IPA、情報セキュリティ10大脅威 2024を発表

2 months 3 weeks ago
p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(IPA、INTERNET Watch)。 今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。 インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)クレジットカード情報の不正利用(同2016/9年連続9回目)スマホ決済の不正利用(同2020/5年連続5回目)偽警告によるインターネット詐欺(同2020/5年連続5回目)ネット上の誹謗・中傷・デマ(同2016/9年連続9回目)フィッシングによる個人情報等の詐取(同2019/6年連続6回目)不正アプリによるスマートフォン利用者への被害(同2016/9年連続9回目)メールやSMS等を使った脅迫・詐欺の手口による金銭要求(同2019/6年連続6回目)ワンクリック請求等の不当請求による金銭被害(同2016/2年連続4回目) 一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。 1位 ランサムウェアによる被害(前回順位1位)2位 サプライチェーンの弱点を悪用した攻撃(同2位)3位 内部不正による情報漏えい等の被害(同4位)4位 標的型攻撃による機密情報の窃取(同3位)5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同6位)6位 不注意による情報漏えい等の被害(同9位)7位 脆弱性対策情報の公開に伴う悪用増加(同8位)8位 ビジネスメール詐欺による金銭被害(同7位)9位 テレワーク等のニューノーマルな働き方を狙った攻撃(同5位)10位 犯罪のビジネス化(アンダーグラウンドサービス)(同10位)

すべて読む | セキュリティセクション | セキュリティ | ニュース | インターネット |

関連ストーリー:
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日

nagazou

Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告

2 months 4 weeks ago
headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事、 The Verge の記事、 Neowin の記事、 Form 8-K 報告書)。 不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。 不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。 今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース | インターネット |

関連ストーリー:
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Microsoft、気象用語を使用した脅威アクター新命名法 2023年04月21日

nagazou

UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響

2 months 4 weeks ago
サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。 EDK IIを実装していて影響を受けるUEFIは下記の通り。 ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。 整数アンダーフロー(CVE-2023-45229)バッファオーバーフロー(CVE-2023-45230)境界外読み取り(CVE-2023-45231)無限ループ(CVE-2023-45232、CVE-2023-45233)TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)擬似乱数ジェネレーターの使用(CVE-2023-45237)ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。

すべて読む | セキュリティセクション | オープンソース | ハードウェア | セキュリティ | ニュース | バグ |

関連ストーリー:
AMD製CPUに脆弱性見つかる 2023年07月27日
セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 2022年12月03日
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

nagazou

YouTube経由で広がるマルウェアが増加

3 months ago
Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(Fortinet、TECH+)。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。

すべて読む | セキュリティセクション | セキュリティ | ニュース | YouTube |

関連ストーリー:
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
100 体のマルウェアでセキュリティソフトを比較してみた 2010年03月18日

nagazou

米連邦取引委員会、AIによるボイスクローニングから消費者を守るアイディアを募集

3 months 1 week ago
headless 曰く、間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース、 公式ルール: PDF、 The Register の記事、 Neowin の記事)。 AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。 防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法 リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法 使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法 コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 人工知能 | ニュース | アメリカ合衆国 |

関連ストーリー:
テキストから音楽を生成する「Suno AI」が話題 2023年12月19日
韓国の大統領選でAI候補が登場 2022年02月22日

nagazou

ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張

3 months 1 week ago
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事、 The Register の記事)。 ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。 ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと (The Register の記事 [2])。 ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。

すべて読む | セキュリティセクション | 暗号 | お金 |

関連ストーリー:
保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき? 2023年08月31日
ランサムウェアの身代金支払いで全データを復旧できたのは、日本でわずか13% 2023年05月26日
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 2023年01月13日
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 2022年11月02日
千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫 2022年09月02日
2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに 2022年07月08日
ランサムウェア攻撃の被害にあった日本企業、75%が未公表 2022年05月27日
ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答 2022年05月15日
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 2022年02月11日
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
北米で主要な病院の 80 % が使用する気送管システムに脆弱性 2021年08月05日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日
奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染 2018年10月25日
ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃 2017年11月15日
NSAに対し米下院議員が対処方法の公開を求める書簡を出す 2017年07月05日

headless

LastPass、12文字以上のマスターパスワードを義務付け開始

3 months 1 week ago
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。 LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

すべて読む | セキュリティセクション | ソフトウェア | ニュース | 暗号 | 情報漏洩 |

関連ストーリー:
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 2023年12月13日
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
パスワード、どうやって管理している? 2014年02月23日
Xmarks が LastPass に買収される 2010年12月15日

headless

米カリフォルニア州上院議員、州で公共のAIリソースと安全かつ倫理的な枠組みを作る法案を提出

3 months 2 weeks ago
米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。 SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。 パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | 人工知能 | 政治 | アメリカ合衆国 |

関連ストーリー:
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日
EU、世界初の包括的AI規制で大筋合意 2023年12月11日
Collins Dictionary、2023年を代表する言葉に「AI」を選定 2023年11月05日
テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる 2023年10月15日
米カリフォルニア州の修理する権利法が成立 2023年10月13日
アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用 2023年08月19日
狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ 2023年08月13日
人工知能学会、ChatGPT等への向き合い方に関する声明文を公表 2023年04月27日
GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名 2023年03月31日
米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立 2023年03月25日
Microsoft、製品への AI 原則適用を確実にしていたチームが消滅 2023年03月16日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 2023年01月04日
Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に 2022年06月15日
米国防総省の有識者会議、AI倫理5原則を採択 2019年11月03日
米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案 2017年03月12日

headless

パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加

3 months 2 weeks ago
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。 根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Chromium |

関連ストーリー:
宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 2023年12月25日
米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 2023年12月14日
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

headless
Checked
45 minutes 39 seconds ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed