2025.02.28(金)
- 注目検索ワード
FTC によると、教育テック大手である Chegg のずさんなデータセキュリティ対策のために、学生や従業員の個人情報が 4 年の間に、1 度ならず 4 度も、さまざまな形で漏洩していたことが明らかになった。
「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって。
「任意」ということになってはいるのだが、人事上の査定にも係わるとほのめかされたそうで、酷い話だと思ったことを覚えている。本事案はこれにも似た気持ち悪さを感じる。日本の組織では、個人情報保護が個人のプライバシー保護に優先するのか。
Facebook の親会社Meta は、実質あらゆるコストを削減しているが、かなりの額にのぼる創業者マーク・ザッカーバーグ氏の個人警備費の予算は削っていない、というより実際にはその額は 400 万ドル増えている。
ペネトレーションテストはそれと同じと思っています。お客さんは何かを気にしていて、そうされないように、攻撃されないようにネットワークやインフラを作っているので、その有効性をちゃんと検証していくのがシナリオの基本になってくる。
2023 年 1 月に ManageEngine をはじめとする Zoho 社の製品に、遠隔からの任意のコードの実行が可能となる脆弱性が報告されています。
だから「良くないシナリオ」とまず言えるのは、お客さんが打った対策を「含んでいない」シナリオです。
お菓子大手Mondelez International は、2017 年に NotPetya が猛威を振るった後に、1 億ドル超の後始末費用の補償を拒否した保険会社Zurich American Insurance Company に対して提起した訴訟で、和解した。
リスクベース認証に必要な不正検知、ふるまい検知にとって、AI(機械学習や統計学的手法)は欠かせない存在だ。AI系のセキュリティ応用技術では中国やアメリカ、イスラエルが世界をリードしているが、国内で同様な研究がないわけではない。
![「KillNet」がドイツに大規模サイバー攻撃/Chrome の脆弱性「SymStealer」を悪用した攻撃シナリオ公開 ほか [Scan PREMIUM Monthly Executive Summary 2023年1月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/40538.jpg)
注目の脅威情報としては、FBI が、昨年 6 月に発覚した仮想通貨のブリッジングサービス「Harmony Horizon Bridge」から、総額 135 億円相当の仮想通貨が流出した事案において、北朝鮮の APT グループ「Lazarus」が仮想通貨の窃取に関与していたと発表しています。
![[まさか本気でそんなに儲かると思った?]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/40532.jpg)
「サイバー犯罪界隈で働く技術者と正規の雇用市場で働く技術者の報酬額の中央値を比較したところ大きな違いは検出できなかった」と指摘している。
幼稚園・小中高校とその学区では、より効率的かつ効果的に学習するために高度なネットワーキング技術を採用してきた。それにより技術的に発展したが、一方でリスクも高まり、全米のK-12教育機関はサイバー攻撃の標的となった。
