一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■英国、世界初となる世界初のデフォルトパスワードを禁止する法案成立

英国が世界初となるインターネットに接続されるIoT機器やスマートデバイスに対してデフォルトのパスワードを禁止する法律"Product Security and Telecommunications Infrastructure act (or PSTI act)"を施工すると発表しました。

新しい制度では、メーカーは「admin」や「12345」などの脆弱で簡単に推測できるデフォルトのパスワードを持つことが禁止され、共通のパスワードがある場合は、ユーザーは起動時に変更するよう促されることになります。

また、本法律は英国国外で製造されたデバイスであっても、英国市場向けに製品を輸入、または販売する組織全てに適用されます。この法律に従わない場合は刑事犯罪となり、最大 1,000 万ポンドまたは対象となる全世界収益の 4% (いずれか高い方) の罰金が科せられます。

発表によると英国の成人の99%が少なくとも1台のスマートデバイスを所有しており、英国の世帯が平均9台のインターネットに接続可能な機器を所有しているとあり、今回の法案成立によって消費者保護に繋がることが期待されています。

■NIST、米大統領令に関連する安全なAIに関するドラフトを発表

NISTが人工知能（AI）システムの安全性、セキュリティ、信頼性の向上を目的とした4つのドラフトを発表しました。

これは、AIに関する大統領令である「Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI」発表から 180 日が経過したことを受けての措置となります。

　-　NIST AI 600-1:Artificial Intelligence Risk 4 Management Framework: 5 Generative Artificial Intelligence 6 Profile

　-　NIST SP 800-218A:Secure Software Development Practices for Generative AI and Dual-Use Foundation Models

　-　NIST AI 100-4:Reducing Risks Posed by 5 Synthetic Content

　-　NIST AI 100-5:A Plan for Global Engagement on AI Standards

公開されたドキュメントには生成AI活用に伴うリスク管理フレームワークや、AIによる合成コンテンツのリスクを軽減するドラフト等が掲載されています。

NISTは今年後半に最終版を公開予定であり、それに向けたフィードバックを求めるためにドラフト版が公開されました。

ドラフト版ではありますが、生成AI活用に伴う安全な管理方法は大半の企業にとって手探り状態であるため、CISO等の組織のセキュリティを検討する立場の方は目を通しておくことを推奨します。

■Verizon business、DBIR 2024を公開

Verizon Business社は「DBIR 2024(データ侵害調査レポート)」を公開しました。

同レポートは全てのデータ侵害の約3分の1がランサムウェアまたはその他の恐喝手法に関連していると述べています。

今年、ランサムウェアに関して注目すべき点として"Pure Extortion attacks"が挙げられます。"Pure Extortion attacks"は過去1年間で増加し、すべての侵害の9％を占めるようになったとあります。一方、ランサムウェアを用いる侵害は23%となり僅かに減少したとあります。この現象について、ランサムウェアが減少傾向にあると捉えるよりは、伝統的なランサムウェアの攻撃者が"Pure Extortion attacks"に移行していると推測すべきであり、これらを共通の脅威行為者であると考えると、「ランサムウェアまたはその他の恐喝手法」によるデータ侵害は全体の32％を占める強い成長になるとしています。

なお、日本の警察庁の調査でも「ノーウェアランサムが増加傾向にある」とされており、ランサムウェアを使わない恐喝行為は世界的に見ても増加傾向にあると考えるべきでしょう。

また、脆弱性の悪用が活発化しているとも指摘しています。脆弱性が公開されてから、脆弱性の最初のスキャンがいつ行われるかをインターネット上のハニーポットで観測した結果中央値は68日になるとあります。一方CISAが悪用が確認された脆弱性としてKEVを公開していますが、KEVに登録された脆弱性がスキャンされる中央値は5日間となっており、KEVに登録された脆弱性を優先的に対処する重要性が指摘されています。

Verizon DBIRは最新の脅威動向の変化を知るために活用出来る貴重な情報源です。CISO等の組織のセキュリティを検討する立場の方は目を通しておくことを推奨します。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　-　Microsoft SmartScreen プロンプト セキュリティ機能バイパスの脆弱性

　-　GitLab Community および Enterprise Edition の不適切なアクセス制御の脆弱性

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　該当期間中の掲載はありませんでした。