2026.04.04(土)
- 注目検索ワード
WordPress で作成された Web サイトのバックアップを取得し、他のサーバへ移行するプラグインとして世界的に利用されている All-in-One WP Migration and Backup に、遠隔からの任意のコード実行につながる脆弱性が報告されています。脆弱性は、バックアップ作成時のエクスポート処理に存在します。
安全性を高めるため証明書の最大有効期間は年を追って徐々に短くなってきた。2011 年以前は最長で約 8 年だったものが、2020 年には約 13 ヶ月になった。Apple の提案が受け入れられれば、証明書の最大有効期間は 2025 年 9 月から 200 日に短縮され、その 1 年後には 100 日に、そして 2027 年 4 月以降は 45 日まで短くされる。この提案には、ドメイン認証(DCV)の有効期間を段階的に短縮し、2027 年 9 月以降は 10 日にすることも含まれている。
ここで改めてことわっておくが「即時解除」とはサノフィ株式会社のリリースに記載された文言である。複数名及び複数組織のステークホルダーによるチェックという長い道のりを経て公開されたリリースに「即時解除」とあった訳で、強い怒りを感じさせることを厭わないこんなワードが再発防止策として記載されたのを目にしたのは、年間 1,000 本は情報漏えいのリリースを読んでいる筆者にとってもめったにない経験であることを記しておく。
2024 年 8 月に公開された Jenkins サーバの脆弱性を悪用する、エクスプロイトコードが公開されています。
空売り投資家が 4 月に、グローブ・ライフで詐欺行為が広く行われ、女性従業員へのレイプや麻薬使用、見返り要求などを可能にした「セクハラ文化」が存在すると訴える報告書を発表し同社株価は急落した。新たに明らかになったのは、恐喝未遂の背後にいる正体不明の脅威アクターが、空売り投資家にも影響を及ぼそうとしたという事実である。
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
一部の詐欺師は AI 支援型のソーシャルエンジニアリングツールを使用しており、ディープフェイクを使用した破壊的攻撃の可能性もあるが「一般的にこの技術は、大半のサイバー犯罪者が求めるような高い投資収益率を期待できるものではない」と彼女は言った。「私は 3 文字表記の機関に友人や接点がありますが、彼らによると、国家による攻撃はディープフェイクの作成からは目を背け、電話を使った、より伝統的ボイスフィッシングの手法に戻りつつあるようです」とデニス氏は述べた。
![活況 InfoStealer/財政難原因か ロンドン公共交通攻撃/GeoServer 脆弱性/毒殺からサイバー攻撃まで 露精鋭部隊 ほか [Scan PREMIUM Monthly Executive Summary 2024年9月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/46363.jpg)
注目のインシデントとして、英国のロンドンの公共交通機関(Transport for London, TfL)に対するサイバー攻撃事件について報じられています。
2024 年 6 月に公開された PHP の脆弱性を悪用するエクスプロイトコードが公開されています。
中国は巨大な市場だが、SpaceX や Amazon のような宇宙ブロードバンド事業者が中国政府の規制案に積極的に同意するとは考えがたい。特にイーロン・マスク氏が自称する言論の自由への熱烈な支持は、コンテンツを監視し、削除を要求するという中国の願望とは相容れないからだ。とはいえ、中国でテスラを大量に販売したいというマスク氏の願望の方が熱烈である可能性は否定できない。
新聞社は最新の研究成果を世に知らしめる役割も持っているような気がするのだが、現在の新聞は実務者として「偽・誤情報が情報空間に氾濫し脅威となっていること」をせっせと喧伝している。これは検証された事実ではないので、この主張に固執すること自体が陰謀論者に限りなく近い。
Mastercard は過去 3 年間で、30 億ドル以上を費やしてセキュリティの人材を獲得してきた。Recorded Future は最近で最大の買収かもしれないが、Mastercard は 2021 年に ID 管理の Ekata の買収に 8 億 5,000 万ドルを費やし、同じ年に暗号詐欺検知の CipherTrace を非公開の金額で買収した。
2024 年 7 月に公開された、GeoServer およびその関連ツールの脆弱性の悪用を試みるエクスプロイトコードが公開されています。
クレディセゾンとe-ながさきどっとこむ、何か背中合わせに銃を構えて敵と対峙するような、信頼し合うバディの連携をも感じさせるプレスリリース発信である。何よりもユーザーのメリットを重視せんとする意志を感じるこうした事例を本連載は今後も積極的に紹介し称賛していく所存だ。
木曜の朝、「フォーティビッチ(Fortibitch)」を名乗る何者かがダークウェブのあるフォーラムに投稿し、440 GB もの Azure SharePoint ファイルをダウンロードできるようにした。この何者かは、データを流出させない代わりに身代金を支払うことをフォーティネットに提案したと主張したが、同社は支払いを拒否したと述べている。
セキュリティ予算は引き締めの方針が取られているようで、CISO は「これまでになく予算の伸びは緩やか」と報告しており、さらにその 3 分の 1 以上が「今年の予算は横ばいまたは削減の方向」と回答している。
2024 年 4 月に公開された、glibc の脆弱性を悪用する攻撃検証コードが公開されています。
![健康診断は行け/戦争時のサイバー作戦の有効性検討「TECIモデル」とは/Microchip Technology ランサム被害 ほか [Scan PREMIUM Monthly Executive Summary 2024年8月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/46085.jpg)
脅威分析の報告として、デンマーク陸軍合同通信大隊とデンマーク王立国防大学の研究者が、オックスフォード大学出版局の Journal of Cybersecurity に、戦争におけるサイバー作戦の有効性が非常に限定的であると主張する論文を寄稿しています。
連邦取引委員会(FTC)のプライバシーおよび個人情報保護部門の副部長であるベンジャミン・ワイズマンが労働者監視の問題について講演を行った。ワイズマンは「一部の企業やベンダーは、労働者が労働組合を結成するリスクを予測すると称するツールを開発している」と断言した。
米国は、国防総省が契約受注者に課すサイバーセキュリティ基準が繰り返し満たされなかったとされる事案について、同国の主要研究大学の 1 つを提訴した。疑惑の中には、2019 年 5 月から 2020 年 2 月にかけて、ジョージア工科大学のアストロラボス研究室が、国防総省の基準(NIST 800-171)に準拠したサイバーセキュリティ計画の策定・実施を怠ったという指摘がある。
7 月に最も件数換算の被害規模が大きかったのは、東京ガス株式会社と東京ガスエンジニアリングソリューションズ株式会社(TGES)による「東京ガスエンジニアリングソリューションズのネットワークに不正アクセス、約 416 万人分の個人情報が流出した可能性」の約 416 万人だった。
