Yahoo!ニュース

速報

自民・政治改革本部総会を終え石破首相コメント

たった今

Google、攻撃受けたMicrosoftを批判 05/20-26

大元隆志CISOアドバイザー
画像はChatGPTにて筆者作成

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■Google、セキュリティの観点からMicrosoftを批判

Googleは、"A More Secure Alternative(より安全な選択肢)"と題したレポートを公開しました。このレポートには、最近Microsoftが高度な攻撃能力を持つサイバー攻撃者に攻撃された2つのインシデントを取り上げています。

1つ目は、2023年夏にStorm-0558として知られる中国の関与が噂されているグループによって仕掛けられた攻撃です。この時Microsoftは米国および英国の政府高官のアカウント、22の組織、500人以上の個人、および数万通の電子メールが侵害されました。この事件を受けて、国土安全保障省のサイバー安全性審査委員会(CSRB)は、データ侵害につながった「一連のセキュリティ失敗」を特定する詳細な報告書を発行しました。

2つ目は、2023年11月に発生したMidnight Blizzardとして知られるロシアの関与が噂されているグループによって仕掛けられた攻撃です。この攻撃によってMicrosoft社自体の企業メールアカウントが侵害されたことで、連邦民間行政部門(FCEB)の機関とマイクロソフト間の電子メール通信を流出させたとされています。この自体を受けてCISAは今年二回目となる緊急指令ED24-04を発行しました。

実はGoogle自体も2009年にStorm-0558に侵害されており、これをきっかけとして「BeyondCorp」として知られる同社の有名な「ゼロトラスト化」に舵を切ったとされています。

Googleは、自分達が2009年から改善に取り込んできたセキュリティ侵害に対して、Microsoftは対策を打てておらず、より安全な選択肢として、Google Workspaceを検討すべき、というのが本レポートの趣旨となっています。

一見すると、Google vs Microsoftという巨大企業同士の「言い争い」のように見えますが、Googleの指摘は重要な点を付いています。Googleが取り上げている2つのインシデントはMicrosoft製品の欠陥ではなく、Microsoft自体が侵害されたということです。Office製品から、Azure基盤、認証情報等、様々な企業の情報を管理している同社が侵害を受けるということは「盗み出された情報」が二次被害に繋がることは容易に想像出来ます。

特定の1社に自社のIT資産の大部分、あるいは殆どを依存することは、このような侵害が発生した時に、簡単に移行することが出来ず、セキュリティ侵害に巻き込まれてしまうことになります。

CISOの立場としては、Microsoftですら高度な能力を持ったサイバー攻撃グループの攻撃は完全に防ぐことが出来ていなかった事実をふまえ、特定の1社への極端な依存は回避し、マルチベンダーによる多層防御を検討することを推奨します。

■米商務省、安全なAI実現に向けた戦略的ビジョンを発表

ジーナ・ライモンド米国商務長官は「安全なAI」実現に向け、米国人工知能安全研究所(AISI)の戦略的ビジョンを発表しました。

AISIは次の3つの主要目標に重点を置きます。

1.AIの安全性に関する科学を進歩させる

2.AIの安全性の実践を明確にし、実証し、普及させる

3.AIの安全性に関する機関、コミュニティ、調整をサポートする

これらの目標を達成するために、AISI は、潜在的および新たなリスクを評価するための高度なモデルとシステムのテスト、評価とリスク軽減に関するガイドラインの開発など、さまざまな活動を実施し、技術研究を実施および調整する予定です。

また、AIの安全性に関する世界的な科学ネットワークの立ち上げを支援すると発表しました。このネットワークには日本も含まれており、AIの安全性とガバナンスに関する国際調整の新たな段階になることが期待されます。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

CISA 悪用された既知の脆弱性カタログ登録状況

 - Apache Flink Improper Access Control Vulnerability

 - NextGen Healthcare Mirth Connect Deserialization of Untrusted Data Vulnerability

 - Google Chromium V8 Type Confusion Vulnerability

JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - 該当期間中の掲載は御座いませんでした。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事