Yahoo!ニュース

セキュリティニュースをサクッと解説 2024/02/05 - 02/11

大元隆志CISOアドバイザー
画像はChatGPTにて筆者作成

一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■中国支援が疑われるボルト・タイフーンに警戒を呼び掛け

 サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA)、国家安全保障局 (NSA)、および連邦捜査局 (FBI)は共同で、中国の国家の支援が疑われるサイバー攻撃グループ、ボルト・タイフーンが米国の重要インフラを担う組織のIT 環境を侵害しているとして警戒を呼び掛けました。

 発表によれば、ボルト・タイフーンは従来の攻撃手法とは異なる特徴を持っており、攻撃を検出出来ない可能性がある点を指摘しています。幾つか特徴を抜粋します。

 - 殆どマルウェアを利用しない

 - Living Off the Land (LOTL) 攻撃を多様する

 - 正規IDの取得を試みる

 - 長期期間潜伏する

まず、目を引くのが「殆どマルウェアを使用しない」攻撃を得意としている点です。サイバー攻撃といえば「マルウェアの感染防止」と考えているセキュリティ担当者の方も少なくはないと思いますが、ボルト・タイフーンは初期侵入にはルータ等の外部から攻撃可能な機器への脆弱性を悪用したり、ITスタッフに対するフィッシング攻撃等で侵入を試みます。

 そして、侵入後にはマルウェアではなく、Living Off the Land (LOTL)攻撃を行います。これはOS標準で準備されているコマンドライン等の機能を利用して行う攻撃であり、環境寄生型攻撃、ファイルレス攻撃等と表現されることもあります。

 マルウェアを利用しないため従来型のアンチウィルスソフト等では検出することが出来ず、検出もされづらいため、米国の例では5年間程潜伏されていた形跡があったと報告されています。

■米国、AIの安全性を専門とする史上初のコンソーシアムを発表

 ジーナ・ライモンド米国商務長官は、米国AI安全性研究所コンソーシアム (AISIC)の設立を発表しました。このコンソーシアムには、最先端のAIシステムとハードウェアの作成と使用の最前線にいる200以上の企業や組織、米国最大手の企業が参加しており、AIの安全性における新しい測定科学の基盤の確立に焦点を当てるとしています。

■変化する業界規制、FCCがデータ侵害報告要件を公開

 FCCが「データ侵害における報告要件」を公開しました。これによれば、従来含まれていなかったPII(個人情報)が報告対象に含まれるようになり、米国の通信会社は個人情報漏えい発生時には報告義務が課せられます。

 米国の通信事業者は、これまで「顧客独自のネットワーク情報 (CPNI)」が漏洩した場合のみ、報告義務がありましたが、今回の変更で個人情報(PII)も対象に含まれるようになりました。

 米証券取引委員会(SEC)は昨年夏、インシデントが企業や投資家に「重大な」影響を与える可能性がある場合、被害にあった企業は4日以内にサイバー攻撃を報告することを義務付ける規則を施行しました。

 米連邦取引委員会(FTC)も秋に独自のインシデント報告規則を制定し、銀行以外の金融機関がシステムへの侵入に成功した場合、30日以内に同委員会に報告するよう求めています。

 一方、CISAも、2022年3月にバイデン大統領によって署名された重要インフラのためのサイバーインシデント報告法(CIRCIA)を改定する予定です。

 各業界からセキュリティに関する規制が発表され、よりセキュリティ規制が厳しくなる一方で、全体が統一されておらず、複数の業界規制への対応が必要となる企業からは不満の声もあがっているとのことです。

 いずれにせよ、CISOにとっては変化する業界規制に追随する必要があり、自社が所属する業界規制に変更がないか?自社のセキュリティは追随出来ているか?を確認することを推奨します。

★国内、海外における重要な注意喚起★

・CISA 悪用された既知の脆弱性カタログ登録状況

 該当期間中に以下の脆弱性がCISAのKEVに追加されました。該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

 - Google Chromium V8 Type Confusion Vulnerability

- Fortinet FortiOS Out-of-Bound Write Vulnerability

・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - Fortinet製FortiOSの境域外書き込みの脆弱性(CVE-2024-21762)に関する注意喚起 (公開)

 - Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (更新)

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事