コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。連載記事一覧を見るには、こちらをクリックしてください。

デジサートニュース

• DigiCert ONE のマネージャが顧客により良い価値を提供できるよう、製品名称を変更することにしました。名称の変更は、デジサートのデジタルトラストへの注力の一環として行われました。この取り組みを通じて、ビジネス中断のリスクの低減、攻撃対象の保護、敏捷性の向上、イノベーションの促進が実現されます。
• デジサートは、認証マーク証明書（VMC）を全世界の 30 以上の国々のさらに 6 つの商標庁と政府マークに提供するようになりました、VMC は、BIMI （Brand Indicators for Message Identification、メッセージ識別用ブランドインジケーター）の取り組みの一環として提供されるもので、それを利用する企業は、視覚的なインジケーターを通して自分のブランドをメールに表示でき、それはメールが開かれる前に示されます。商標は、民間組織が自分のロゴを登録して保護する手段ですが、政府機関は自分のマークを別の方法で登録しており、多くの場合、法律制定を経ます。こうした違いを考慮して、政府機関が公印の VMC を取得する際に、商標登録ではなく授権法規を提出できるように VMC の要件は更新されました。政府マークは VMC 商標が現在認められているすべての国で有効であり、EU 全域でも有効です。

IoT

• 米国商務省標準化技術研究所（NIST）は、軽量電子デバイスとその通信用の正式な暗号化標準として「Ascon」を選定しました。このようなデバイスの処理力とストレージは限られていますが、それに対応したこの標準を採用することで、企業、メーカー、重要なインフラストラクチャ産業は、運用技術を標的とする攻撃からデータやデバイスをより効果的に保護できるようになります。しかし、IoT ベンダーはサイバーセキュリティのベストプラクティスに遅れをとっている状態です。そのため、強固な認証機能がなかったり、パッチの配布やインストールが容易でなかったりすることがあります。また、デバイスの活動の可視性が低いこともあります。

欧州規格

• 欧州議会の産業・研究・エネルギー委員会は、欧州デジタル ID ウォレットに関する提案を採択しました。これにより、ユーザーはオンライン上で自身を認証できるようになります。このウォレットを使用すると、EU 市民は EU 内の国境を越えて主要な公共サービスを受けられるようになります。その一方で、自分のデータを制御して、どの情報を誰と共有するかを決定できます。このウォレットにより、電子署名の採用が一層進むものと見られています。また、欧州議会議員は、プライバシーおよびサイバーセキュリティの向上と、商取引の説明責任を確保する対策を提案しています。

米国基準

• カリフォルニア州控訴裁判所が下した最近の決定は、電子署名は手書きの署名と比べて、追加の証明が必要であることを示唆しています。「手書きの署名と電子署名は、認証後には同じ法的効力を有するが、これらの 2 つを認証するのに必要な証拠にはかなりの違いがある」と判事は述べました。また、後で手書きの署名を思い出すのは簡単である一方、電子署名はそうではないことが指摘されました。このような決定が下されているため、管轄内の電子署名の要件に一層注意を払う必要が生じています。そして、署名者を明確に認証する電子署名を使用し、署名の強力な証明を提供する必要があります。

量子コンピュータ

• サセックス大学の科学者は、量子コンピュータの開発に向けて重要な一歩を踏み出しました。具体的には、2 つのコンピュータチップ間での量子情報の転送をかつてない精度とスピードで行うことに成功しました。現在の量子コンピューティングテクノロジーでは、一度に 1 つのチップで問題を解決しています。研究者は、複数のチップを同時に利用して計算を行うコンピュータの開発を目指しています。量子情報は、ゼロと 1 の情報にとどまらない多様なものなので、チップ間で高精度の転送を行える機能は重要です。この画期的な成果により、強力な量子コンピュータを開発する目標が実現に近づいたと言えます。この量子コンピュータによって、現在のコンピュータでは解けない複雑な現実世界の問題が解けるようになります。
• Google 社は、量子エラー訂正機能を量子プロセッサ Sycamore で実演し、同じ数の量子ビットでパフォーマンスを向上させました。エラー訂正では、エラー訂正された論理量子ビットが作成されます。具体的には、一連のつながっている量子ビットの間に量子状態を分配し、論理量子ビットの各メンバーの隣に追加の量子ビットを配置します。この機能は初めて実演されたものですが、大量の論理量子ビットで明確な効力を発揮するには、ハードウェアの量子ビットのパフォーマンスを 20% 以上向上させる必要があると Google 社は見ています。
• 耐量子コンピュータ暗号として NIST が推奨する Kyber 鍵カプセル化は解読されていませんが、ストックホルムのスウェーデン王立工科大学の研究者は、再帰的トレーニング AIをサイドチャネル攻撃と組み合わせて実行することで、特定の実装に対するサイドチャネル攻撃の様子を再現しました。この研究が示しているのは、急速に進化する人工知能により、従来の暗号化アルゴリズムと耐量子コンピュータ暗号化アルゴリズム、そしてそれぞれの実装において、欠陥が特定されるスピードが加速度的に増す可能性があるということです。これは、進化する脅威から保護する上で暗号化の俊敏性が欠かせないことを改めて認識させるものです。

脆弱性

• SentinelLabs の研究者は、サイバー犯罪者がマルバタイジング（悪質な広告）を使って仮想化された .NET ローダーを配布しようとしていることを見つけました。それにより、ダークウェブで販売されている Formbook や XLoader などのマルウェア（情報を盗難するマルウェア）を配置しています。MalVirt と呼ばれるこれらのローダーは、.NET アプリケーション用の正式な KoiVM ツールを通じて仮想化を利用し、実装と実行を見つけにくくしています。マルバタイジングへの移行は、Microsoft 社が Word、Excel、PowerPoint といったアプリケーションのマクロをデフォルトでブロックするようになったことを受けてのサイバー犯罪者の対応です。

データ侵害

• GoDaddy 社は、米国証券取引委員会への報告の中で複数年にわたるセキュリティ侵害があったことを報告しました。2020 年～2022 年までに発生した 3 件のセキュリティイベントによって、企業のソースコードと従業員ログインクレデンシャルの盗難、マルウェアのインストールが発生しました。2022 年 12 月に起きた最近のイベントでは、GoDaddy 社がホスティングする Web サイトの管理に使用する cPanel ホスティングサーバーをハッカーがアクセスし、マルウェアをインストールしました。これにより、一部の顧客 Web サイトが悪意のあるサイトに断続的にリダイレクトされるようになってしまいました。GoDaddy 社での調査は続いています。
• LastPass 社は、12 月に発生したデータ侵害について新たな詳細を公開しました。それによると、攻撃者は DevOps シニアエンジニアのコンピュータにあるキーロガーを使用して、暗号化されたパスワード Vault データと顧客情報を 2 カ月以上にわたり盗み出していました。ハッカーは、リモートコード実行の脆弱性を悪用してキーロガーをインストールし、DevOps エンジニアの LastPass 企業 Vault へのアクセス権を得ました。これにより、企業のネイティブ Vault エントリ、共有フォルダのコンテンツ、暗号化されたセキュアノートのエクスポートが可能になり、AWS S3 LastPass 運用バックアップやその他のクラウドベースのストレージリソースにアクセスするための権限や復号鍵も取得できるようになりました。
• 暗号通貨取引プラットフォームCoinbase は、従業員がサイバーセキュリティ攻撃の標的にされ、企業のディレクトリから従業員名、メールアドレス、電話番号を含む、一部のデータが外部に漏れたことを明らかにしました。このインシデントは、従業員が SMS フィッシングキャンペーンの標的となった 2 月 5 日の後に発生しました。そのうちの 1 人は被害にあってしまいましたが、サイバー制御チームの対応により、攻撃者がシステムへの直接的なアクセスを得て、顧客情報を入手する事態は未然に防がれました。
• Atlassian 社は、サードパーティアプリが攻撃されたことによってデータ侵害の被害に遭いました。データ侵害の結果、従業員名、メールアドレス、所属部署、オフィスの見取り図などの社内データが外部に漏洩しました。データ侵害の原因は、ハッカーが Atlassian 社の従業員クレデンシャルへのアクセス権を得た後、Envoy アプリに保管されていた、企業の従業員ディレクトリや のオフィスの見取り図にアクセスできたことによります。ただし、Envoy のシステムには影響がありませんでした。

マルウェア

• 人気のあるソフトウェアダウンロードに関する Google 検索の結果は、悪意のある攻撃者の標的となっています。これらの攻撃者は、推奨される検索結果内に偽のダウンロードリンクを作成して、疑いを持たないユーザーにマルウェアを配布しようとします。このような不正なページは、広告をクリックするユーザーをマルウェアにリダイレクトします。Google に発覚するのを避けつつこのようなふるまいを行います。これらのキャンペーンに関係しているマルウェアは、Formbook、IcedID、MetaStealer などで、広く知られている企業の電子署名を悪用し、ウイルス対策プログラムによる検出を回避しています。Google 広告がこのマルバタイジングに対応するまで、ソフトウェアダウンロードを見つける際には別の方法を探ることをお勧めします。
• 米国連邦保安官局（USMS）は、2 月 17 日にランサムウェア攻撃を受けました。このため、影響を受けたシステムが切断され、フォレンジック調査が立ち上げられました。システムには、調査対象、第三者、USMS 局員の個人情報など、法執行の機密情報が格納されていました。USMS はまだ攻撃の加害者を特定できておらず、システムのロックを解除するために身代金を支払ったかどうかも明らかにしていません。

TLS/SSL

• Chrome の証明書の透明性ログ（CT Log）リストに関するファイル形式の変更を受けて、多くの Android アプリは一時機能しなくなりました。これは開発者が必要な変更を加えなかったからです。Google 社はこの変更について 2021 年 11 月に発表しており、2022 年 8 月に影響を受けるアプリの開発者にこのことを通達しています。しかし、Google 社はファイル形式をすぐに元に戻すことにしました。
• CA/B フォーラムミーティングの後、Chrome は既存のポリシーへの予定されているアップデートを発表しました。これには、証明書の有効期間を 90 日間にまで短縮することも含まれます。CA/B フォーラムにおける議論を要約する次のブログ投稿では、このアップデートとその他の詳細について説明していきます。