Infosec In Brief 英国の国家サイバーセキュリティセンター(NCSC)は、攻撃者を欺く目的で設計されたハニーポットやダミーアカウントといったサイバー欺瞞戦術が、非常に慎重に実装された場合には有用になり得ることを明らかにした。
NCSCは複数のボランティア企業とともにサイバー欺瞞技術をテストした。というのも、巧妙に仕掛けられた罠に迷い込んだ攻撃者は手がかりを残し、それがこうしたツールのベンダーによれば脅威インテリジェンスへと変わり得るからだ。
NCSCは先週公開したブログ記事によると、Active Cyber Defense 2.0プログラムの実施中に、そうした主張に一定の真実があることを確認したという。
「我々は、サイバー欺瞞がレガシーシステムやニッチなシステムを含む多くのシステムにおいて可視性の確保に利用できることを確認しました」とNCSCは述べた。これは朗報だが、ただし注意点がある。「明確な戦略がなければ、組織は洞察ではなくノイズを生み出すツールを導入してしまうリスクがあります。」
言い換えれば、これらのツールを機能させるには、きちんとした計画が必要だということだ。
「サイバー欺瞞ツールが適切に構成されていない場合、脅威の検知に失敗したり、誤った安心感を与えたり、さらには攻撃者にとっての侵入口を作り出してしまうおそれがあります」とNCSCは警告した。「サイバー欺瞞ツールを適切な状態に保つには継続的な努力が必要です。」
NCSCはまた、欺瞞ツールを利用している企業の多くはその事実を公表したがらない一方で、データはむしろ逆であるべきことを示唆していることも突き止めた。
「攻撃者がサイバー欺瞞が使われていると認識すると、自らの攻撃に対する自信が低下します」と同センターは述べた。「これは攻撃者の手法を混乱させ、時間を浪費させることでコストを課し、防御側に利益をもたらします。」
NCSCはサイバー欺瞞ツールを現代的な防御戦略の不可欠な一部と見なしており、組織がそれらに適切に投資できるよう支援を開始したいとして、そのためのサービスの開発に取り組んでいると述べた。
AI開発予算を一瞬で枯渇させる方法
悪意ある行為者や訓練を受けていない開発者は、AI IDEのCursorやAWS Bedrockで支出上限を変更し、数時間のうちに数百万ドルを使い切ってしまう可能性がある。
Ox Securityというベンダーは、チームに加わったばかりの新任開発者が「数時間で我々のCursorの月次予算をうっかり使い切り、その後、管理者の承認や通知なしにチームの支出上限を100万ドル超に変更できることを発見した」ことで、この問題を身をもって知ることになった。
Ox Securityは先週、このインシデントを公表し、CursorとBedrockの双方において、権限のないユーザーが予算管理を変更するのを防ぐデフォルトの制御が欠如していること、さらに無制限アクセスを可能にするAPIトークンが漏えいし得ることを報告した。
両プラットフォームには、Oxが概念実証攻撃で示したように、悪意あるリンクや漏えいしたAPIトークンを通じて攻撃者がアクセスを得た場合に、こうした事故や悪意ある行為が発生するのを防ぐ機能が備わってはいるものの、いずれもデフォルトでは有効化されていない。
「これは単なる設定ミスではありませんでした」とOxは述べた。「AIプラットフォームが保護よりもスピードとアクセスを優先しているという構造的な問題を露呈させました。その結果、1つの漏えいトークンや悪意あるリンクが、無制限の利用を引き起こし得る環境が生まれているのです。」
自社の失態を取り上げた投稿の中で、Oxは今回のようなインシデントを防ぐための詳細な手順を示している。
スペイン警察、6400万件の個人情報窃取の容疑者を逮捕
9社から6400万人分の個人情報を盗んだとして、19歳の若者がスペインで身柄を拘束されている。
匿名の容疑者は、国民ID番号、住所、電話番号、国際銀行口座番号(IBAN)を盗んだとみられており、スペイン警察が先週発表した。容疑者は標的とした9社への侵入後、盗んだデータを暗号通貨と引き換えにオンラインで販売していたと報じられている。スペイン警察は、容疑者が不正な利益を隠していた暗号通貨ウォレットを凍結したと述べた。
法執行当局によると、昨年6月から侵害の捜査を進めており、その過程でバルセロナ近郊のイグアラダ市と、最終的に犯行に関与したとして拘束された容疑者にたどり着いたという。
ポーランド警察、旅回りのハッカーと疑われる3人組を逮捕
ワルシャワの警察は先週、3人組が脅威アクターの旅回り集団である疑いがあるとして、ウクライナ国籍の3人を拘束した。
ポーランド警察は交通違反で3人を停止させたところ、「目に見えて緊張している」様子だったと報告している。3人はヨーロッパ各地を旅行中で、最近ポーランドに到着したばかりであり、間もなくリトアニアへ向かう予定だと説明したという。
車両を捜索したところ、Flipperペネトレーションテストツールに加え、アンテナ、ノートPC、「大量のSIMカード」、ルーター、ポータブルハードドライブ、カメラなど、多数の不審な品が見つかった。警察によれば、すべての記憶媒体は暗号化されていた。
状況があまりに怪しかったため、警察は3人を拘束した。3人は自分たちはITスペシャリストだと主張している。
「より具体的な質問をすると、彼らは英語を忘れてしまったかのように振る舞い、何が言われているのか理解していないふりをしました」とポーランド警察は述べた。
ポーランド警察によると、3人から押収した機器は、国家の戦略的ITシステムへの干渉や、通信ネットワークへの侵入に利用され得るものであり、このかなり異例な状況の真相を法執行機関が解明するまで、3人は拘留されることになっている。
XSSがCISAの2025年版「最重要脆弱性トップ25」で首位に
CISAは、2025年版の「最も危険なソフトウェアの弱点」Common Weakness Enumerationトップ25を公開した。
このランキングは、その年に割り当てられたCVEの件数とは関係がなく、どの欠陥が最も大きな被害をもたらす可能性があるかに基づいている。
今年のトップは、ウェブページ生成時の入力の不適切な無害化、すなわちクロスサイトスクリプティング(XSS)で、2年連続で1位となった。2位はSQLインジェクションで、前年の3位から順位を上げている。これにクロスサイトリクエストフォージェリ(CSRF)、認可の欠如、範囲外書き込みが続く。
古典的なバッファオーバーフロー、スタックベースのバッファオーバーフロー、ヒープベースのバッファオーバーフロー、不適切なアクセス制御はいずれも新たにリスト入りしており、それらがもたらすリスクが高まっていることを示唆している。
CISAはセキュリティ専門家に対し、リストに挙げられた弱点の検出と修正を優先するよう呼びかけている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/14/infosec_news_in_brief/
