2021年に、ネットワークやTLS/SSLのセキュリティに関する最新のニュースを毎月まとめてお届けしてきました。今年を振り返って、2021年のネットワークとTLSのセキュリティに関する最大のニュースをまとめてみました。さらに、デジサートの専門家チームが、2022年のトレンドを予測しましたので、こちらの記事をご覧ください。
TLSニュース
- 9月に、使用されているウェブ証明書の数が初めて1億枚を超えました。Netcraft社によると、有効な証明書は100,323,811枚で、8月から1.39%増加しています。
- 10月のCA/Bフォーラムミーティングで、アップル社は新しいS/MIMEプロファイルの要件と、2022年4月に発効するS/MIME証明書の2年間の有効期限を発表しました。
- Let's Encryptのルート証明書の期限が9月30日に切れた後、Fortinet、Shopify、Google Cloud Monitoringなど、 多くのウェブサイトで問題が発生しました。Let's Encryptは、問題が発生したユーザーを支援するためのブログ記事を公開しましたが、この例はルート証明書の期限切れがもたらす大きな影響を示しています。
- NSA(米国家安全保障局)は、ALPACA(TLS の脆弱性を突いた攻撃の一種)という、ワイルドカード証明書の新たなリスクについて組織に警告しました。NSAは、組織に対し、現在使用されているワイルドカード証明書の範囲を把握し、今後はこの種の攻撃を避けるためにワイルドカード証明書の使用を制限することを推奨しています。
- Appleは、iOSとmacOSの両方で、TLS 1.0と1.1を廃止しています。現在、iOS 15およびmacOS 12では、TLS 1.0および1.1はサポートされていますが、将来的にはすべてのサポートが停止される予定です。
データセキュリティ
データ侵害
脆弱性
- 12月に発見されたJavaの新しい脆弱性「Log4jの欠陥」は、「計り知れない被害」をもたらす可能性があります。アップル社、グーグル社、マイクロソフト社などの企業は、この欠陥に対処するためのアップデートをすぐに実施しました。この欠陥が放置されたままだと、コンピュータ・サーバが乗っ取られる可能性があります。
- EUデジタルCOVID証明書に使用されている秘密鍵が10月下旬に流出し、ミッキーマウス、スポンジ・ボブ、さらにはアドルフ・ヒトラーの偽造証明書が生成され、有効であると認識されました。EUは現在、漏洩を食い止め、今後の悪用を防ぐために調査を行っています。
政府規制
- 英国政府は、消費者向けIoT機器をハッカーから、より適切に保護するための新しい法律を導入し、最大1,000万ポンド(または世界売上高の4%)という重い罰金を提案しました。提案された要件には、世界共通のデフォルトパスワードの禁止、セキュリティ上の欠陥をどのように修正しているかについての透明性の確保、発見された脆弱性の報告システムの構築などが含まれています。
- 米国行政管理予算局は、政府機関をゼロトラストのベースラインに移行させるための「Federal Zero Trust Strategy」のドラフトを発表しました。
- 米国防総省は、ゼロトラスト・アーキテクチャの導入を促進するために、ゼロトラスト専門のオフィスを立ち上げることを発表しました。これは、2020年のソーラーウインズ社への攻撃や、5月の「国家のサイバーセキュリティ向上に関する米国大統領令」を受けたもので、政府機関にゼロトラスト・アーキテクチャへの移行を求めています。
- 9月、ジョー・バイデン米国大統領は、特に最近の米国企業へのハッキング事件を受けて、サイバー攻撃を抑制するための企業向けセキュリティガイダンスを発表しました。
オートメーション
停止
- Facebook、WhatsApp、Instagramは、10月4日に約6時間にわたってダウンしました。この原因は、"内部の技術的な問題 "でした。この問題は、組織内のシステムに影響を与え、従業員がビルや社内ネットワークにアクセスできなくなったため、解決に通常よりも時間がかかりました。Facebookは、ユーザーのデータが侵害されたという証拠はないと謝罪し、ユーザーを安心させる声明を発表しました。
量子コンピューティング
- IBMは、従来のコンピュータでは処理できなかった情報を処理できる量子プロセッサを開発するという、量子コンピューティングにおける画期的な成果を発表しました。従来のコンピュータが100量子ビットしか処理できないのに対し、IBMのEagleプロセッサは127量子ビットを処理できます。
マルウェア
- 元マイクロソフトのセキュリティアナリストは、OneDriveとOffice365が何年も前からマルウェアをホストしていると主張しています。マイクロソフト社の広報担当者は、この記事に対して次のように述べています。"クラウドストレージの悪用は業界全体の問題であり、マイクロソフトのサービスを利用して被害をもたらすことを減らすために常に取り組んでいます。このレポートに記載されているタイプの悪用を防止し、迅速に対応するために、さらなる改善を検討しています。"
- 航空業界をターゲットにしたマルウェアを使ったフィッシングキャンペーンは、2年間も気づかれずにいました。このマルウェアは特に高度なものではありませんが、小規模な攻撃者がいかにして検知されずに長期間潜伏することができるかを示しています。
デジタル署名
モノのインターネット(IoT)
- Google、Apple、Samsung、Amazonなどが、業界標準を目指して結集し、スマートホーム共通規格「Matter」を発表しました。11月初旬、アマゾンはEchoおよびEeroデバイスのMatterへの対応を発表しました。この規格は、異なるデバイスやエコシステム間の相互運用性を確保するのに役立ちますが、同時にそれらの接続のセキュリティも考慮する必要があります。
- Digital Europe社の報告書によると、モノのインターネットでは、サイバーセキュリティに関する製品の法律が整備されておらず、製品のライフサイクルを通じたモニタリングが行われていません。研究者たちは、EU委員会が早急に法案の提案を開始することを提言しています。
2022年も、業界のニュースやイベントについての最新情報を提供していきます。一方、過去のシリーズはこちら、2022年の予測はこちらをご覧ください。デジサートに関する最新のニュースは、ニュースをご覧ください。