SecurityWeekのサイバーセキュリティニュースまとめでは、見落とされがちな注目すべき話題を簡潔に集約してお届けします。
私たちは、単独の記事にするほどではないかもしれないものの、サイバーセキュリティの状況を包括的に理解するうえで重要なニュースを有益に要約して提供します。
毎週、最新の脆弱性の発見や新たな攻撃手法から、重要な政策変更や業界レポートまで、注目すべき動向を厳選して紹介します。
今週の主な話題はこちら:
三菱電機、Nozomi Networksの買収を完了
三菱電機は、産業向けサイバーセキュリティ企業Nozomi Networksの約10億ドル規模の買収を正式に完了した。Nozomiは完全子会社として、独立して事業を継続する。
LastPass、攻撃者インフラを妨害後に新たなフィッシング波を検知
LastPassは、最近のバックアップを装ったフィッシングキャンペーンの背後にいる脅威アクターが、同様の手口で別のメール波を送信したと述べた。メール本文は同じだが、新しい波に含まれるリンクは、LastPassが初期インフラを妨害したことを受けて変更されている。「Forta Brand Protection(旧PhishLabs)と連携してテイクダウン作戦を実施したことに加え、LastPassはホスティング事業者と直接協力し、関連サイトを可能な限り迅速に削除した」と、LastPassのシニア・プリンシパル脅威インテリジェンス研究者であるMike Kosak氏はSecurityWeekに語った。
CISA、指導部交代を受けRSA Conferenceから撤退
CISAは、年次のRSA Conferenceに今後参加しないと発表した。この決定は、バイデン政権下でCISA長官を務めたJen Easterly氏が、同会議の新たな最高経営責任者に任命されたことを受けたものだ。CISAの担当者は「最大の効果を確保し、納税者の資金を適切に管理するため、すべてのステークホルダーとの関与を定期的に見直している」と述べた。
CISA、耐量子暗号統合のための製品カテゴリを提示
CISAは、耐量子暗号(PQC)標準の取り込みを開始すべき具体的な技術カテゴリを特定する新たなリソースを公開した。このガイダンスは、将来の量子コンピューティング能力によって脆弱になり得る暗号技術に依存するシステムに焦点を当てている。同庁は、重要インフラおよび連邦ネットワーク全体で量子耐性アルゴリズムへの移行を優先順位付けするうえで、組織を支援することを目的としている。
CISA長官代行が機密ファイルをChatGPTにアップロードしたと報道
CISAの長官代行であるMadhu Gottumukkala氏は、公用版ChatGPTに機微な政府情報をアップロードしたとして、内部審査の対象になっていると報じられている。この事案では、同庁の業務に関する文書がAIプラットフォームを通じて処理され、同プラットフォームは通常、モデル学習のためにデータを保持する。当局は現在、露出の範囲と、同庁のセキュリティ手順への潜在的影響を評価している。
Google、音声録音のプライバシー訴訟を6,800万ドルで和解
Googleは、アシスタント技術を通じた音声データの無断収集をめぐる法的紛争を解決するため、6,800万ドルの和解に達した。訴訟では、アシスタントが誤って起動した場合を含め、明示的な同意なしにユーザーを録音していたと主張されていた。
レポート:脆弱性攻撃の大半はホスティング事業者によって遮断されていない
ウェブサイトセキュリティ企業PatchStackが実施した最近の調査によると、一般的な脆弱性エクスプロイトの大多数は、ホスティングサービス提供者によって十分に緩和されていないことが示唆されている。データは、これらの攻撃の約4分の1がホスト側の組み込み保護で阻止されるにとどまり、多くのウェブサイトが二次的なセキュリティ対策に依存していることを示している。
Apple、プラットフォームセキュリティガイドを更新
Appleは、デバイス向けの最新防御策に関する技術的詳細を提供する、Platform Securityガイドの更新版を公開した。この文書には、特定の種類の不正アクセスからiPhoneを保護するために設計された、最近実装された保護機能に関する情報が含まれている。これらの更新は、現行デバイスラインアップの基盤となるハードウェアおよびソフトウェアアーキテクチャの変更を反映している。
FBI、著名なサイバー犯罪フォーラムRAMPを押収
連邦当局は、地下の関係者がさまざまな違法活動に利用していたプラットフォームであるRAMPサイバー犯罪フォーラムを掌握した。サイトには押収通知が表示され、この作戦にFBIと国際的な法執行機関のパートナーが関与したことが示された。
アイオワ州の郡、2019年の逮捕をめぐりセキュリティ研究者と和解
アイオワ州ダラス郡は、州の許可を受けた物理的ペネトレーションテストを実施中に逮捕された2人のサイバーセキュリティ研究者に対し、60万ドルを支払うことで合意した。この和解により、2019年の事案を受けて続いていた長年の法的手続きが終結する。当時、研究者らは州司法部門との有効な契約を有していたにもかかわらず、住居侵入(窃盗)で起訴されていた。この事件は、セキュリティ専門家が直面する法的リスクの例として広く引用されている。
