コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。
マルウェア
- FBI、国家安全保障局を含む複数の米国の政府機関により、産業用制御システム(ICS)にフルアクセス可能なマルウェアが発見されました。各機関がマルウェアは攻撃が行われる前に発見されたとする共同声明を発表しました。ICS と SCADA(Supervisory Control And Data Acquisition)デバイスを標的とするカスタムメイドのマルウェアは、国家的な攻撃者により開発されました。
脆弱性
- Oracle は Java のバグにパッチを適用しました。このバグが悪用された場合、ファイルに電子署名をし、電子署名されたマルウェアや悪質なファイルを正当なものとして受け渡すことが可能になります。
- Microsoft は 2022 年 4 月のパッチで 100 以上のセキュリティ修正を発表し、2 つのゼロデイ脆弱性を含む複数の脆弱性を修正しました。
- セキュリティ研究者は、疑わしいファイルや URL からマルウェアを探すスキャンサービスである VirusTotal プラットフォームに脆弱性を発見しました。ハッカーは、パッチ未適用のサードパーティのサンドボックスマシンでリモートコード実行権を取得できた可能性があります。現在はこの欠陥にはパッチが適用されています。
- 欧州のサイバーセキュリティ機関(ENISA)は、EU における協調的脆弱性開示ポリシーのロードマップを発表しました。このポリシーは、研究者が脆弱性を報告し、ベンダーが迅速にパッチを展開することを可能にする枠組みを提供します。EU 加盟国は、協調的に脆弱性を開示するための独自の国家ポリシーおよびガイドラインを制定する必要があります。
TLS/SSL
- 2022 年 4 月 25 日以降、Cloudflare はすべてのドメインに対して障害防止のためのバックアップ証明書の自動発行を開始しました。
データ侵害
- 最近の調査によれば、過去 2 年間に 10 数か国の企業のうち約半数がデータ侵害を経験していることが分かりました。この調査によれば、データ侵害件数は増加しており、脅威の増加とともに修復に費やすコストとリソースも増加しています。
- Samsung では、Galaxy スマートフォンの操作コードの盗難を含む侵害を受けました。顧客データの侵害はなかったものの 190GB のコードが盗難にあったとのことです。これは、企業がデータの損失に備えて十分な防御策を講じ、計画を立てるよう注意を喚起する事例です。
- Mailchimp が 4 月に暗号通貨のフィッシングを目的としたハッキングの被害を受けました。ハッカーはハードウェア暗号通貨ウォレット Trezor のユーザーを標的に 100 人以上の顧客のデータを盗み、標的型のフィッシングメールを送信しました。Mailchimp では不審な行動が検出されるとすぐに侵入を受けた従業員のアカウントを無効化しましたが、すでにハッカーは顧客データを入手した後でした。
政府規格
- 米国ホワイトハウスは世界の 60 の国や地域とともに未来のインターネットに関する宣言を発表しました。この宣言には、デジタルリスクの高まりや誤情報への警告が含まれています。他の約 60 カ国と欧州委員会がこの宣言に賛同しています。
- 米国食品医薬品局(FDA)は、先月、医療機器のサイバーセキュリティに関するガイダンスの草稿を発表しました。これは、2018 年に発行されたガイダンスを置き換えるものです。FDA は、コネクティビティの増加に伴い、患者ネットワークと医療ネットワークの両方を保護する適切なセキュリティが必要であると説明しています。また、メーカーに対し、機器が使用される場所のより広範囲なネットワークセキュリティおよび環境を考慮するよう提言しています。FDA では更新された文言について 2022 年 7 月 7 日までコメントを受け付けています。
量子コンピューティング
- 中国は、2019 年にグーグルが超伝導量子コンピュータで達成したと報告したものよりも特定の問題を解くのに 100 万倍高速な、光子ベースの量子コンピュータを発表しました。中国は量子の研究開発に 100 億ドル近くを投資しているとされ、量子化競争では米国をリードしていることになります。一方、米国上院は 2021 年に、2026 年までに 290 億ドルを量子分野に投資する法案を可決しています。
- IBM は大規模なリアルタイムの AI インサイトを実現する、量子コンピュータに対して安全な業界初のシステムである IBM z16 を発表しました。
- グリフィス大学量子動力学研究センターの研究チームが、テレポーテーションを使用することで通信のデータ損失を量子レベルで回避できることを実証しました。これにより、データ損失を削減するだけでなく、第三者によるアクセスを防いで安全にデータを送信することが可能になります。
モノのインターネット
CA/ブラウザフォーラム
- CA/ブラウザフォーラムの S/MIME 証明書ワーキンググループは、2022 年後半に行われる正式投票に向けて、セキュアな電子メールに使用される S/MIME 証明書の新しい基本要件に関する最終討議案を発表しました。これは、パブリックに信頼される S/MIME 証明書の全発行者に一貫性を持たせることを目的とした最初の規格であり、企業の E メール環境のユーザー登録に一般的に使用されているエンタープライズ登録機関に対する規定も含まれています。