デジタルトラスト 09-06-2022

デジタルトラストの最新ニュースです 2022年8月

デジサート
DigiCert blog image

コネクテッドワールドにおけるデジタルセキュリティに関する最新ニュースをお届けします。こちらをクリックすると、全シリーズをご覧いただけます。

IoT

脆弱性

  • GitHubがオープンソースのレジストリを保護するために、同社のnpmソフトウェアパッケージでコードサイニングの利用を開始します 。Log4Shellなどの脆弱性により、npm上のオープンソースパッケージが公開されているものと同じソースコードからビルドされている保証はないとの懸念が高まったため、このような動きが出てきました。コードサイニングビルドは、ソフトウェアがどこから来たかを認証し、デジタルな信頼性をさらに高めます。

マルウェア

  • マイクロソフト、新たなマルウェア「MagicWeb」を発見。SolarWindsと同じ攻撃者が開発したもので、任意の個人になりすまして認証できるようにするものです。MagicWebはマルウェアFoggyWebを進化させたもので、ハッカーが置き換えた「Microsoft.IdentityServer.Diagnostics.dll」のバックドアーバージョンで、アプリケーションが有効でないクライアント証明書を有効として受け入れるように強制するなど、さまざまな機能を実行できるようにしたものです。
  • Black Hatカンファレンスにて、 北朝鮮の攻撃者によるものとされている複数のマルウェアがBlack Hatのネットワークで発見されました。 Shlayer、NetSupport RAT、SHARPEXTマルウェアなどです。しかし、サイバーセキュリティ研究者やセキュリティ担当者を含む2万人の参加者がいることから、研究者はさらに多くのマルウェアが存在すると予想していました。

情報漏えい

  • LastPassは8月にハッキングされ ソースコードが盗まれようとしました。LastPassによると この攻撃は、漏洩した開発者アカウントを経由して行われましたが、顧客データやパスワードの漏洩はなかったとのことです。
  • 20万人の顧客にサービスを提供する英国の水道施設に侵入されました攻撃者が施設の完全なコントロールができた可能性があります。今回の事件は、水関連分野がいかに情報漏えいに脆弱であるか、また同分野で起こりうる被害がいかに大きいかを浮き彫りにしています。このような環境を受け 米国環境保護庁(EPA)は、水道施設のサイバー保護を改善するための計画を策定する予定です
  • シスコは今年初めにハッキングされたことを発表しました。攻撃者は、従業員の個人的なGoogleアカウント経由でシスコのネットワークにアクセスできました。ブラウザにパスワードを保存していたためです。この従業員はMFAを有効にしていましたが、攻撃者は音声フィッシング攻撃を使って被害者にプッシュ通知を受け入れさせ、侵入者にアクセスを許可させることができました。脅威は取り除かれ、事件後数週間、アクセス回復を試み続けましたが、失敗に終わりました。
  • CapitalOneはデータ流出に関する和解の一部として、 1億9,000万ドル をお客様に提供することになりました。データ漏洩は2019年3月に発生し、1億人以上のお客様に影響を与えました。原告側は、CapitalOneがセキュリティの脆弱性を認識していながら、顧客を保護するための措置を講じなかったと主張しています。
  • Twilioに侵入したハッカーたちクラウドフレア をはじめ、100以上の企業に攻撃を試みました。攻撃者は、SMShingを使って一部の従業員を騙し、企業のログイン情報を入手してTwilioに侵入しました。攻撃者は、シングルサインオンにOktaを使用している企業をターゲットにしていたようです。

政府基準

  • ジョー・バイデン米国大統領がCHIPS・科学法案に署名 を8月上旬に法制化しました。この法案は、CHIPメーカーに数十億円のインセンティブを与え、米国の競争力を高め、サプライチェーンの問題を解決するための公的研究に資金を提供するものです。「米国は、このような先進的なチップの生産で世界をリードする必要があります。この法律はまさにそれを実現するものだ」とバイデンは述べました。CHIPメーカーが米国に進出する際には、シリコンにトラスト起点を作成し、製品ライフサイクルのあらゆる段階でトラストを管理できるにするため、コンプライアンスを備えた信頼できるデジタルトラストのパートナーと提携する必要があります。
  • 米国下院が新法「SECURE Notarization Act」を成立させました (H.R. 3962) は、すべての州の公証人が遠隔オンライン公証処理を行えるようにするための連邦基準を設定するものです。また、この法案では、公証人が米国外にいる個人を含む電子記録を遠隔地から公証することを認めています。同法案は今後、上院で審議される予定であり、上院には関連法案(S.1625)が提出されています。

ランサムウェア

量子

UP NEXT