Nov 28, 2024

How Hackers Use AI to Attack Financial Services & What You Can Do About It

ハッカーは金融サービス攻撃にどのようにAIを使うのか、あなたにできる対抗策 (11/08)

https://www.brighttalk.com/webcast/18348/616704

Shira Sagiv, Vice President of Product Portfolio, Radware

Hackers are leveraging AI to outsmart the current defenses. Join Shira Sagiv, Vice President of Product Portfolio at Radware, for an exclusive session to uncover the AI-enhanced cyber attacks targeting the financial industry and how you can stay one step ahead. In just 30 minutes, you'll discover: - Why hackers are evolving their tactics. - The advanced AI tools they use to breach defenses. - What strategies you need to stay ahead of the threats. Don't miss this chance to arm yourself with the knowledge to defend your organization.

Radware: On Demand | 31 mins

 

『ハッカーはAIを活用して現在の防御を凌駕しています。ラドウェアの製品ポートフォリオ担当バイスプレジデントであるShira Sagivの独占セッションに参加し、金融業界を標的とするAIを駆使したサイバー攻撃と、一歩先を行く方法を明らかにしましょう。

 

わずか30分で、次のことがわかります:

ハッカーが手口を進化させている理由

ハッカーが防御を突破するために使用する高度なAIツール

脅威の一歩先を行くために必要な戦略とは

組織を守るための知識武装のチャンスをお見逃しなく。』 (DeepL翻訳)


Nov 21, 2024

IIJ広報誌「インシデント対応の現場から」

インシデント対応の現場から | 広報誌(IIJ.news) | インターネットイニシアティブ(IIJ (2024/10)

出典 https://www.iij.ad.jp/news/iijnews/vol_184/images/detail_04_im02.png

 

『脆弱性の対応を行なっていたとしても、アカウント管理が適切でなければ、不正アクセスされる恐れがあります。特に普段利用しているアカウントは適切に管理していたとしても、保守業者などに払い出していたアカウントが適切でなかったり、構築時など過去に一時的に使用され現在は存在を認識されていないアカウントが残っていたりしないか、確認しておくことを推奨します。

保守業者用にVPN機器を提供しているのであれば、保守業者の回線のみに接続元を制限したり、接続には多要素認証を用いたりすれば、被害軽減策となります。』

 

『最近、特に増えているのが、自宅のパソコンがInfostealerに感染し、業務システムへの認証情報が漏えいしてしまうケース 

 

実は、自宅と職場のパソコンで利用していたChromeに同一のGoogleアカウントでログインしており、アカウントの同期機能により職場のパソコンでブラウザに保存していた認証情報が自宅のパソコンへも同期されていました。そして、自宅のパソコンがInfostealerに感染した結果、情報漏えいが起きてしまったのです。』

←私用Googleツールに業務情報を保管していたら論外。業務用Google(メール、文書)アカウントのクレデンシャルも漏れ得る。

 

『こうしたケースは自宅のパソコンからの漏えいであり、組織内でセキュリティ監視をどれだけ強化していても漏えいを検知できないため注意が必要です。また、Infostealerによって有効なセッションCookieが盗まれてしまうと、多要素認証を設定しているシステムへも不正アクセスされてしまう恐れがあるため、面倒かもしれませんが、システム利用後はログアウトすることも被害軽減策となります。

 

以上のことから、セキュリティ対策を考える際は、ネットワーク内に侵入されたり、認証情報が漏えいすることを前提にしておくことが重要です。』

Nov 20, 2024

BYODの盲点

「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”(ITmedia エンタープライズ) - Yahoo!ニュース (11/19)

『組織内での連絡は、個人が所有するアカウントでの「LINEであることがほとんど 』 

東~東南アジアでは顧客との力関係からもWeChat, LINE, Skype等のビジネス利用根絶は難しいのが多くの企業の現状では、と想像する。

『最新の「Android 15」では、OSの新機能として「プライベートスペース」が実装されました。プライベートスペースとは、デバイスにいつも使っているものとは別の隔離環境を構築できる機能で、これを使えば、1台のスマートフォンに2つのLINEをインストールして、アカウントを使い分けられます。

OSと密着したアカウント群は、必ず二要素認証をオンにすることが求められます。加えて、デバイスが持つ生体認証機能を組み合わせ、記憶に頼らない仕組みを今こそ取り入れる必要がある … 

 

 

 

Nov 19, 2024

なぜ今「Signal」が選ばれるのか?

なぜ今「Signal」が選ばれるのか? Zoomに負けない理由とは【今日のワークハック】 | ライフハッカー・ジャパン (11/20)

『グループビデオ通話に対応 … 無料で安全でしっかりとした、最高のビデオ会議ツール … 最大50人までグループ通話に参加でき、1回の通話に制限時間はありません。』


NSAの評価でも"評価ポイントをクリアしているか"の全てで「はい(Y)」とされていた。
 

関連

NSAが会議ツールを評価~各社の脆弱性統計 (2020/05/03)

https://akasaka-taro.blogspot.com/2020/05/gafams.html


Nov 16, 2024

Palo Alto Reports Firewalls Exploited Using an Unknown Flaw

パロアルト報道、ファイアウォールの未知の欠陥が攻略された (11/15)

『攻撃者は、一部の種類のPalo Alto Networksのファイアウォールの管理インターフェイスにあるゼロデイ脆弱性を悪用していると、サイバーセキュリティの巨人は警告しています。

「パロアルトネットワークスは、インターネットに公開されている限られた数のファイアウォール管理インターフェイスに対して、認証されていないリモートコマンド実行の脆弱性を悪用する脅威活動を観察しました」

 

この欠陥はリモートで悪用されており、CVSSスケールで10満点中9.3点の「重大」評価を受けており、脆弱性の軽減は「最重要」の緊急性で対処する必要がある 

 

ユーザーにとっての課題の1つは、脆弱性を修正するためのパッチがまだ利用できないこと 「現時点では、管理インターフェイスへのアクセスを保護することが最善の推奨アクションです。」

 

パッチがリリースされるまで、同社はユーザーに緩和アドバイスを確実に実装するよう促しています。「特に、管理インターフェイスへのアクセスは、インターネットからではなく、信頼できる内部IPからのみ可能であることをすぐに確認することをお勧めします。ファイアウォールの大部分は、すでにこのパロアルトネットワークスの業界のベストプラクティスに従っています。」

パロアルトは、信頼できる内部IPのみにアクセスを制限するように設定されたデバイスの場合、この脆弱性のリスクはCVSSスケールで7.5と低く、高いが重大ではないと述べています。これは、「潜在的な攻撃には最初にそれらのIPへの特権アクセスが必要になるため、悪用のリスクは非常に限られています」 

以前にファイアウォール管理インターフェイスをインターネットに公開していた組織については、「認識できない設定変更やユーザーなどの疑わしい脅威活動を監視することをお勧めします」と述べています。

』 (機械翻訳)

 

パロアルトネットワークスのファイアウォールにゼロデイ欠陥があるというニュースは、4月と7月に明らかになった、製品内で活発に悪用された他のゼロデイ欠陥の発見に続くものです(CISA Warns of Active Attacks on Critical Palo Alto Exploit」を参照)。』

 

 

Nov 9, 2024

中国ハッカー、米通信会社他を攻撃

中国ハッカー集団、米政府の許可済み盗聴システムから情報入手=WSJ | ロイター (10/07)

中国のハッカー集団が複数の米通信会社のネットワークに不正アクセスし、米連邦政府が裁判所の許可を受けて盗聴に使っているシステムから情報を入手していた …

ハッカー集団は、裁判所が許可した盗聴に協力するために両社が使っていたネットワークインフラに、数カ月間アクセスしていた可能性 …

 

ソースはコレか ↓

Exclusive | U.S. Wiretap Systems Targeted in China-Linked Hack - WSJ (10/05)

 

Reports: China hacked Verizon and AT&T, may have accessed US wiretap systems - Ars Technica (10/08)

『ワシントン・ポスト紙は…「アメリカの監視対象である中国の標的を発見することを部分的に狙った可能性が高い大胆なスパイ活動」と表現 …

Verizonは、バージニア州アッシュバーンの施設に作戦室を設置し、FBIMicrosoftGoogleの子会社であるMandiantの職員と協力している

「ハッカーは明らかに、Ciscoのルーターを再構成することでVerizonのネットワークから一部のデータを盗み出した … 彼らが検出されずにルーターに変更を加えることができたという事実は、敵の巧妙さを反映しているだけでなく、Verizonのセキュリティ体制についても疑問を投げかけている」』

 

シングテルでも

中国政府系ハッカー、シングテル標的に対米攻撃の予行実施-関係者 - Bloomberg (11/05)

『シンガポール最大の携帯電話会社シンガポール・テレコミュニケーションズ(シングテル)が今年夏、中国政府が支援するハッカー集団によるサイバー攻撃を受けた。

「ファイブアイズ」の当局者は今年に入り、ボルト・タイフーンが侵害したITネットワーク内に仕掛けをしていると警告。西側諸国との軍事衝突が発生した場合に備え、混乱を引き起こすサイバー攻撃を中国が実施できるようにするためだという。

米系記事では淡々と事実が述べられている印象。一方、米国大統領選挙や兵庫県知事選挙は、平時の自国メディア報道でアレなのだから、有事の際の日本はどれだけ振り回されることか・・

 

China state-linked group accused of hacking SingTel, Bloomberg News reports | Reuters (11/05)

Volt Typhoonは、通信やエネルギーなど、米国の重要なインフラセクターに侵入していますが、中国は、同国のサイバーセキュリティ機関が、このグループが国際的なランサムウェア組織によって仕組まれたことを示す証拠を公開したと述べています。

ブルームバーグは、SingTelの侵害は、米国の通信会社に対する将来のサイバー攻撃に対する中国によるテストであったと考えられていると報じました。』


Nov 5, 2024

脆弱性診断ツール「Securify」、Apple Watch 心電図機能、iPhone通話録音 iOS 18.1

いやいやセキュリティ ~ 上野宣がビビるほど○○だった脆弱性診断ツール「Securify(セキュリファイ)」とは? (11/05)

https://s.netsecurity.ne.jp/article/2024/11/05/51862.html

 

Apple Watchの心電図機能なんて飾りだと思ってました。ゴメンナサイ (10/31)

https://pc.watch.impress.co.jp/docs/column/yajiuma-mini-review/1635538.html

『この問診の際に、医者に「Apple Watchを使っているんですね?」と尋ねられたのだ。「その心電図機能は使ってください」とのこと。また症状が現れた際はApple Watchで計測して、怪しいと思ったらまた病院に行けばいい。医者としても、Apple Watchの心電図機能は認知されているということだろう。』

 

iPhoneで通話の録音が可能に 使い方は (10/29)

https://www.itmedia.co.jp/news/articles/2410/29/news164.html

『「iOS 18.1」で、iPhoneに通話音声を録音できる機能が加わった。』

Nov 1, 2024

The MGM Resorts Attack: Initial Analysis

 (2023/09/22)

https://www.cyberark.com/resources/blog/the-mgm-resorts-attack-initial-analysis

得られた教訓と緩和戦略

セキュリティ対策を強化し、同様の攻撃を軽減するために、組織は次の戦略を検討する必要があります。

1. 影響を封じ込める

特権アカウントの露出を最小限に抑えることは、フィッシングの試みを軽減するために不可欠です。IT管理者は、特権アクセス管理(PAM)ソリューションを使用して、攻撃(ッシングを含む)による侵害のリスクを軽減する必要があります。組織は、該当する場合はゼロスタンディング特権(ZSP)の実装も検討する必要があります。

私たちは、「文字通り存在しない認証情報をハッキングするのは難しい」と言いたいのです。内部または外部の侵害は引き続き発生する可能性がありますが、これにより専用のエンドポイントへの攻撃が含まれるため、露出を最小限に抑え、インシデント対応を支援することができます。

2. MFA制御の改善

MFAデバイスの変更を可視化することは不可欠です。お客様が監視する特定のログをセキュリティ情報およびイベント管 (SIEM) システムに実装すると、異常な認証アクティビティを検出して対応するのに役立ちます。さらに、デュアル コントロール機能を実装すると、重要なアクションに対して複数の承認が必要になるため、セキュリティを強化できます。

3. Tier 0の資産を保護する

Tier 0の資産は、署名キーや重要なインフラストラクチャへのアクセスなど、保護する必要があります。フェデレーション サーバーにエンドポイント特権セキュリティを実装すると、資格情報の盗難の試みから署名キーを保護するのに役立ちます。さらに、プロキシへのアクセスを制限することにより、Tier 0資産への不正アクセスとデュアルコントロールを防ぐことが重要です。

4. IdPのベストプラクティスを採用する:

· ユーザーが MFA 要素を変更/変更できるようにする前にMFA コントロールを実装します (つまり、登録されている MFA 要素の 1 つを変更する前に、現在の MFA 要素を提示する必要があります)

· ヘルプデスクの検証制御を採用します (つまり、ヘルプデスクは、ユーザーが既存の登録済み MFA 要素を通じて ID を確認した後にのみパスワードをリセットできます)

· ユーザー(特に管理者)IdPへのアクセスを許可する前に必ずユーザーのデバイスの登録/コンプライアンスを確認してください

· ネットワーク内のセキュアゾーンを特定します期待に応えていないIdPへのネットワークトラフィックを理解します。セキュアゾーンの外部で実行できるアクションを制限します。

· IdP管理者アカウントは、データベース/ドメイン管理者アカウントと同じ方法で管理します(つまり、管理者パスワードのローテーション、管理セッションの監視/分離資格情報にアクセスするための二重アクセス制御の実施などの特権アクセス制御を通じて)

· IDプロバイダー(IdP)の変更など、信頼の変更を監視するとは、疑わしいアクティビティを検出するために不可欠です。組織は、信頼の変化を追跡および分析するために特定のログを実装することを検討する必要があります。これにより、潜在的なセキュリティ侵害に関する貴重な洞察を得ることができます。

最終的な考え(今のところ)

一連のミスが、最終的にここ数年で最も目立ち、ブランドを損なう攻撃の1つにつながりました。同様の攻撃を軽減するために、組織は特権アカウントの露出を最小限に抑え、MFAなどの強力な認証手段を実装し、Tier 0資産の保護、信頼の変化を監視し、進化するサイバー脅威の最新情報を入手することに注力する必要があります。やるべきことはたくさんありますが、今日のデジタル環境において、組織がセキュリティ対策を継続的に改善し、ベストプラクティスに従うことが重要です。