コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。

デジサートニュース

• デジサートは、Dr. Amit Sinha を CEO および取締役会のメンバーとして迎えました。Sinha は、Zscaler、Motorola、AirDefense、Engim を経て当社に入社しており、テクノロジー、戦略、運用の分野で 20 年以上の経験を持っています。Sinha のリーダーシップのもと、実世界に根ざしたデジタルトラストを定義するようフォーカスと戦略が設定され、デジサートのデジタルトラスト分野における優位性が引き続き強化されていきます。

TLS/SSL

• Open SSL プロジェクトは高度な脆弱性の存在を発表しました。当初、これはクリティカルな脆弱性として特定されていましたが、後に高い脆弱性にレベルが下げられました。これは、Open SSL 3.0.7 にアップデートすることで修復可能ですが、証明書の交換は不要です。
• Amazon の AWS Certificate Manager を介して取得されているパブリック証明書は、Amazon が管理する複数の中間認証局の 1 つから発行されるようになります。ほとんどのユーザーはこの変化に気が付くことはありませんが、より弾力性のある証明書インフラストラクチャの構築に役立ちます。これにより、Amazon 側のより迅速な対応が可能になります。
• Microsoft は、今月初めのセキュリティアップデートで発生した、クライアントとサーバープラットフォームでの TLS/SSL ハンドシェイクエラーを修正しました。

IoT

• CSA（Connectivity Standards Alliance）は 10 月 4 日に Matter 1.0 をリリースしました。デジサートのルート認証局（CA）は、CSA が定める Matter デバイス認証において最初の Matter 認定ルート CA になりました。これにより、スマートホームメーカーは市場投入を迅速化でき、顧客にとってはセキュリティが自動的に実装されることになります。

量子コンピューター

• デジサートは、カナダの ISARA 社と一緒に継続的なデジタルトラストの実装に取り組んでいきます。耐量子コンピューターセキュリティソリューションの世界有数のプロバイダーである ISARA 社は、ハイブリッド証明書 4 つの特許をパブリックに寄贈することを発表しました。これらのハイブリッド証明書は、従来のデジタル証明書を付加的な耐量子コンピューターコンポーネントと組み合わせたものです。
• Mastercard は、新しい非接触型クレジットカードの提供を開始しました。このカードは、量子コンピューターによる攻撃に対して抵抗力を持つものです。また、EMVco からの新しい業界標準に準拠しているため、より長い鍵を採用しつつ、既存の支払いハードウェアへの互換性は維持しています。

政府規格

• 今月、ホワイトハウスは、テクノロジー業界リーダーとのミーティングを行いました。その目的は、IoT デバイスのセキュリティラベル向けに新しい標準を策定することです。この標準の施行は、2023 年春を予定しています。スマートデバイスこのようなセキュリティ「食品表示ラベル」を付けることによって、消費者が、脆弱性や他の製品との相互運用性などの情報を簡単に知ることができるようになります。詳細はこちら。
• 米国商務省は 16 人の専門家を新しい IoTAB（Internet of Things Advisory Board）のメンバーとして任命しました。この諮問委員会は連邦ワーキンググループに専門知識を提供します。具体的には、IoT 連邦規制、米国における IoT のメリット、小規模な企業における IoT 機会、IoT の国際的な可能性などについてアドバイスします。

マルウェア

• Guardio Labs は、マルウェアの潜んだ Chrome 拡張機能により、百万台を超えるパソコンが感染したことを報告しました。このマルウェアは、通常のページに広告を挿入し、人気の高いショッピングウェブサイトへのアフィリエイトリンクを追加します。これにより、開発者が利益を得られるようにしています。感染した拡張機能は削除されましたが、ユーザーは引き続き注意を払いながら、ウイルス対策ソフトウェアを継続的に実行する必要があります。
• MajikPOS と Treasure Hunter マルウェアは未だにアクティブな状態にあります。これらのマルウェアは、オープンでセキュリティ状態の低い VNC および RDP リモートデスクトップサービスがないかどうか、ネットワークをスキャンします。ひとたび侵入すると、マルウェアは、侵害されたターミナルから買い物客の決済カード情報を収集します。現在のところ、330 万米ドル相当のクレジットカード番号が盗難されています。

データ侵害

• オーストラリアにおける最大規模の企業のいくつかは、データ侵害の被害にあっており、何百万人のオーストラリア人がリスクにさらされています。Optus、Telstra、Medibank、Woolworths が持つ個人データは侵害されました。これらの事例は、今後オーストラリア政府がどのように介入すべきかについて疑問を提起するものでした。
• 国際的なチケット販売会社の See Tickets は、同社の決済データが 2019 年 6 月から漏洩していたことを発表しました。オンライン攻撃者は、同社のサイトにスキマーを設定していました。このサイバー攻撃は 2021 年 4 月に発覚しましたが、2022 年 1 月まで完全に削除されませんでした。この攻撃の影響を受けた人の正確な数は不明です。

ランサムウェア

• インドの最大統合電力会社、Tata Power Energy Company は、個人識別情報（PII）を漏洩するサイバー攻撃の被害を受けました。Hive RaaS が犯行を認めましたが、Tata Power がランサムの支払いを拒否したため、盗まれたデータが公開される事態を招きました。

脆弱性

• Meta Platforms は、同社の約百万人の Facebook ユーザーに対して、アカウントのクレデンシャルが侵害されていることを通知すると発表しました。これは、ログイン情報を公開するようスキャミングする 400 個以上の有害な Android および iOS アプリが発見されたことを受けての対応です。Apple および Google はこれらのアプリをすでに削除していますが、Meta は、問題のあるアプリにクレデンシャルを明かさないように「潜在的な被害者」にアドバイスを与えていく予定です。
• 企業に対して、OME（Microsoft Office 365 Message Encryption）内のセキュリティ脆弱性に関する警告が発せられています。これにより、暗号化されたコンテンツをハッカーが解読してしまうおそれがあります。現在のところ、この問題への解決策は知られていません。

一般的なセキュリティ

• 今年の米国における全米サイバーセキュリティ意識向上月間は、デバイスとスクリーンの背後にいる人間に焦点が当てられました。デジタルトラストを維持していくうえで、個人のデジタルセキュリティを改善することが不可欠になります。つまり、各自がサイバー空間の観点から自分を捉え、サイバーセキュリティの習慣を向上していくことが必要になります。CISA はクリックする前に一考すること、ソフトウェアのアップデート、より強力なパスワードの使用、多要素認証の有効化を推奨しています。