Wong, Tyler McLellan Since the initial disclosure of CVE-2023-46805 and CVE-2024-21887 on Jan. 10, 2024, Mandiant has conducted multiple incident resp
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Foundation
XZ Utils cyberattack likely not an isolated incident By Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated incident as evidenced by a similar credible takeover attempt intercepted by the OpenJS Foundation, home to JavaScript projects used by
急増するGoogleフォームの設定ミス。考えられる原因と対策。(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 該当期間:(2024/07/01 - 2024/07/7) ■急増するGoogleフォームの設定ミス6月前後からGoogleフォームの設定ミスによる情報漏えいが相次いでいます。広く使われているサービスであり、他組織も誤った設定で意図せず情報漏えいとなってしまっている可能性があります。 ・松竹、Googleフォームの設定ミスで個人情報漏えいの可能性 ・ラストワンマイル、お客様情報の流出に関するお知らせとお詫び ・県立下田高「体験入学」申し込
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?:Cybersecurity Dive AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。 Amazon Web Services(AWS)は最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付けると発表した。将来的にはさらに多くのアカウントタイプに対して同義務を課していく。AWSはこの動きによって、ハイパースケーラーの中で初めて、MFAの基本的な制御をデフォルトで導入することになる。 AmazonのCSO(最高戦略責任者)のスティーブ・シュミット氏は2023年10月3日(現地時間、以下同)のブログ投稿で「AWSは、顧客のデフォルトのセキュリティ体制を
【セキュリティ ニュース】米当局、行政機関へ「Office」ゼロデイ脆弱性の緩和策実施を要請(1ページ目 / 全1ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「Office」に明らかとなったゼロデイ脆弱性について緩和策を講じるよう同国内の行政機関に求めた。 マイクロソフトが7月の月例セキュリティ更新で公表した「CVE-2023-36884」を、現地時間7月17日に「悪用が確認された脆弱性カタログ(KEV)」へ追加したもの。 現地時間7月11日に公開された月例セキュリティ更新では、「CVE-2023-36884」を含めて5件の脆弱性が悪用済みであることが明らかにされ、同庁では「CVE-2023-36884」を除く4件については即日同リストへ追加していた。 今回追加された「CVE-2023-36884」は、細工された「Officeファイル」を開くとバックドアなどに感染させられるおそれがある脆弱性。マイクロソフトではロシアのサイバー攻撃グループが脆弱性を悪用したとの見方を示してい
CISA forced to take two systems offline last month after Ivanti compromise
CISA forced to take two systems offline last month after Ivanti compromise Hackers breached the systems of the Cybersecurity and Infrastructure Security Agency (CISA) in February through vulnerabilities in Ivanti products, officials said. A CISA spokesperson confirmed to Recorded Future News that the agency “identified activity indicating the exploitation of vulnerabilities in Ivanti products the
手元にも来とる……XZ Utils (xz/liblzma) にバックドアが仕込まれたという脆弱性 CVE-2024-3094 が、その発生経緯と威力の面でやばそうで、かつ、自分の手元のPC (macOS) にも、脆弱性のある版が知らないうちにインストールされていたことが衝撃的なので、自分に関わる部分でのメモを残す。 nvd.nist.gov: NVD - CVE-2024-3094www.cisa.gov: Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISAwww.tenable.com: Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils - Blog
Linuxの重大なセキュリティバグが確認。修正済みであるもののパッチが適用されていない可能性もあり | ソフトアンテナ
米サイバーセキュリティー・インフラストラクチャー・セキュリティー局(CISA)が、Linuxに存在する重大なセキュリティバグを、現在活発に悪用されていることが確認されている脆弱性のリストに追加しました(Ars Technica)。 CVE-2024-1086として追跡されていて、深刻度は10段階中7.8となっています。 この脆弱性は、CおよびC++言語で記述されたソフトウェアにおいて、メモリ位置が解放または割り当て解除された後もプロセスがアクセスし続ける場合に発生する「use-after-free」エラーに起因しています。use-after-free脆弱性は、リモートコード実行や特権の昇格を引き起こす可能性があり、悪意の攻撃者がシステム特権を獲得する可能性があると考えられます。 LinuxカーネルのVersion 5.14から6.6に影響し、Netfilterを実現するカーネルコンポーネン
ランサムリークサイト観察記 2023年振り返り
■はじめに 情報窃取を伴うランサムギャングのリークサイトを観察しはじめたのは、コロナ禍と言われ始めた2020年頃でもう4年ほどが経ちました。過去には何度かその観察結果をまとめたエントリを書きました。お恥ずかしながら昨年、かまけてしまい2022年の振り返りを書くことができなかったので今年は書いてみようとふと思い立ってこれを書き始めています。(以後、出てくる数字はあくまでリークサイトの観察から自身が確認できたものですので実際の被害の件数とは異なることに注意してください) ■何を観察してきたか 観察の対象は、基本的にランサムギャングのリークサイトです。昨今のランサム攻撃は、皆さんがご存じの通りファイルやシステムのロックだけではなく、情報窃取型の脅迫や場合によっては身代金の支払いを急かすためにDDoSを行ったり、窃取した情報を元に利害関係者に連絡するというケースもあります。様々な方法で脅迫を行って
本レポートでは、2024年3月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年3月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は222件であり、1日あたりの平均件数は7.61件でした。期間中に観測された最も規模の大きな攻撃では、最大で約6万ppsのパケットによって612.30Mbpsの通信が発
15 open-source cybersecurity tools you'll wish you'd known earlier - Help Net Security
Please turn on your JavaScript for this page to function normally. Open-source tools represent a dynamic force in the technological landscape, embodying innovation, collaboration, and accessibility. These tools, developed with transparency and community-driven principles, allow users to scrutinize, modify, and adapt solutions according to their unique needs. In cybersecurity, open-source tools are
Open Source Security Foundation(OpenSSF)は2024年4月16日(米国時間)、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。 Protobomは、SBOM(Software Bill of Materials:ソフトウェア部品表)に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア(OSS)だ。商用およびオープンソースのアプリケーションに統合することもできる。 関連記事 「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開 Pyth
言うまでもなく、2023年は生成AI(人工知能)に沸いた1年だった。日本経済新聞社がまとめた「2023年ヒット商品番付」では生成AIが東の横綱、日経トレンディの「2023年ヒット商品」ではChatGPTが第1位に輝いた。 生成AIはサイバーセキュリティーの分野でも注目された。悪用が容易そうだからだ。様々な悪用方法や対策が攻撃者や研究者に検討されてきた。この流れは2024年も続くだろう。サイバーセキュリティーでは攻撃側が圧倒的に有利だ。守る側は最新の悪用方法をキャッチアップし、対策を施す必要がある。 NSA、FBI、CISAが警告リポートを公表 サイバーセキュリティー分野における生成AIの悪用としては、以下の3つが挙げられることが多い。 ・詐欺メールの作成 ・マルウエアの作成 ・偽画像/偽音声/偽動画の作成 これらのうち、今後最も脅威になりそうなのは偽画像/偽音声/偽動画の作成、いわゆる「デ
Datadog Japanは、2024年6月4日、DevSecOpsの現状を明らかにする調査レポート「State of DevSecOps 2024」を発表した。 本レポートでは、2024年2月から4月までに収集されたグローバルのデータに基づき「7つの考察」を示している。 Datadog Japanのシニアデベロッパーアドボケイトである萩野たいじ氏は、「昨今、データ侵害や重大な脆弱性に関するニュースが続いており、安全なコードを迅速かつ大規模に配布することは、ソフトウェア業界全体の課題になっている。これに対応すべく加速しているのが、DevSecOpsの採用だ。Datadogは、独自の調査と仮説に基づいて、DevSecOpsの課題ついて分析した」と説明する。 その1:サードパーティの脆弱性の影響を最も受けるのはJavaサービス 考察のひとつ目は、開発言語別の脆弱性が含まれるサービスの割合だ。言
【セキュリティ ニュース】「Apache ActiveMQ」の脆弱性が標的に - ランサム攻撃にも悪用か(1ページ目 / 全1ページ):Security NEXT
メッセージブローカー「Apache ActiveMQ」に脆弱性「CVE-2023-46604」が明らかとなった問題で、すでに実証コードが公開されており、悪用されていることがわかった。セキュリティベンダーや米当局では注意を呼びかけている。 「CVE-2023-46604」は、「OpenWire」の処理に不備があり、リモートよりコードを実行されるおそれがある脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10」、重要度は4段階中もっとも高い「クリティカル(Critical)」と評価されている。 開発グループでは現地時間10月26日、「Apache ActiveMQ」および「Apache ActiveMQ Legacy OpenWire Module」向けに脆弱性を修正したアップデートをリリースした。 Rapid7によると、現地時間10月27日に同脆弱性の悪用を試みた
【セキュリティ ニュース】クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に(1ページ目 / 全2ページ):Security NEXT
米政府は、ロシア政府が関与するサイバー攻撃グループ「APT29」が、クラウド環境を標的に攻撃を展開しているとし、手法や対策などを取りまとめ注意を呼びかけた。「初期アクセス」の獲得を阻止することが「最初の防衛線」になると対策の重要性を訴えている。 「APT29」は、別名「Cozy Bear」「Dukes」「Midnight Blizzard」としても追跡されているロシアの攻撃者グループ。過去に「SolarWinds」のサプライチェーン攻撃や、新型コロナウイルスワクチンの開発情報を狙った攻撃などに関与したと見られている。 米国家安全保障局(NSA)、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)をはじめとする米当局では、同グループがロシア対外情報庁(SVR)の一部である可能性が高いと分析しており、イギリス、カナダ、オーストラリア、ニュージランドなど
国内製造部門の83%が「サポートが終了しているレガシーOS」を継続利用している BlackBerry調査
BlackBerry Japanは2023年8月29日、「BlackBerry製造業サイバーセキュリティ調査」の結果を発表した。これは米国、カナダ、英国、ドイツ、日本、オーストラリアの製造業(「製造部門」を含む)に勤めるIT意思決定者、もしくはサイバーセキュリティ担当者を対象に実施し、1500人から有効回答を得た。それによると、過去1年以内にサイバー攻撃を受けた経験があると回答した割合は68%に上った。 日本は「事業継続を阻害し産業に損害を与える脅威」に対する懸念が強い 今回の調査で、2023年のサイバー攻撃リスクがこれまでと同様または上昇すると予測した国内の回答者は82%。「ITインフラよりもOperational Technology(OT)のセキュリティ対策が難しい」と回答した割合は61%だった。さらに、国内の回答者の72%(世界平均で75%)が「国家による製造業への攻撃」を恐れてお
Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~ - JPCERT/CC Eyes
はじめに 2024年6月25日、JPCERT/CCからVolt Typhoonの攻撃活動に関する注意喚起を発行しました。 重要インフラを狙う長期的な攻撃キャンペーンのインパクトやその戦術に注目が集まるところ、こうした脅威にどのようなアプローチで対応していけばよいのか考えてみたいと思います。 JPCERT/CC Operation Blotless攻撃キャンペーンに関する注意喚起 https://www.jpcert.or.jp/at/2024/at240013.html インディケータ情報依存からの脱却の必要性 今年の5月に開催されたRSAカンファレンスにて、FBI、NSA、CISA、Microsoftの各担当者がVolt Typhoonに関する共同セッションを行いました。 この発表において、NSAの担当者であるAdamski氏は、Volt Typhoonに関するNSAやCISAのアドバイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表
Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?
「Log4j」などの古い脆弱性は依然、大量に悪用されている
米CISAの国際ガイドラインに日本も署名。民主主義の価値を損なうサイバー攻撃から研究者・ジャーナリストらを保護
制御システムセキュリティカンファレンス 2024 開催レポート - JPCERT/CC Eyes
CVSS v4.0 主な変更点とよくある質問 | yamory Blog
CISAは1300人以上のサイバーセキュリティ人材をどうやって集めたのか?
米連邦政府、BI企業Sisenseの顧客に認証情報リセットを推奨
新手のVPNサイバー攻撃「TunnelVision」はどう危ない? 手法と対策を徹底解説
CA2061 – 公共図書館におけるサイバーセキュリティ対策の実践方法について / 米田 渉
警戒高まる中国のサイバー攻撃 その狙いは? 米サイバーセキュリティ機関は名指しで非難
米国を含む18カ国、企業に設計段階から安全なAI開発を促すガイドラインに合意 - iPhone Mania
MFAとSSOの導入・運用を助ける新たなガイドライン CISAとNSAが共同発表
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?
CVE-2024-3094: XZ Utilsにバックドアが仕込まれたという脆弱性の自分用メモ
wizSafe Security Signal 2024年3月 観測レポート
「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に? OpenSSFが発表
今後も続くサイバー攻撃者の生成AI活用、事例に見る「あなたもこうしてだまされる」
9割のJavaサービスにサードパーティ由来の脆弱性 ― Datadogレポート