Archive

現在、パンデミックがさまざまなソーシャルエンジニアリング攻撃にうってつけの条件を提供していることは明白です。 これまでも、リモートワークの普及やそれに伴うリスクに適応する中で、スピア型フィッシングから、ヴィッシング、ランサムウェアなどコロナウイルス関連の攻撃が増えていることについて、FBI やCISA, 、インターポールをはじめ信頼できる組織から、多くの報告や警告が出されています。 ソーシャルディスタンスとリモートワークは、多くの点でハッカーにとってより好ましい環境を作り出していますが、今日目にされるソーシャルエンジニアリング攻撃の種類は、過去に見られたものとあまり変わりません。 それでは、なぜ今でも大規模な情報漏洩が頻繁にニュースの見出しを賑わせているのでしょうか?  歴史から学ぶことが一つあるとすれば、ハッカーは常に人的要因を利用するということです。 不確実性、恐怖、注意力散漫、孤立、混乱はすべて、ユーザーの脆弱性の増大につながります。 そして、世界的なニュースの話題が目まぐるしく変化し続ける中で、パンデミックや大きなニュースイベントの中で、日和見主義的なハッカーが悪用するような次の展開を予想することは不可能です。 例として、COVIDの景気刺激策や救済策に関連したフィッシング攻撃の増加について見てみましょう。  パンデミック収束後も、ソーシャルディスタンスは継続し、仮想世界でのやりとりが増加すると予想されています。つまり、企業はソーシャルエンジニアリング攻撃の増加から身を守るために、強力な認証を利用しなければなりません。 分散化が進む作業環境では、システムと情報のセキュリティに対する信頼が失われるため、ユーザーとの信頼を再確立することが不可欠です。 その方法はこちら： 従業員の教育やトレーニングだけでは不十分です 新型コロナウイルス関連の詐欺に注意するよう従業員を教育することは、不可欠ですが、包括的な対応ではありません。 フィッシングやソーシャルエンジニアリングに関するユーザー教育をいくら行っても、攻撃の中には成功するものもあるのです。 ユーザーの行動を必要とし、フィッシング攻撃や中間者攻撃の特定がユーザーに依存している限り、脆弱性は今後も問題となるでしょう。 2FA戦略を見直す時期に来ています 組織は、将来のソーシャルエンジニアリング攻撃から保護するために、パスワード、回復質問、または基本的な2要素認証 (2FA) に継続的に依存する余裕はありません。 これらの方法は、モバイルマルウェア、, SIMスワップ、フィッシング攻撃に対処できないことが何度も証明されています。 ハッカーはますます賢くなってきており、私たちもそうならなければなりません。 ユーザーエクスペリエンスは、組織の安全にとって重要です 同僚やIT部門から物理的に離れ、自宅と職場の生活を両立させている世界では、強力な認証が、さまざまなデバイス、ビジネスに不可欠なアプリケーション、さまざまな環境で大規模に機能する必要があります。 ユーザーエクスペリエンスが向上するほど、特定のユーザーのみを保護する複雑なポイントソリューションとは異なり、企業全体に展開してセキュリティを確保することが容易になります。 つまり、新型コロナウイルス関連の攻撃の増加は、現実に存在する危険です。 しかし、これが一時的な脅威であったり、新型コロナウイルスだけの問題であるとは考えられません。 これは、ソーシャルエンジニアリング攻撃が増え続けていることを示す最新の事例にすぎず、より強力な対応が求められています。 当社は日々、大小の企業が新しい日常に適応できるよう支援しています。 準備はよろしいでしょうか？ 主要なクラウドベースサービスに対してハードウェア支援を受けた強力な認証を使用して、デジタル変革を加速させます。 Google Cloud, やMicrosoft Azure Active Directoryをはじめとする多くの日常の業務アプリケーションは、YubiKeyとのシームレスな統合を実現しています。

バイデン大統領が最近発表したサイバーセキュリティに関する大統領令では、公共部門が民間企業と協力してより安全な環境を構築することを求め、ベストプラクティスとして情報共有の重要性を強調しています。 情報共有には多くの注意が必要なため、多くの人は「情報共有」をリスクや責任と同義語で捉えているかもしれません。 誤った方法で情報を共有すると、エクスポージャーといった脆弱性のリスクを高めることになりかねません。 Yubicoでは、情報共有は慎重に行う必要があると考えています。 当社は日常的に機密性の高い情報を扱っており、企業のセキュリティやリスク管理に対する責任を担っています。 また、企業構造は、株主に対する受託者責任を負っており、いかなる情報共有もその責任が侵害されるリスクを考慮しなければなりません。  官民一体となってこのテーマに取り組むには、さらに多くの議論が必要です。 代わりにここでは、情報共有に関連するリスクについて私がどのように考え、個人としてこれらの懸念を緩和するためにどのようにアプローチしてきたかを共有したいと思います。  コントロールの喪失 情報が共有されると、その情報を保護する責任が拡大・分散されます。 ツイートで誤って共有してしまったパスワードのように、いったん情報が公開されると、もはや自分ではコントロールできません。 最悪の場合でも、情報にアクセスできる各個人が、その情報を内密にすることを信じられる必要があります。  シアトルには有名なバーがあり、多くのセキュリティ専門家が毎週のように集まり、リラックスして話を交わしています。 シアトルは、新製品のソフトウェアやハードウェアの脆弱性を発見することに特化したセキュリティ専門家のメッカです。 これはまさに情報流出のための組み合わせです。 飲み放題のアルコールと、機密性の高い情報を頭に入れている人たち！ 必ず、飲み過ぎる人がいます。 アルコールというものは、ただでさえ話してはいけない話をしてしまいがちな人たちの口をさらに軽くしてしまいます。 なぜそのような話をしてしまうのでしょうか？ 多くの場合、それは賞賛されたい、組織や集団で成功していると見られたいという気持ち、あるいは個人的な自信喪失や不安などの理由からです。 その結果、リモートコード実行のバグの処理を誤り、たとえそれ以上の影響がなかったとしても、契約を解除されてしまっていたかもしれません。 このような光景を見たことがあるなら、それはあなたにとって教訓となるでしょう。 誰かが口を滑らせてしまった内容を、それによって利益を得る可能性のある他の人と共有することを望まないなら、注意深く行動するようにしましょう。  では、共有することには大きなリスクがあることは誰もが知っていますが、共有しない場合のリスクは何でしょうか？  マイナス面は、堀を作ると組織が島のように孤立した存在になってしまうことです。 仲間と連絡を取り合い助言を求めたり、互いに情報交換したりすることを躊躇し、後で自分がキャッチアップしておくべき重要な情報を見落としてしまうことは、外の世界と共有しすぎることと同じくらいの損害を被る可能性があります。  誰を信頼しますか？ セキュリティ侵害が発生した場合、跳ね橋を上げて島への通行を制限するように外の世界を遮断したくなりがちです。 しかし、仲間に連絡をして、問題を発見しているかどうか、問題を抱えているかどうか、あるいは問題に対応しているかどうかを確認することは有益なことです。 こうして追加情報を早い段階で入手することは、侵害に対する組織の対応に大きく役立ち、損害を与える可能性のある誤った対応を修正できます。 これは軽視すべきではない予測されたリスクです。 双方向の情報共有で信頼できるのは誰ですか？ 私が何十年もの間、有益だと考えているベストプラクティスをいくつかご紹介します。  まずは、インナーサークルの信頼できる人たちとの関係を、あらかじめ構築しておくことから始めましょう。彼らとは、長年の付き合いがあり過去の情報共有の場面での行動をあなたが観察してきた人たちのことです。 私は、キャリアをスタートさせたときから知っているセキュリティリーダーと定期的に会っています。 長い歴史と経験を共有することで、快適で比較的安全な双方向の会話が可能になります。 特定の業界向けに設立された情報共有分析センター(ISAC)など、セキュリティ情報の共有を促進する共同事業体または協会にも精通しておきましょう。 また、Infraguardは、特に地方自治体や連邦政府に関わりのある個人や企業にとって優れたリソースです。 インナーサークルで1対1またはグループでの会話を始めるのに役立つ安全なメッセージングシステムを見つけましょう。 私は、より機密性の高い会話には、SignalとKeybase(現在はZoomに買収されています)を使用しています。 連絡を取り合うには、Slackやお気に入りのビデオ会議ソリューションを使います。 失敗や後悔している情報開示から学びましょう。 私はこれまでのキャリアの中で、情報開示に関するミスをしたことがあります。 ある事例としては、印象的な面接候補者についてのミスがあります。 リスクは報われず、このミスは危うく私のキャリアを破壊するような情報公開につながるところでした。  共有して問題が起こる前に、社内で幹部の賛同を得ましょう。 機密情報を持つ会社の担当者として、自分が何をしているのかを適切な幹部に知らせ、自由に業務を行うための承認を得ることは当然のことです。 共有できるものとできないものについて、法律上または規制上のガイドラインを法務チームが提供できるように、法務チームに情報を提供しても問題はありません。 そうすることで、将来的に何かミスがあったときに、責任を押し付けられるのではなく、会社のリーダーからサポートしてもらえる可能性が高くなります。 このような社内の人間関係やコミュニケーションラインを早期に確立しておくことが大切です。 恐怖に日々を支配させないようにしましょう この業界では年を取ることもリスクのひとつです。 年を重ねるごとに、貴重な「学んだ教訓」によって、自然と慎重になっていくものです。 CISOは、技術を理解し、信頼できる友人のネットワークを形成する必要がありますが、それには何年もかかります。 このプロセスは、情報の流通を助けるいくつかの団体を加えることで強化することができます。しかし最終的には、詳細を話し合える友人がどうしても必要です。 […]

先週は 2021年を振り返って、私たちが経験した多くの壊滅的な被害をもたらしたランサムウェアによる注目すべきセキュリティ侵害の増加についてお伝えしました。 攻撃者は、サプライチェーンへの継続的な注力に加え、病院、学校、地方自治体など、従来から、より狙いやすいとされる標的が餌食にされました。 これらのサイバー攻撃の多くの根本的な原因は様々ですが、いずれも一要素認証、弱い多要素認証（例：OTP）、秘密の漏洩（例：SAML署名キー）を利用したものです。 これらの攻撃が重要インフラに与えた影響は、連邦政府機関によるMFAの使用を含む強固な実践的セキュリティ対策の採用を義務付ける大統領令を発令するなど、アメリカ政府の対策に拍車をかけました。 2022年は、主に2021年のランサムウェアグループの成功から、ランサムウェアによる被害者を恐喝する流れが見られると予想されます。 また、脆弱な業界における情報セキュリティの実践と原則の成熟を加速させるために、規制がさらに重要視されることも予想されます。  こちらは2022年に向けて推奨する 重要な情報セキュリティです 企業はゼロトラスト・アーキテクチャを優先的に主導する必要があります SolarWinds事件と最近のLog4jの脆弱性は、最小特権と分離の原則を何十年も提唱してきたにもかかわらず、一部の企業の基幹システムがインターネットや信頼されないシステムへのアクセスを許容していることを浮き彫りにしました。  情報セキュリティへのアプローチを根本的に変えることで、ゼロトラスト・セキュリティモデルの議論が深まります。 ゼロトラストは、内部環境が信頼できると仮定するのではなく、内部環境が敵対的であると仮定するところから始まります。 信頼は検査と強力な認証によって確立されますが、定期的に信頼を再構築する必要があるという点では一時的です。 理論的には、侵入の機会が限定され、隔離性が高まるため、侵入が成功した場合の影響が限定されるはずです。 ゼロトラストへの注目は、バイデン政権が連邦政府のMFAに利用されるプロフィールの近代化を求めた昨年5月にさらに強まりました。 政府が9月に発表した「ゼロトラスト成熟度モデル」は、ゼロトラストの7つの信条を概説し、2022年にますます巧妙化・広範囲化するサイバー攻撃から安全を確保するために、企業がこれらの柱を遵守するために行動しなければならないことに疑いの余地はないとしています。  企業はフィッシングに強い MFA を導入する必要があります フィッシング、クレデンシャルスタッフィング、その他のパスワードベースの認証が抱える脅威は、今後も企業にとって大きなリスクとなります。 攻撃者は、未だ一要素認証や脆弱な MFA が普及している内部ネットワークのアクセスを得ることが可能であることを実証しました。 盗んだ認証情報を使用することで、攻撃者は、脆弱性を悪用したり、その他の検知される可能性が高まる行動をする必要が無く、環境に留まることができます。  複数の認証プロトコルをサポートするYubiKeyは、一要素認証やOTPなどのレガシーな MFA から、フィッシングなどの一般的な攻撃に強い最新のFIDOベースのプロトコルへの段階的移行に関心を持つ企業との橋渡し役となることができます。  企業はクラウドへの恐怖を克服する必要があります 一部の企業や業界では、クラウドを脅威と見なし続けていますが、その理由の大部分は、制御を維持する方がセキュリティ上のメリットがあると認識されているためです。 事実かどうかは別として、クラウドは強固なセキュリティ機能とプロトコルを提供します。 適切に使用すれば、ランサムウェアやビジネスメールのハッキングなど、現在大企業が苦労している脅威の多くは、大きく緩和されます。 統合ID、強力な多要素認証、クラウドベースのファイルストレージの組み合わせは、規模の大小を問わず企業にとって強力です。 相互のTLSベースの認証と暗号化は、通常、PKIの複雑さをバックエンドで管理し、自動化するチェックボックスにチェックするだけで有効にすることができます。 また、自社の機密情報の管理に関心を持ち、これを行うことに成熟した方は、さらなる監視と管理を利用することが出来ます。 統合IDや強力な多要素認証のメリットを得るために、クラウドを完全導入する必要はありません。 最近のIDプロバイダは、FIDOプロトコル、SAML、OpenID Connectに対応しており、オンプレミスおよびオフプレミスのアプリケーションの統合を支援しています。 FIDO2/WebAuthnをサポートしているIDプロバイダの総合的なリストについては、Works with YubiKey カタログをご覧ください.  ランサムウェアへの対策 従来の境界防御モデルやActive Directoryなどの技術に基づくレガシーインフラを持つ組織は、ランサムウェア攻撃に対応するための強固な対応策を用意しておく必要があります。 この対策は、保険の適用範囲、顧問弁護士、復旧に失敗した場合の身代金の支払い計画など、検知と復旧以外の議題も考慮されたものである必要があります。 保険プランでは、第三者に依頼した場合の費用のみが補償される場合がありますが、認可された業者を利用した場合に限ります。 また、補償内容に制限がある場合もあります。 最近では、攻撃者が民族国家であるかどうかで適用範囲が変わる事例もありました。 対策を立てたら、テストする必要があり、特にバックアップをテストする必要があります。 サプライチェーンのセキュリティについては、より一層の配慮が必要です 2021年、SolarWinds事件とLog4jの脆弱性は、我々のサプライチェーンがいかに脆弱であるかを思い知らされただけでなく、基幹となる非常に機密性の高いシステムが、依然としてインターネット上の信頼できないシステムに自由に接続できる状態を維持していることを浮き彫りにしました。 私たちは、技術の安全な設計、開発、運用を確保する上で、相互に責任を負っていることを再認識する必要があります。 非標準的な質問事項が散乱しているベンダー保証プロセスだけでは、サプライチェーンの安全性を確保することはできません。  サプライチェーンに関わる企業は相互の信頼を確立する必要があり、これを対外的に示す能力も必要です。これは、開発プロセスを通じて優れた情報セキュリティを実践することで確立するものです。 […]