2023年6月（後半）のセキュリティ関連ニュース

2023年6月後半に収集した情報に関する備忘録です。主にセキュリティに関する情報をまとめますが、それ以外の気になる情報も含みます。長いので目次をご活用ください（目次だけで十分な可能性も…）。

■ インシデント関連

富士通サイバー攻撃、1700社･機関影響　政府が行政指導 (日本経済新聞, 2023/06/30)

富士通へのサイバー攻撃、1700社･機関に影響　総務省が行政指導 - 日本経済新聞

富士通が2022年12月に公表したインターネット回線サービスへのサイバー攻撃を巡って対策に不備があったとして、総務省は30日、同社に行政指導した。少なくとも1700の企業や政府機関が影響を受けた。相次ぐ攻撃に対応が後手に回るなどガバナンス（企業統治）が機能していないと判断し、攻撃を受けた企業へ異例の行政指導に踏み切った。

数多くの案件を手掛けているからこそ、重大インシデントの発生件数も多く見えるのでしょうか。

WOWOWで8万人の情報漏えい　10日以上、別ユーザーの視聴履歴・契約内容が丸見えに (ITmedia, 2023/06/30)

WOWOWで8万人の情報漏えい　10日以上、別ユーザーの視聴履歴・契約内容が丸見えに

9日午後1時から22日午後11時11分までの間、WebブラウザでWOWOWオンデマンドにログインすると、マイページで別ユーザーの個人情報の閲覧や、クレジットカードの変更などの各種手続きができる状態だった。

漏えいした可能性がある情報は、契約種別や請求金額などの契約情報、使用している端末名、支払い履歴、クレジットカード番号下3桁を含む支払い方法、視聴履歴、ダウンロード履歴、お気に入りコンテンツなど最大8万879人分。

認証周りの不具合が原因のようです。

WOWOWのプレスリリースはこちら：https://corporate.wowow.co.jp/news/tdnet/5348.html

新潟大学のメールサーバに不正アクセス、151万件の迷惑メール送信の踏み台に (ScanNetSecurity, 2023/06/30)

新潟大学のメールサーバに不正アクセス、151万件の迷惑メール送信の踏み台に | ScanNetSecurity

これは同学が管理する部署メールサーバ1台に不正アクセスがあり、2名分のメールアカウントが第三者に利用されたことで、4月13日午後10時頃から4月17日午後2時30分頃までの間に同学の基幹メールサーバを経由して約151万件の迷惑メールが送信されたというもの。

パスワードが脆弱だったのでしょうか。大学のメールシステムであれば、リスト攻撃で攻略される可能性はありそうです。

新潟大学のプレスリリースはこちら：https://www.niigata-u.ac.jp/information/2023/433020/

1Qのネットバンク不正送金、前四半期の2倍弱へと急増 (Security NEXT, 2023/06/29)

【セキュリティ ニュース】1Qのネットバンク不正送金、前四半期の2倍弱へと急増（1ページ目 / 全1ページ）：Security NEXT

2023年第1四半期におけるオンラインバンキングの不正送金被害は、件数ベースで前四半期の約1.8倍に増加した。金額ベースでも1.9倍に拡大している。

被害件数は、個人と法人あわせて708件。387件だった前四半期の約1.8倍に拡大している。被害額は9億8000万円となり、前四半期の5億100万円の約1.9倍へと急増した。2022年第3四半期以降、被害の拡大が続いている。

フィッシングが止まりませんね。

全銀協の発表はこちら：https://www.zenginkyo.or.jp/news/2023/n062801/

宇治病院へランサムウェア攻撃、外部へデータ通信履歴「情報流出の可能性を完全には否定しきれない」 (ScanNetSecurity, 2023/06/28)

宇治病院へランサムウェア攻撃、外部へデータ通信履歴「情報流出の可能性を完全には否定しきれない」 | ScanNetSecurity

これは1月6日未明に、第三者から同法人への不正アクセス攻撃を確認し、システム内一部データがランサムウェアにより暗号化されたことと攻撃者による脅迫文を確認したというもの。

ログの取得設定の問題か攻撃の問題か、痕跡はあまり残っていないように見えます。

宇治病院のプレスリリースはこちら：https://uji-hp.or.jp/news/6362/

JR東日本 モバイルSuicaなどの障害「工事操作手順書に誤り」 (NHK, 2023/06/26)

モバイルSuicaなどの障害 JR東日本「工事操作手順書に誤り」 | NHK

JR東日本では24日未明にシステム障害が発生し、駅の構内や券売機などでクレジットカードが使えなくなったほか、運賃の支払いなどを行う「モバイルSuica」でアプリでのチャージができないなど影響は最大で12時間余り続きました。

JR東日本が詳しく調査した結果、システムサーバーの電源工事で操作手順書に誤りがあり、現場の担当者もそれに気がつかずに別のブレーカーが落とされ電源が遮断されたことが原因だと明らかにしました。

手順書の誤りを見抜けなかったとすると、人為的ミス以上に組織的問題かもしれません。

Hackers steal data of 45,000 New York City students in MOVEit breach (BleepingComputer, 2023/06/26)

Hackers steal data of 45,000 New York City students in MOVEit breach

The New York City Department of Education (NYC DOE) says hackers stole documents containing the sensitive personal information of up to 45,000 students from its MOVEit Transfer server.

NYC DOE patched the servers as soon as the developer disclosed info on the exploited vulnerability (CVE-2023-34362); however, the attackers were already abusing the bug in large-scale attacks as a zero-day before security updates were available.

サイバー犯罪グループ Cl0p が MOVEit Transfer の脆弱性を悪用して様々な組織への攻撃キャンペーンを展開しているうちの1つに関する記事。ゼロデイの脆弱性を悪用してくるのは非常に厄介です…。

日本に関連する被害事例としては、SONY が攻撃を受けたことが分かっています。

Sony, EY and PwC latest victims of Cl0p ransomware's MOVEit Transfer cyberattack?Sony, EY and PwC latest victims of Cl0p ransomware’s MOVEit Transfer cyberattack?

日経クロステックでは MOVEit に関連するインシデントについて詳しく説明しています。

MOVEitの脆弱性を突いた情報窃取で英シェルなどを脅迫、日本企業への影響は

「ディアブロ IV」がDDoS攻撃で12時間近くプレイできない状況に陥る (GIGAZINE, 2023/06/26)

「ディアブロ IV」がDDoS攻撃で12時間近くプレイできない状況に陥る

Blizzard Entertainmentの提供するゲームクライアントのBattle.netがDDoS攻撃を受けていたことが明らかになっています。これにより、発売初週の売上が6億6600万ドル(約950億円)を記録した「ディアブロ IV」や「World of Warcraft」などのゲームが一時的にプレイできない状況に陥っていました。

Blizzard は過去にも DDoS の被害を受けています。ゲーム業界に対する DDoS は収まらないですね。

「ユーザーの大半にサービス提供できない」　社労士向けシステムのランサムウェア被害、発生から2週間たつも完全復旧せず (ITmedia, 2023/06/22)

「ユーザーの大半にサービス提供できない」　社労士向けシステムのランサムウェア被害、発生から2週間たつも完全復旧せず

エムケイシステムのランサムウェア被害を巡っては、すでに東急子会社の東急ウェルネスなどがマイナンバーを含む情報漏えいの可能性を発表。大阪市の社労士法人CSSは、暫定的な対応を受けたものの、「データ復元後も、ログインが不可であったり、接続が途中で切れてしまう、動作が非常に遅いなど、とても運用に耐えられる代替措置ではなかった」として、他社のシステムに乗り換える方針を示している。

典型的な 3rd-Party リスク。一部サービスは6月30日から再開しているようです。：https://www.mks.jp/shalom/news/20230703a/

ITmedia は別の記事でも被害・対応状況についてまとめています。

マイナンバー漏えいの可能性明かす企業も　社労士向けシステムへのランサムウェア攻撃、ユーザーへの影響広がる

富士通 FENICS のネットワーク機器での不正通信、東京海上ホールディングスのメールデータ流出可能性 (ScanNetSecurity, 2023/06/22)

富士通 FENICS のネットワーク機器での不正通信、東京海上ホールディングスのメールデータ流出可能性 | ScanNetSecurity

東京海上ホールディングス株式会社は6月15日、委託先の富士通株式会社のシステムへの不正アクセスによる、送信メールデータの流出の可能性について発表した。

同社が「メール誤送信対策サービス」を委託する富士通のFENICSインターネットサービスが特定の期間に不正アクセスを受けたことで、同社から送信したメールデータの一部が技術的に外部から窃取可能な状態であったことが判明したという。

　

富士通の実名を出してのプレスリリース、という点に様々な事情を感じます…。

東京海上ホールディングスのプレスリリースはこちら：https://www.tokiomarinehd.com/release_topics/topics/2023/l6guv3000000hayo-att/20230615_j.pdf

「マイナポイント別人に付与」計172件　原因最多は「ログアウト漏れ」　総務省発表 (ITmedia, 2023/06/20)

「マイナポイント別人に付与」計172件　原因最多は「ログアウト漏れ」　総務省発表

原因として最も多かったのは、自治体窓口の端末で、前の人がログアウトを忘れたまま次の人が操作する「ログアウト漏れ」で、136件あった。

機密性が侵害されているという点で、これもサイバーインシデントです。申請時に共用 PC を使わざるを得ないのは怖いですね。

複数サーバが侵害被害、海外子会社のVPN装置経由で - 村田製作所 (Security Next, 2023/06/19)

【セキュリティ ニュース】複数サーバが侵害被害、海外子会社のVPN装置経由で - 村田製作所（1ページ目 / 全1ページ）：Security NEXT

同社によれば、第三者によって海外子会社のリモートアクセス用VPN装置を経由し、社内ネットワークへ侵入され、複数のファイルサーバがアクセスされたという。攻撃にともなうデータの暗号化や脅迫行為などは確認されていない。

2020年にカプコン社がやられたのと同様の経路のようです。

村田製作所のプレスリリースはこちら：https://corporate.murata.com/ja-jp/newsroom/news/company/general/2023/0613

最近のAzure、Microsoft 365の障害はDDoS攻撃によるもの：マイクロソフトが認める (Codebook, 2023/06/19)

最近のAzure、Microsoft 365の障害はDDoS攻撃によるもの：マイクロソフトが認める | Codebook｜Security News

マイクロソフトは16日金曜、6月初旬に同社の諸サービスで相次いで発生していた障害の原因が脅威アクター「Storm-1359」によるレイヤ 7DDoS攻撃であったと認める内容のブログ記事を公開した。なおStorm-1359とはマイクロソフト独自の呼称であり、一般的に同グループは「Anonymous Sudan」と呼ばれることが多い。

6月7〜9日にかけて Outlook や OneDrive が使えなくなった事案の原因に関する記事。

Microsoftのブログ記事はこちら：https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/

「Smooth File」のランサムウェア被害の原因判明　VPN機器の脆弱性を悪用か (ITmedia, 2023/06/19)

「Smooth File」のランサムウェア被害の原因判明　VPN機器の脆弱性を悪用か

なお、ランサムウェアの侵入経路については第三者の専門業者と連携して調査しており、初動対応時の状況や被害状況から本稿執筆時点ではメンテナンス用VPN機器の脆弱性を突かれて内部侵入された可能性が高いと判断している。ランサムウェア侵入後にサービス基盤の脆弱性を突かれ、基盤上で稼働しているゲストOSが一斉に暗号化されたことによってサービスが停止した。

サイバー犯罪グループの犯行声明にも同じ記載があったので、答え合わせですね。重大な脆弱性の放置はいけません。

Killnet Threatens Imminent SWIFT, World Banking Attacks (DARK Reading, 2023/06/17)

Even so, in a video posted on a Russian Telegram channel on June 16, Killnet made ominous threats against the SWIFT banking system (famously targeted by Lazarus in 2018); the Wise international wire transfer system; the SEPA intra-Europe payments service; central banks in Europe and the US (i.e., the Federal Reserve); and other institutions.

サイバー犯罪グループが連盟で SWIFT への攻撃を予告した、という記事。基本戦術が DDoS のグループのはずですが、非公開システムである SWIFT にどのように攻撃するのか…。

追記：SWIFT ではなく欧州の特定の金融機関に対して攻撃を行ったようです。

https://cybernews.com/news/european-investment-bank-cyberattack-russia/

攻撃者は正規のIDとパスワードを使い不正ログイン、パーパスのマルウエア被害 (日経クロステック, 2023/06/16)

攻撃者は正規のIDとパスワードを使い不正ログイン、パーパスのマルウエア被害

住宅設備関連機器やITサービスなどを手掛けるパーパスのエネルギー事業者向け管理システムで発生しているシステム障害を巡り、攻撃者が複数セットの正規のIDとパスワードを使用して複数回不正ログインしていたことが、2023年6月16日までに明らかになった。

パーパスのインシデントの続報。認証情報はどこから漏れたのでしょうか。

■ 脆弱性・TTP関連

Pro-Russia DDoSia hacktivist project sees 2,400% membership increase (BleepingComputer, 2023/06/29)

Pro-Russia DDoSia hacktivist project sees 2,400% membership increase

The pro-Russia crowdsourced DDoS (distributed denial of service) project, 'DDoSia,' has seen a massive 2,400% growth in less than a year, with over ten thousand people helping conduct attacks on Western organizations.

Sekoia collected data regarding some targets sent by the DDoSia C2 between May 8 and June 26, 2023, and found that those targeted were mostly Lithuanian, Ukrainian, and Polish, accounting for 39% of the project's total activity.

新ロシア派の運営する DDoS サービスの利用者が急増し、攻撃の多くは NATO 加盟国等の西側諸国に対して行われている、という記事。

MITRE releases new list of top 25 most dangerous software bugs (BleepingComputer, 2023/06/29)

MITRE releases new list of top 25 most dangerous software bugs

MITRE's 2023 top 25 weaknesses are dangerous due to their significant impact and widespread occurrence in software released over the past two years.

"These weaknesses lead to serious vulnerabilities in software. An attacker can often exploit these vulnerabilities to take control of an affected system, steal data, or prevent applications from working," CISA warned today.

MITRE が過去 2 年間にリリースされたソフトウェアに数多く見つかっている脆弱性のタイプを公開した、という記事。ランキング上位の脆弱性は順位の変動があまり見られないようです。

名刺管理サービスにソーシャル攻撃の脅威 (日経クロステック, 2023/06/28)

名刺管理サービスにソーシャル攻撃の脅威

そこで、法人向け名刺管理サービス市場のシェア上位と見られる4社について、それぞれのサービスで2要素認証を用意しているか、ソーシャル攻撃にどう備えているかなどを調べた。対象となる4社は、調査会社シード・プランニングが調査した2021年の法人向け有料名刺管理サービス市場シェアを参考に選んだ。

調査の結果、2要素認証を用意していると確認できたのはSansanだけだった（表1）。セキュリティー企業S＆Jの三輪信雄社長は2要素認証を備えていないクラウドサービスについて「利用者が他のクラウドサービスとパスワードを使い回している場合、不正ログインの被害に遭うリスクが跳ね上がる」と指摘する。

　

いまどき、個人情報を扱うサービスで2要素認証が無いのはあまりに無用心だと思います。

Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack (The Hacker News, 2023/06/26)

Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack

An unknown cryptocurrency exchange located in Japan was the target of a new attack earlier this month to deploy an Apple macOS backdoor called JokerSpy.

The attack targeted a large Japan-based cryptocurrency service provider focusing on asset exchange for trading Bitcoin, Ethereum, and other common cryptocurrencies. The name of the company was not disclosed.

日本の暗号資産交換所が JokerSpy という macOS のバックドアを悪用した攻撃を受けている、という記事。

Update now! Apple fixes three actively exploited vulnerabilities (Malwarebytes Labs, 2023/06/22)

Update now! Apple fixes three actively exploited vulnerabilities

Apple has released security updates for several products to address a set of flaws that it says are being actively exploited.

Apple 製品の脆弱性が数多く公表され、緊急の修正プログラムが配信されている、という記事。

「MOVEit Transfer」にあらたな脆弱性 - 5月末以降、3度目の更新 (Security NEXT, 2023/06/19)

【セキュリティ ニュース】「MOVEit Transfer」にあらたな脆弱性 - 5月末以降、3度目の更新（1ページ目 / 全2ページ）：Security NEXT

Progress Softwareのファイル転送ソリューション「MOVEit Transfer」に深刻な脆弱性「CVE-2023-35708」が明らかとなった。5月末以降、今回で3度目のアップデートとなるが、深刻な影響を及ぼすおそれがあるとしてすべての利用者へ対応を呼びかけている。

日本国内ではあまり話題になりませんが、海外で大きな影響が出ているようです。一連の脆弱性を突いた攻撃により、サイバー犯罪グループ Cl0p による被害が出ています。

「情報窃取した」と脆弱性が見つかったMOVEit利用企業を脅迫、6月14日が期限

偽セキュリティ研究者、GitHubとTwitter悪用してPoC偽装したマルウェア拡散 (TECH+, 2023/06/17)

偽セキュリティ研究者、GitHubとTwitter悪用してPoC偽装したマルウェア拡散

これらの不正なリポジトリにはGoogle Chrome、Microsoft Exchange、Discordなどに存在するとされるゼロデイ脆弱性に関する概念実証(PoC: Proof of Concept)が公開され、不正なTwitterアカウントで拡散されていたという。概念実証コードはPythonスクリプトとなっており、マルウェアをダウンロードして被害者のシステムで実行するよう設計されていることが確認されている。

セキュリティリサーチャに対する水飲み場攻撃。

Barracuda ESGの侵害、中国関与か - スパム装いゼロデイ攻撃を隠蔽 (Security NEXT, 2023/06/16)

【セキュリティ ニュース】Barracuda ESGの侵害、中国関与か - スパム装いゼロデイ攻撃を隠蔽（1ページ目 / 全2ページ）：Security NEXT

Barracuda Networksの「Email Security Gatewayアプライアンス（ESG）」に対して、半年以上にわたりゼロデイ攻撃が行われていた問題で、調査を行ったMandiantは、中国より支援を受けるグループが攻撃に関与したとの見方を示した。同アプライアンスを利用する組織に対して侵害状況や影響などを調査するよう呼びかけている。

米国を中心にヨーロッパ（24％）、アジア太平洋地域（22％）と広範囲に攻撃が展開された。影響を受けた組織の3分の1近くが政府機関で、それ以外も多岐にわたる分野が標的になったと指摘している。

日本ではあまり使われていない機器だと思いますが、海外を中心に被害が出ているようです。

Apache Struts 2に複数の脆弱性 (ScanNetSecurity, 2023/06/16)

Apache Struts 2に複数の脆弱性 | ScanNetSecurity

The Apache Software Foundationが提供するApache Struts 2には、リストの境界の不適切な確認（CVE-2023-34149）、マルチパートフォーム内の非ファイル標準形式フィールドのサイズ未確認（CVE-2023-34396）が存在し、両脆弱性ともに悪用された場合、OOM（Out Of Memory）を介してサービス運用妨害（DoS）攻撃を受ける可能性がある。

DoS の脆弱性が公開されています。なくならないですね。

■ AI 関連

AI-Enabled Voice Cloning Anchors Deepfaked Kidnapping (DARK Reading, 2023/06/30)

AI-Enabled Voice Cloning Anchors Deepfaked Kidnapping

An incident earlier this year in which a cybercriminal attempted to extort $1 million from an Arizona-based woman whose daughter he claimed to have kidnapped is an early example of what security experts say is the growing danger from voice cloning enabled by artificial intelligence.

Deepfake を悪用した誘拐・脅迫事件が増えている、という記事。生成 AI と Deepfake の融合は近い将来必ず起こると思います。直接見たもの以外何も信じられない世界になりそうです。

「行政のためのプロンプト・エンジニアリング入門」無償公開　note深津さんが作成 (ITmedia, 2023/06/26)

「行政のためのプロンプト・エンジニアリング入門」無償公開　note深津さんが作成

資料では、いいプロンプトを作るコツとして「最新モデルを使う」「指示を最初に書く」「指示と文脈（情報）を区切り線などで明示的に分ける」などを提示。他にも、深津さんが作成したプロンプトのテンプレートもいくつか記載している。

行政機関に限らず、参考になるような内容が含まれていると思います。

資料はこちら：https://note.com/akihisa_shiozaki/n/n4c126c27fd3d

神戸市、“庁内版ChatGPT”を内製　利用スタート　個人情報の扱いは？ (ITmedia, 2023/06/26)

神戸市、“庁内版ChatGPT”を内製　利用スタート　個人情報の扱いは？

神戸市は6月23日、市庁内でチャットAIの利用を始めたと発表した。大規模言語モデル「GPT-4」などをMicrosoftのクラウドで使える「Azure OpenAI Service」を活用し、コミュニケーションツール「Microsoft Teams」からAIにアクセスできるアプリを内製。9月22日までの3カ月間、職員約100人が業務に使い、利便性を検証する。

先進的でとても良いです。まずは使ってみることが大事ですね。

神戸市が公開しているガイドラインはこちら：https://www.city.kobe.lg.jp/documents/63928/seiseiaiguideline.pdf

ChatGPTなど生成AIの「活用を検討」も「イメージ湧かない」企業、4分の3に上ると判明 (INTERNET Watch, 2023/06/21)

ChatGPTなど生成AIの「活用を検討」も「イメージ湧かない」企業、4分の3に上ると判明【やじうまWatch】

生成AIを業務で活用している、または活用を検討している企業は合わせて61.1％にも上る一方で、活用を検討している企業（52.0％）の4分の3近く（全体の37.8％）が、現時点では活用イメージが湧かないと回答したという。アンケートでは「業務とのつながりがイメージできない」「使用したいが、使い方がよく分からない。詳しい社員もいないのでしばらくは静観するしかない」といった声があるなど、具体的な導入ビジョンはないものの興味だけはあるという現状がうかがえる。

いずれの生成 AI もいまのところ無料で使えますし、まずは使ってみないことには始まらないですよね。

帝国データバンクのプレスリリース（出典元）はこちら：https://prtimes.jp/main/html/rd/p/000000676.000043465.html

10万件超のChatGPTアカウントが盗まれてダークウェブで取引されていることが判明、企業の機密情報が漏えいする危険も (GIGAZINE, 2023/06/21)

10万件超のChatGPTアカウントが盗まれてダークウェブで取引されていることが判明、企業の機密情報が漏えいする危険も

Group-IBは、感染したデバイスからさまざまな資格情報を盗み出すインフォスティーラーと呼ばれるタイプのマルウェアにより、過去1年間で10万1000件を超える「ChatGPTアカウントの認証情報」が盗み出されていたと報告しました。

監視期間中に侵害されたChatGPTアカウントは10万1134件に達し、そのうち7万8348件がRaccoon、1万2984件がVidar、6773件がRedlineというインフォスティーラーによって侵害されたものです。

Stealer に感染すると、ChatGPT のアカウントだけでなく様々な認証情報が盗まれます。目に見えて件数が増えるほど ChatGPT の利用者が増加している、と読むのが正しそうです。

■ トピックス

DuckDuckGoのWebブラウザ（β）、ついにWindowsにも　YouTubeの広告なし再生も可 (ITmedia, 2023/06/23)

DuckDuckGoのWebブラウザ（β）、ついにWindowsにも　YouTubeの広告なし再生も可能

デスクトップ版もモバイル版と同様に、DuckDuckGoの検索エンジンがデフォルトになっており、パスワードマネジャー、トラッカーブロッカー、HTTPS版のWebページを表示するSmarter Encryption機能を搭載する。

さらに、Cookieのポップアップを表示しない機能や、メールからトラッカーを削除する機能など、さまざまなプライバシー保護機能を搭載する。

非常に使いやすそうです。

CentOS Linux 7のサポートが2024年6月で終了、移行先の選択肢は (日経クロステック, 2023/06/23)

CentOS Linux 7のサポートが2024年6月で終了、移行先の選択肢は

企業で多く使われている無償のLinuxディストリビューション「CentOS Linux 7（CentOS 7）」のコミュニティーサポートが2024年6月30日で終了する。サポートが終わるとセキュリティーパッチが提供されなくなり、重大な脆弱性が見つかった場合に対処できなくなる。直接的な後継製品はなく、利用企業は何らかの移行作業が求められる。

RHEL クローン最大手の CentOS の終了。Alma や Rocky はありますが、いずれにせよ乗り換えの検討は必要になりそうです。

「サイバー保険パートナー」をAWSが募集開始、合理化でユーザー負担を8割軽減 (日経クロステック, 2023/06/22)

「サイバー保険パートナー」をAWSが募集開始、合理化でユーザー負担を8割軽減

同プログラムは、AWSのユーザー企業がサイバーセキュリティー保険に加入するプロセスを簡易化する仕組み。AWSが、ユーザーと保険を提供するパートナー企業の間に入り、クラウドセキュリティー体制管理サービス「AWS Security Hub」を使ってユーザーのセキュリティーリポートを保険会社に共有する。AWSが直接、サイバー保険を提供するわけではない。

特定のパートナーと連携してサイバー保険をユーザーに提供する仕組みは、クラウド大手である米Microsoft（マイクロソフト）や米Google（グーグル）も提供している。ただし、「プログラムとしてパートナーを募集し、直接的にクラウドから情報を提供するという点で新しい」。

心理的な加入障壁が下がる、という点で良い取組みだと思います。

AWSが14個のセキュリティー機能を一気に発表、「ゼロトラストの次」語る (日経クロステック, 2023/06/21)

AWSが14個のセキュリティー機能を一気に発表、「ゼロトラストの次」語る

　会場から最も多くの拍手が起こった新サービスの1つが「Amazon Verified Permissions」の一般提供開始だった。同社が2022年11月にプレビューとして提供を開始した機能で、re:Inforceに登壇したAWSのBecky Weiss（ベッキー・ワイス）シニアプリンシパルエンジニアは、「ゼロトラストの次の段階だ」と説明した。

Amazon Verified Permissionsは顧客のカスタムアプリケーション向けの認証とアクセスを管理する新サービスだ。ユーザーの種別やアクションに対して権限を付与するなど細かい管理が可能になる。アプリのコードを変更せずに、認証のルールや更新を一元管理できる。認証関連の作業をアプリ開発から分離することで、認証を実装する工数を大幅に削減できる。

　

プレビュー版で公開されていた機能。アプリコードの変更不要とのことで、導入もしやすそうです。