2025.12.07(日)
- 注目検索ワード
「結局のところ、この報告書で取り上げた脅威のいくつかについては、回避するための簡単な方法、または絶対確実な方法は存在しません」と Veriszon は述べている。
インシデントが起こるとセキュリティ会社は儲かるが保険会社はカネを失う。保険会社よりモチベーションの高いステークホルダーは当事者以外にいないかもしれない。いや、当事者であるユーザー企業はときに、迫る脅威を何も知らず正常性バイアスに満たされている可能性がある。一方金さえもらえば VPN のクレデンシャルが admin / admin とわかっていても気にしないセキュリティ企業も(日本には)存在する。一番クールに状況を分析し最悪のシナリオを検討しているのは保険会社だったというケースすらありうるかもしれない。
世間の反応を見ると、M&S の顧客はサイバーインシデントに対する同社の対応におおむね満足しているようである。理解できていない企業もあるが少なくとも英国では、被害に遭った側がサイバー攻撃の責任を取ることは非常に効果的であると、多くの組織が徐々に理解し始めている。大規模なセキュリティ侵害が発生した際の対応は、顧客とのオープンで誠実な、そして定期的なコミュニケーションに重きが置かれていくようになったのである。
4 月に最も件数換算の被害規模が大きかったのは、インターネットイニシアティブ(IIJ)による「「IIJセキュアMXサービス」に不正アクセス、4,072,650 件のメール情報が漏えいした可能性」の 4,072,650 件だった。しかし、IIJ ではその後情報漏えいの事実が確認されたのは、最初に漏えいの可能性があるとしたメールアカウント 4,072,650 件のうち 311,288 件が該当すると大幅に下方修正した。最大値を速報。インシデント情報共有の見本である。
新しい AI 機能により、任意の言語でフィッシングフォームを簡単に生成し、新しい地域向けに翻訳できるようになり、フィッシングサービスがさらに進化したという。「このカスタマイズにより、攻撃者は、認知度の低さと ROI の低さゆえにフィッシングキットの標的になることがほとんどなかったニッチブランドや地域ブランドを狙うことができるようになった」と Netcraft は 2 月に述べた。
あまたのセキュリティ対策と同様に、2FAおよび追加認証とて、効果がある、安全性が向上するという理由だけで経営層や消費者を納得させるのは難しい。
この議論の焦点は個人の給与額ではなく、高度なスキルを持つサイバーセキュリティ専門家を雇用することで得られる潜在的なコスト削減であるべきだと指摘した。2023 年に大英図書館がランサムウェア攻撃を受け、数百万ドルに及ぶと報じられた復旧費用がかかったが、もし英国が一流のセキュリティ人材にもっとお金をかけ、高額な外注業者への出費を減らせば、中央政府は同じように高くつく攻撃を受けるリスクを減らせるということだ。
2024年は金融機関にとって信頼を失いまくった1年だった。前代未聞クラスの内部不正の不祥事が、金融庁、東京証券取引所、野村証券、三菱UFJ銀行、三井住友信託銀行で発生した。これだけの大型不祥事が連続すると、恐怖!機動ビグ・ザムを量産されたみたいな絶望感だよ。インサイダー取引 量産型ビグ・ザムだ。やらせはせん!やらせはせんぞ!!
![オーストラリア 重要インフラ安全保障法 ほか [Scan PREMIUM Monthly Executive Summary 2025年4月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/48485.jpg)
Dragos 社は、オーストラリアの「重要インフラ安全保障法(SOCI 法)」に関する記事を投稿しています。筆者が注目した点は、同法が「食品・日用品供給事業者」や「データ保管・処理施設」を対象分野に含めている点です。
2025 年 3 月に、Apache 財団の Tomcat にて遠隔からの任意のコード実行につながる脆弱性が報告されています。
ちなみに事例主義がもっとも猖獗を極めているのはメディアの報道である。事件や問題が起きると、それが日本全国で起きている、あるいは、その時代や世代に蔓延しているかのような報道になっているような表現をするのは、悪しき事例主義そのものと言える。医療の世界でも同じだ。一定の確率で薬や治療で事故は起きる。しかし事例主義的報道によって、時として薬や治療法そのものへの拒否反応につながる。
2025 年 1 月に、IObit 社の Malware Fighter にて管理者権限の奪取が可能となる脆弱性が報告されています。
岡山県精神科医療センターへはランサムウェア攻撃の調査を専門家に依頼するにあたり、その目的を「つまびらかに事実を記載し、ひとえに今後の対策にとって重要な情報を正確に把握して、公表すること」とし「一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすることをお願いし」たとのことだ。
いろいろ考えさせられる文言である。それは、基本的には、あらゆるフォレンジック調査依頼とはこうした趣旨で行われなければおかしいからだ。とはいえわざわざこんなことを冒頭に書くのは明確に意志を感じた。
オラクルは、自社のパブリッククラウド帝国への侵入について顧客に手紙を送ったが、その際、「Oracle Cloud Infrastructure(OCI)」は影響を受けていないと主張したため、情報セキュリティコミュニティーでは嘲笑と怒りが入り混じった反応が巻き起こった。
ニューヨーク州は、非常に不適切な設計のウェブサイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。「情報漏えいの具体的な原因は、ナショナル・ジェネラルが設計し公開した安全性が低い Web サイトにある。しかし、より大きい意味での原因は、同社が合理的なデータセキュリティ対策の実施よりも利益を優先したことにある」と訴状には記載されている。
2024 年 11 月に、Pandora FMS にて遠隔からの任意のコード実行が可能となる脆弱性の悪用手法が公開されています。
フランスの大手法律サービスプロバイダーはデータが公開される 2 日前に Resecurity が警告することのできた被害企業の 1 つである。その 1 週間弱前には、カナダの被害者にも同じ警告を伝えることができたという。セキュリティ企業は、攻撃の発生を防ぐことはできなかったが、犯罪者がデータ漏えいを計画したときに被害者たちに警告できたため、被害者たちはコーポレートコミュニケーションを整えることができた。
![Oracle Cloud からデータ窃取の報告 ほか [Scan PREMIUM Monthly Executive Summary 2025年3月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/48172.jpg)
中国の生成 AI「DeepSeek」の登場は、生成 AI 市場における技術競争の激化を新たな段階へと押し上げました。同時に、この急速な進化は、AI 技術者を標的とした新たなサイバー攻撃が登場するなど、情報セキュリティにおける新たな脅威も浮き彫りにしています。
自分の情報が漏えいしていないかどうかチェックするサイト「Have I Been Pwned」で有名な情報セキュリティのベテラン、トロイ・ハント氏は、自身のメールチンプ(Mailchimp)メーリングリストがフィッシング詐欺師に侵害されたことを受けて、何千人という人たちにお知らせを送っている。
家電メーカーのうちパナソニックが新しい取り組みを行っている。開発中の製品を含む展示を行うショールームにハニーポットをしかけ、実際の攻撃やマルウェアを分析し、それを製品開発や出荷後のアップデートやセキュリティ対策に役立てるというもの。
カリフォルニア大学バークレー校サイバーセキュリティ修士課程でキャリアアドバイザーを務めるメアリー・マクヘイル氏は、The Register の取材で次のように語った。「私がこの仕事を始めた頃は『Cybersecurity』の綴りが書ければ面接は受けることができる感じだった、そう学生たちに冗談のように話します。今では多くのことが変わりました」
