一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■共同サイバー防衛連携(JCDC)、2024年の重点項目を発表

2021年に米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、共同サイバー防衛連携（JCDC、Joint Cyber Defense Collaborative）を設立しました。

CISAはこれまで政府機関を対象としたセキュリティ対策を推進していましたが、共同サイバー防衛連携では、「官民合同」のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。

共同サイバー防衛連携が2024年の3つの重点領域と、6つの優先領域を発表しました。

　・3つの重点領域

1.高度な持続的標的型攻撃（APT）への対抗

　　国家の重要インフラ部門を対象とした高度な持続的標的型攻撃(APT)に対して対応能力を向上させます。

2.ベースラインの引き上げ

　サイバーインシデントの頻度と影響を減らすために、重要インフラに対するセキュリティベースラインを引き上げます。

3.新たな技術とリスクの予測

　重要インフラに対するAI関連の脅威や脆弱性の可能性と影響を低減させることを目指します。

　そして、3つの重点領域に沿った、優先項目として以下の6つを挙げています。

　1.米国拠点のインフラに対する、APT攻撃、特に中国の支援を受けた攻撃者による攻撃の発見及び防御。

　2.重大なサイバーインシデントに備える

　3.選挙におけるセキュリティ対策

　4.重要インフラに対するランサムウェアの影響を計測可能な方法で減少させる

　5.技術が「セキュア・バイ・デザイン（Secure by Design）」を実現する世界へ向けて、測定可能な進展を遂げる

　6.AIが重要インフラにもたらすリスクを低減する

■元従業員の侵害されたIDが悪用され州政府機関に不正アクセス

サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と州政府間の情報共有・分析センター（MS-ISAC）は、ダークウェブ上にホストとユーザー情報、メタデータを含む文書が公開されていることを発見し、調査の結果、退職者のアカウントが適切に削除されておらず、この元従業員のアカウンが悪用されVPN経由での侵害が成功した可能性があると公表しました。

CISAは同様の被害にあわないよう、以下の対策や運用を心がけるよう呼び掛けています。

■Bring Your Own AI (BYOAI) 、ShadowAIのリスク

Security Boulevardに掲載されていた、生成AIに関する興味深いコラムを紹介します。Bring Your Own AI (BYOAI)、日本語にすると「私用AIの持ち込み」となるでしょうか。

昔、スマートフォンが企業で採用されるようになり、BYOD（Bring Your Own Device）という用語が脚光を集めました。生成AIの普及に伴い、従業員が自分の業務を効率化するために、自分のお気に入りのAIを企業に持ち込むことはリスクとして十分に発生する可能性があるでしょう。

本コラムでは、ShadowAIが脅威となる理由として、以下を挙げています。

　・現在、多くの生成AIは無料で提供されておりすぐに使える。一方、企業が正式に予算を獲得し展開するまでには数ヶ月から数年必要となるだろう。

　・シャドーAIはシャドーITより影響が大きくなるリスクがある。シャドーITは開発者等特定ユーザーがもたらす脅威であったが、シャドーAIは一般的な社員から経営幹部まで広範囲に及ぶ可能性がある。

　※記事中ではシャドーAIはシャドーITのサブセットだと補足されています。

確かに、企業としては生成AIの利用は正式に採用していないと認識していても、様々な調査結果からは、従業員が生成AIを既に業務で利用し始めているという結果が出てきています。企業が正式に採用を決定し展開するまでには、暫く時間がかかると考えるのは自然なことであり、企業の認識以上に既にシャドーAIが大量に発生する可能性は、疑ってみるべきでしょう。

　本記事ではシャドーAIで特定すべきリスクとして以下の4つを挙げています。

　-　機能的リスク

　-　運用上のリスク

　-　法的リスク

　-　資源リスク

　また、シャドーAIへの対策としてはセキュリティリーダーは以下のリーダシップを推進すべきとしています。

　1.認可されている、されていないに係らず、AIにどれだけの費用が発生しているかを知る必要がある

　2.制度上のリスク管理の範囲外で活動していたグループも参加する必要がある

　3.データの分類、一連の AI ポリシーの作成、従業員の教育とトレーニングを推奨する

　そして、最後に現時点でシャドーAIを検出するためにCASBが有効であるとしつつ、企業内における生成AIのリスクに関して完璧に対処可能な「銀の弾丸は無い」として、ツールだけに頼らない制度設計や運用等、地道な対応が求められるとしています。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　- Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability

　- Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability

　- Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

　- Cisco ASA and FTD Information Disclosure Vulnerability

　- Microsoft Exchange Server Privilege Escalation Vulnerability

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　- Fortinet製FortiOSの境域外書き込みの脆弱性（CVE-2024-21762）に関する注意喚起 (更新)

　- Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 (更新)

　- 2024年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)

　- Adobe AcrobatおよびReaderの脆弱性（APSB24-07）に関する注意喚起 (公開)