コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。連載記事一覧を見るには、こちらをクリックしてください。

デジサートニュース

• デジサートは、ソフトウェアセキュリティ強化を目的として ReversingLabs と提携しました。ReversingLabs  は、ソフトウェアサプライチェーンセキュリティを主導する企業です。この提携によって、ReversingLabs の高度なバイナリ解析および脅威検出機能とデジサートの安全なコードサイニングソリューションが統合されます。お客様は、ソフトウェアに安全に署名する前にマルウェア、インプラント、改ざん、機密の漏洩といった既知の脅威を特定し、除去することによって、ソフトウェアの完全性を強化できます。
  

• 先日の CA/ブラウザ（CA/B）フォーラムの要件では、コードサイニング秘密鍵を FIPS 140-2 準拠のハードウェアに保管することが義務付けられました。その要件に関して企業が直面するコンプライアンス上の課題に対応するために、デジサートは DigiCert KeyLocker というソリューションを発表しました。CA/ブラウザフォーラムの要件を満たすクラウドサービスでコードサイニング秘密鍵の強力な鍵保護を実現する新しい機能です。KeyLocker は物理的なトークンが課す制約なしで、安全な鍵保管、鍵生成、および署名を可能にします。

データ侵害

• British Airways、Boots、BBC が、給与計算プロバイダー Zellis で発生した大規模なデータ侵害の影響を受けた組織に名を連ねました。狙われたのはファイル転送ソフトウェア MOVEit で、数万人の従業員が個人データの漏洩被害に遭いました。このハッキングに関与したロシアのサイバー犯罪者グループは「"Lace Tempest"」または cl0p チームとして知られており、この事件への関与を認めたうえ、自らのウェブサイトで未払いの被害者の名前を公表すると脅迫しました。これはソフトウェアサプライチェーン攻撃の最新の一例にすぎず、あらゆるソフトウェアベンダーにとって、自社もその顧客も脆弱であるという警鐘となるものでした。DigiCert^® Software Trust Manager のように、ソフトウェアを可視化できる管理ソリューションが企業に必要な理由を如実に表す事例です。
  

• 2 月に Reddit で発生したハッキングは、ハッカーがフィッシングキャンペーンを通じて 80GB の内部データにアクセスするという事案でした。この攻撃に関与したランサムウェアグループ、通称「BlackCat」は現在、Reddit に対して 450 万ドルの身代金とポリシーの変更を要求しています。身代金に加えて BlackCat が要求しているのが、API の価格変更の撤回です。この価格変更は、最近ユーザーやモデレーターからの反発に直面していました。Reddit はこのフィッシング攻撃を今年初めに認め、ユーザーデータは公開されておらず漏洩していないと述べています。

人工知能（AI）

• Malwarebytes が実施した調査によると、回答者の 81% が ChatGPT などの生成 AI に関わるセキュリティリスクを懸念しています。1,449 人の個人が回答した調査では、AI ツールがインターネットの安全性を向上させる可能性については 51% が懐疑的であり、また ChatGPT によって生成された情報に対して不信感を表明する回答も 63% に達しました。ChatGPT をはじめとする AI ツールがインターネットの安全性を向上させるという回答は、参加者のわずか 7% にとどまっています。
  

• RSA 2023 カンファレンスでは、サイバーセキュリティにおいて AI の重要性が高まっていることが強調されました。AI の分析能力は攻撃者と防御側の双方を利するものであり、防御側に関しては AI を活用して脅威の検出とシステムセキュリティを強化しています。AI は、システムに対する迅速で広範囲な分析を可能にするため、人材を解放して重要なアラートに集中させることができます。ただし、AI には人間的な創造性が欠如しており、再現できるのは学習したことだけです。AI は、データ分析を支援し、権限付与に制限を与えるという形で、サイバーセキュリティ防御において重要な役割を果たすと専門家は考えています。

量子コンピュータ

• ハイテク超大手企業の Google は、最高の古典的スーパーコンピュータでも 47 年かかる計算を一瞬で実行できる新しい量子コンピュータで「量子優位性」を達成したと主張しています。2019 年にも Google は同じ趣旨の主張をし、IBM を筆頭とする競合他社から懐疑の目で迎えられました。しかし、今回の Google は古典的コンピュータを凌駕する、さらに強力な量子コンピュータを開発したと述べています。量子コンピュータのインパクトについては、量子コンピュータに関するブログシリーズをお読みください。
  

• Microsoft は、量子コンピュータが今後 2 年以内に標準的なコンピュータを超えると研究者が予測したことを受けて、量子スーパーコンピュータを構築する計画を発表しました。量子コンピューティングの基本単位である量子ビットを安定的な状態で設計することに関してブレークスルーを起こし、毎秒 100 万回の量子演算を実行できる量子スーパーコンピュータを構築できると主張しています。同社は今後 10 年以内にその建設を完了し、科学的発見や問題解決に革命を起こすことを目指します。

標準と規制

• デジサートは 6 月に開催された CA/ブラウザフォーラムに出席し、主に自動化を中心として議論が進みました。自動化は、プロセスを簡素化し、セキュリティを向上させるうえで有益だと見なされており、Chrome は証明書の有効期間の短縮と新しい検証プロセスを提案していますが、最終決定には至っておらず、Chrome はフィードバックを待っているところです。デジサートはフォーラムの S/MIME ベースライン要件（BR）に関して明確化と修正を求める新しい審議 SMC03 を提案しました。この審議では、特にエンタープライズ RA の役割と責任を明確にし、既存の発行 CA に関する移行計画が示されています。さらに、デジサート は ETSI の電子署名インフラストラクチャグループと協力して ETSI TS 119 411-6 を作成しており、そこで ETSI の監査体制に S/MIME の BR が導入されます。次回の CA/ブラウザフォーラムは 10 月に GlobalSign の主催で開催される予定です。
  

• 欧州委員会は、異議表明をGoogle に送付し、同社がオンライン広告技術業界における競争を歪めており、EU の定める独占禁止規則に違反していると訴えました。欧州委員会の事前の見解によると、Google は自社のオンライン広告掲載技術サービスを競合プロバイダーの技術より優先的に扱っており、広告主、出版社、その他の広告技術サービスに不利益を与えたということです。欧州委員会は、行動的問題解消措置では効果がないと考え、Google によるサービスの一部部門の売却が必要になる可能性を示唆しています。 

• 欧州理事会と欧州議会は、欧州デジタル ID（eID）の新たな枠組みについて暫定的な政治的合意に達しました。EU 圏内で国境を越える公共および民間のサービスに安全かつシームレスにアクセスできるようにすることを目的とした合意です。この枠組みには、欧州デジタル ID ウォレットという概念も盛り込まれており、これは電子的な身元確認と認証のユニバーサルな手段となります。このウォレットは各国の制度に基づいて発行されるもので、高いレベルで信頼性と保証を満たさなくてはなりません。

脆弱性

• Ultimate Member プラグインに存在する重大な脆弱性が原因で、20 万以上の WordPress ウェブサイトが継続的な攻撃の危険にさらされています。CVE-2023-3460 と命名されたこの欠陥を利用すると、攻撃者は管理者権限を持つ新しいユーザーアカウントを作成し、狙ったサイトを完全に制御できるようになります。この問題の原因になっているのは、Ultimate Member プラグインにおけるブロックリストのロジックと、WordPress におけるメタデータキーの処理方法との間に存在する競合です。プラグインの管理者は最近のバージョンでこの問題への対処を試みていますが、サイトの所有者には、Ultimate Member プラグインを無効にしたうえで、不正なアカウントがないかどうか管理者ロールを監査するようお勧めします。
  

• セキュリティ研究者が、Microsoft Teams に存在する脆弱性を発見しました。攻撃者が従業員の受信トレイに直接マルウェアを配信できる恐れがある脆弱性です。Microsoft のデフォルト設定を悪用できるバグで、組織外のユーザーが職員に連絡できるようになります。この脆弱性を悪用すると、攻撃者はセキュリティ制御を回避し、ダウンロードファイルとして表示される悪質な攻撃コードを送信できます。研究者は Microsoft に通知しましたが、Microsoft 側は早急の対処が必要な脆弱性ではないと回答しています。当面の間、組織に推奨されるのは、外部テナントのアクセスを制限し、セキュリティ設定を調整したうえで、Teams をはじめとする生産性向上アプリケーションを介したソーシャルエンジニアリング攻撃の可能性について従業員教育を徹底することです。

マルウェア

• 本来 USB ドライブ経由での拡散を意図されていたマルウェアが、意図せずネットワーク上のストレージデバイスに感染していることを、セキュリティベンダーの Checkpoint が発見しました。このマルウェアは、インストールされるとバックドアを開いてデータの抜き出しを試みます。Camaro Dragon というグループの手になるマルウェアで、主してアジアの被害者を標的にしていると考えられており、アジアで普及しているウイルス対策ソリューションによる検出を回避する機能を備えています。しかし、このマルウェアはミャンマー、韓国、インドなどだけでなく、英国やロシアを含む複数の国で検出されています。
  

• Windows 用ゲーム「Super Mario 3:  Mario Forever」にトロイの木馬を仕込まれたインストーラーが、ユーザーのコンピュータを複数のマルウェアに感染させていることが確認されました。ゲーミングフォーラム、ソーシャルメディアグループ、またはマルバタイジングを介して配布されている可能性が高そうです。このインストーラーには 3 つの実行可能ファイルが含まれており、1 つは正規のゲームをインストールしますが、残りの 2 つは マイナーソフトウェアの Monero と マイニングクライアント SupremeBot を被害者の AppData ディレクトリに密かにインストールします。マルウェアがないかどうか、お使いのコンピュータをスキャンすること、機密性の高いサイトについてはパスワードをリセットすること、そして最終的には公式ソースからソフトウェアをダウンロードすることをお勧めします。