一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■サイバーセキュリティ月間がスタート

　もはや、サイバーセキュリティは一部の人だけが被害にあう特殊なものではなく、国民一人ひとりがサイバー攻撃者の「標的」となっています。

　日本政府は2024年2月1日から3月18日までを「サイバーセキュリティ月間」としセキュリティに関する理解促進を進める期間として様々な啓発活動を行っています。国を挙げての取り組みとなりますのでセキュリティに関する報道等に目が行きやすい時期となります。

　企業のセキュリティ方針を策定するCxO等も、この機会に従業員の方へのセキュリティトレーニングを実施するなど、企業全体でセキュリティを学ぶ期間としてみてはいかがでしょうか。

■変化するCISOの役割

　10年前と比較すると世界の主要な経済大国では個人情報に関する法制度が整備されるなど「セキュリティ」に関して大きな進歩が見られます。企業におけるセキュリティの責任者でもある「CISO」に関しても役割の変化が求められるかもしれない、そんな重要な裁判が米国で注目を集めています。

　米国証券取引委員会(SEC）は2023年10月30日（米国時間）、テキサス州オースティンを拠点とするSolarWinds社と同社CISOであるティモシー・G・ブラウン氏を、既知のサイバーセキュリティリスクと脆弱性に関連する詐欺行為と内部統制の不備で告発したことを発表していました。

　この訴訟の注目すべき点はSolarWinds社に対してだけでなく、CISOのブラウン氏に対しても責任を追及している点です。SolarWinds社はSECに対して告発の取り下げを訴えていますが、今後の裁判の結果次第ではCISOに対する責任がより重くなる、注目の判決となるでしょう。

■Ivanti製品の脆弱性悪用から見えてくる攻撃者の能力向上

　先月から継続しているIvanti(旧Pulse Secure)製品の脆弱性ですが、現在もなお脅威の悪用が続いています。

　本件に関して米国CISAが一部のサイバー攻撃者が、現在公表されている軽減策と検出方法に対して回避策を開発し、検出を迂回し脆弱性を悪用し、横方向に移動し権限を昇格することに成功していると指摘しています。

　従来から脆弱性が公開され、その脆弱性を悪用されることは珍しい事例ではありませんが、多くの場合、緩和策等を実行することで脅威を軽減することが可能でした。

　しかし、Ivanti製品の脆弱性悪用からは、最近のサイバー攻撃者は緩和策を短期間で突破してくる高度な技術力を備えていると読み取ることが可能であり、こういったサイバー攻撃者の能力向上を正しく認識する必要があるでしょう。

★国内、海外における重要な注意喚起★

・CISA 悪用された既知の脆弱性カタログ登録状況

　該当期間中に以下の脆弱性がCISAのKEVに追加されました。該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

　-　Apple の複数製品の不適切な認証の脆弱性

　-　Ivanti Connect Secure、Policy Secure、および Neurons のサーバー側リクエスト フォージェリ (SSRF) の脆弱性

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起