2021年に、ネットワークやTLS/SSLのセキュリティに関する最新のニュースを毎月まとめてお届けしてきました。今年を振り返って、2021年のネットワークとTLSのセキュリティに関する最大のニュースをまとめてみました。さらに、デジサートの専門家チームが、2022年のトレンドを予測しましたので、こちらの記事をご覧ください。

TLSニュース

• 9月に、使用されているウェブ証明書の数が初めて1億枚を超えました。Netcraft社によると、有効な証明書は100,323,811枚で、8月から1.39%増加しています。
• 10月のCA/Bフォーラムミーティングで、アップル社は新しいS/MIMEプロファイルの要件と、2022年4月に発効するS/MIME証明書の2年間の有効期限を発表しました。
• Let's Encryptのルート証明書の期限が9月30日に切れた後、Fortinet、Shopify、Google Cloud Monitoringなど、 多くのウェブサイトで問題が発生しました。Let's Encryptは、問題が発生したユーザーを支援するためのブログ記事を公開しましたが、この例はルート証明書の期限切れがもたらす大きな影響を示しています。
• NSA（米国家安全保障局）は、ALPACA（TLS の脆弱性を突いた攻撃の一種）という、ワイルドカード証明書の新たなリスクについて組織に警告しました。NSAは、組織に対し、現在使用されているワイルドカード証明書の範囲を把握し、今後はこの種の攻撃を避けるためにワイルドカード証明書の使用を制限することを推奨しています。
• Appleは、iOSとmacOSの両方で、TLS 1.0と1.1を廃止しています。現在、iOS 15およびmacOS 12では、TLS 1.0および1.1はサポートされていますが、将来的にはすべてのサポートが停止される予定です。

データセキュリティ

• 10月は、サイバーセキュリティ意識向上月間でした。サイバー攻撃から身を守るために、米国政府や組織がベスト・プラクティスを推進するために何ができるかを議論するための機会です。
• FBIは、失業手当を探す人を狙ったフィッシング詐欺について警告を発しました。

データ侵害

• ハッカーは、リオネル・メッシのような有名人やスポーツ選手を含む、アルゼンチンの全人口の政府IDデータベースにアクセスしました。このハッカーは、盗んだIDカードの情報を、興味のある買い手に販売・漏洩することを計画しています。この情報漏洩は4,500万人以上に影響し、漏洩したVPNアカウントを通じて行われたと考えられます。
• 11月に発生したGoDaddy社の情報漏えいにより、120万人以上のWordPressユーザーが影響 を受けました。この攻撃者は、漏洩したパスワードでアクセスし、2ヶ月間気づかれずにいました。また、ユーザー名やパスワードが暗号鍵を使ったハッシュなどで保存されていなかったため、簡単に流出してしまったようです。
• 米国のトレーディングプラットフォームであるRobinhoodは、カスタマーサポートを狙ったソーシャルエンジニアリング攻撃により侵入されました。攻撃者は200万人の顧客の名前と、一部の顧客の追加データにアクセスすることができました。しかし、Robinhoodの声明によると、顧客の金銭的損失はなかったとのことです。
• 10月には、ハッカーが多要素認証の欠陥を悪用して、Coinbaseの顧客約6,000人から暗号通貨を盗み出しました。

脆弱性

• 12月に発見されたJavaの新しい脆弱性「Log4jの欠陥」は、「計り知れない被害」をもたらす可能性があります。アップル社、グーグル社、マイクロソフト社などの企業は、この欠陥に対処するためのアップデートをすぐに実施しました。この欠陥が放置されたままだと、コンピュータ・サーバが乗っ取られる可能性があります。
• EUデジタルCOVID証明書に使用されている秘密鍵が10月下旬に流出し、ミッキーマウス、スポンジ・ボブ、さらにはアドルフ・ヒトラーの偽造証明書が生成され、有効であると認識されました。EUは現在、漏洩を食い止め、今後の悪用を防ぐために調査を行っています。

政府規制

• 英国政府は、消費者向けIoT機器をハッカーから、より適切に保護するための新しい法律を導入し、最大1,000万ポンド（または世界売上高の4％）という重い罰金を提案しました。提案された要件には、世界共通のデフォルトパスワードの禁止、セキュリティ上の欠陥をどのように修正しているかについての透明性の確保、発見された脆弱性の報告システムの構築などが含まれています。
• 米国行政管理予算局は、政府機関をゼロトラストのベースラインに移行させるための「Federal Zero Trust Strategy」のドラフトを発表しました。
• 米国防総省は、ゼロトラスト・アーキテクチャの導入を促進するために、ゼロトラスト専門のオフィスを立ち上げることを発表しました。これは、2020年のソーラーウインズ社への攻撃や、5月の「国家のサイバーセキュリティ向上に関する米国大統領令」を受けたもので、政府機関にゼロトラスト・アーキテクチャへの移行を求めています。
• 9月、ジョー・バイデン米国大統領は、特に最近の米国企業へのハッキング事件を受けて、サイバー攻撃を抑制するための企業向けセキュリティガイダンスを発表しました。

オートメーション

• デジサートが行ったPKIオートメーションに関する新しい調査によると、企業は平均50,000の証明書を管理しており、3分の2の企業が予期せぬ証明書の期限切れによる停電を経験していることがわかりました。調査結果の詳細はこちらをご覧ください。

停止

• Facebook、WhatsApp、Instagramは、10月4日に約6時間にわたってダウンしました。この原因は、"内部の技術的な問題 "でした。この問題は、組織内のシステムに影響を与え、従業員がビルや社内ネットワークにアクセスできなくなったため、解決に通常よりも時間がかかりました。Facebookは、ユーザーのデータが侵害されたという証拠はないと謝罪し、ユーザーを安心させる声明を発表しました。

量子コンピューティング

• IBMは、従来のコンピュータでは処理できなかった情報を処理できる量子プロセッサを開発するという、量子コンピューティングにおける画期的な成果を発表しました。従来のコンピュータが100量子ビットしか処理できないのに対し、IBMのEagleプロセッサは127量子ビットを処理できます。

マルウェア

• 元マイクロソフトのセキュリティアナリストは、OneDriveとOffice365が何年も前からマルウェアをホストしていると主張しています。マイクロソフト社の広報担当者は、この記事に対して次のように述べています。"クラウドストレージの悪用は業界全体の問題であり、マイクロソフトのサービスを利用して被害をもたらすことを減らすために常に取り組んでいます。このレポートに記載されているタイプの悪用を防止し、迅速に対応するために、さらなる改善を検討しています。"
• 航空業界をターゲットにしたマルウェアを使ったフィッシングキャンペーンは、2年間も気づかれずにいました。このマルウェアは特に高度なものではありませんが、小規模な攻撃者がいかにして検知されずに長期間潜伏することができるかを示しています。

デジタル署名

• スイスの電子署名がEUで認められなかったため、2階建て列車の4億ユーロの取引が9月に頓挫しました。署名者はデジタル署名を使用していましたが、EU諸国内で国境を越えて有効なものではありませんでした。
• 従業員は、電子署名をめぐる法的紛争により、強制力のない雇用契約を結んだとして、Gorillas社を訴えています。

モノのインターネット（IoT）

• Google、Apple、Samsung、Amazonなどが、業界標準を目指して結集し、スマートホーム共通規格「Matter」を発表しました。11月初旬、アマゾンはEchoおよびEeroデバイスのMatterへの対応を発表しました。この規格は、異なるデバイスやエコシステム間の相互運用性を確保するのに役立ちますが、同時にそれらの接続のセキュリティも考慮する必要があります。
• Digital Europe社の報告書によると、モノのインターネットでは、サイバーセキュリティに関する製品の法律が整備されておらず、製品のライフサイクルを通じたモニタリングが行われていません。研究者たちは、EU委員会が早急に法案の提案を開始することを提言しています。

2022年も、業界のニュースやイベントについての最新情報を提供していきます。一方、過去のシリーズはこちら、2022年の予測はこちらをご覧ください。デジサートに関する最新のニュースは、ニュースをご覧ください。