2023年4月に収集した情報に関する備忘録です。主にセキュリティに関する情報をまとめますが、それ以外の気になる情報も含みます。
インシデント関連
G7前にサイバー攻撃が頻発 特殊な手法、企業や官庁に (共同通信, 2023/04/29)
図はおかしい気がします…。分かりやすくしようとして正確ではなくなることがよくありますね。
公開前の福井市人事異動、URLの一部換えたら読めた…同僚にも方法教えた職員処分 (読売新聞, 2023/04/29)
そもそもアクセス制御に不備がある時点で「不正アクセス」には該当しない気もしますが、就業規則違反等に該当するということなんですかね。
新潟県の公文書データ10万件が消失 保守業者がテストなしで新機能追加し不具合に (ITmedia, 2023/04/24)
外部委託先管理の重要性が分かる事案。予算の問題はあるにせよ、バックアップ期間が極端に短いですね。
大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 (ScanNetSecurity, 2023/04/21)
2021年の半田病院さんでの事案 に続く、医療系での大規模インシデント。体制やシステム構成等は異なっていても、この報告書は自組織の対策を検討・見直す上で参考になるのではないでしょうか。
報告書はこちら:https://www.gh.opho.jp/important/785.html
「指定するドメインのみ利用可能」ABC-MARTオンラインストアが打ち出した不正対策が話題 (INTERNET Watch, 2023/04/18)
職場のメールアドレスを利用している方も意外と多そうな気がしています。どんなリスクシナリオを想定したのか気になりますね。
脆弱性関連
Hackers actively exploit critical RCE bug in PaperCut servers (BleepingComputer, 2023/04/19)
日本ではあまり話題になっていない気がしますが、PaperCut の RCE 脆弱性に起因するインシデントが発生しているようです。
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント (ISOG-J, 2023/04/12)
クラウドやAPIの話も入っているので、バリバリの開発者でなくとも参考になるかもしれません。
生成AI
セキュリティ担当者がChatGPTの業務利用方針を検討するうえでの留意点 (Assured, 2023/04/10)
日ごとに新しい情報が出てきますが、情報をさくっとキャッチアップするには良いまとめだと思います。
ガイドライン関連
SBOM導入の手引書、パブコメを実施 - 経産省 (Security NEXT, 2023/04/28)
一から十まで内製でやっている組織でないと、完璧に導入・運用するのは難しいのではないでしょうか。
パブコメ案はこちら:https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595223028&Mode=0
プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を改訂 (IPA, 2023/04/26)
コロナ禍がある程度落ち着き、多くの組織で職場回帰が進む中、特に中小企業でテレワーク制度がどの程度残るのか、個人的には非常に疑問です。
社長になりすましグループ企業取締役に金銭要求 ~ IPA「BEC事例集」新規事例 (ScanNetSecurity, 2023/04/19)
BECは被害がなかなか表沙汰にならず注目されにくい印象がありますが、被害額も大きくなりがちなので対策の優先度は高いのではないかと思っています。
IPAのドキュメントはこちら:https://www.ipa.go.jp/security/bec/bec_cases.html
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見の募集 (2023/04/18)
近年の医療系インシデントを踏まえた改定ですね。
経産省がセキュリティー指針を5年ぶりに改訂、サプライチェーン対策が急務に (日経クロステック, 2023/04/18)
「サイバーセキュリティ経営ガイドライン Ver3.0」が公開されました。
ガイドラインはこちら:https://www.meti.go.jp/policy/netsecurity/mng_guide.html
トピックス
地方金融機関の7割、セキュリティリスクを評価できる人材が不足 (Security NEXT, 2023/04/28)
官主導の自己評価では高めの点数で回答するのが通常だと思いますが、それでもこの数字ということは人材不足は相当深刻のように見えます。
報告書はこちら:https://www.fsa.go.jp/news/r4/cyber/20230418.html
2023年1月から3月を振り返って (JPCERT/CC, 2023/04/26)
2023年3月に Emotet が再度活発になり、新たな手口として OneNote 形式のファイルがダウンローダとして使われました。
米サイバー犯罪の実態が明らかに (日経クロステック, 2023/04/26)
暗号資産は1件あたりの金額が大きいので、ランキング的には上位に来ているということなんでしょうね。
レポートはこちら:https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
いかに「SBOM」を関係者間で共有するか - 米CISAがレポート (Security NEXT, 2023/04/18)
具体的な取り組み事例が載っているのは良いですね。
レポートはこちら:https://www.cisa.gov/sites/default/files/2023-04/sbom-sharing-lifecycle-report_508.pdf
うちの会社の「ゼロトラスト熟成度」は? 4段階で評価するガイダンスをCISAが公開 (ITmedia, 2023/04/17)
日本でも今後は規模・業態問わずゼロトラストの思想が広がっていくのではないでしょうか(コロナ禍ではあまり広がったようには思えませんが…)。
ガイダンスはこちら:https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model
IPA 内部不正防止体制に関する調査結果発表、体制 認識 対策等 課題山積 (ScanNetSecurity, 2023/04/13)
性善説は悪いことではないですが、セキュリティはある程度性悪説に則って考えないと、説明責任が果たせずに最終的に苦しい立場に置かれる可能性があると思います。
報告書はこちら:https://www.ipa.go.jp/pressrelease/2023/press20230406.html