サイバー攻撃関連
今週のセキュリティニュース - 2021年12月10日

今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
国内
窃取された日本のカード情報売買価格は世界平均の4倍以上 - NordVPN調査
NordVPNが発表した調査結果によると、ダークウェブ上での流出を確認した140の国のクレジットカード情報400万件を分析したところ、7,049件が日本のものであったとのことです。さらに、売買されているカード情報全体の平均価格9ドル70セントと比較して、日本人のカード情報の平均価格は42ドル93セントとなっています。
ダークウェブ上では総当たり攻撃により割り出されたカード番号の売買が増えており、特定の個人やカードが狙われるのではなく、有効なカード情報を推測しようとしていることが伺えるため、決済システムやその他のシステムに使用するパスワードは強固なものでなければならないとする一方で、銀行のMFA導入は最低基準となりつつあると言及しています。
日米英で異なるサイバーセキュリティ意識 - SecureAge Technology 調査
SecureAge Technology社は、「2021年セキュアエイジ コロナ禍のサイバーセキュリティに関する調査 – 日米英3カ国比較」の結果を発表しました。この調査によると、日本企業の73%が、パンデミック時のテレワークを支援するために新たなセキュリティ対策を導入しているものの、米国(83%)や英国(86%)の企業と比較すると10ポイント以上低いことが明らかになっています。
また、企業が導入した新たなセキュリティ対策において、「二要素認証の必須化」、「VPNの構築」、「テレワークを行う従業員にウイルス対策ソフトの提供/インターネットセキュリティソフトの提供」の3つの項目で、日本は米国や英国を大きく下回る割合となっているとのことです。
国外
サイバーインシデント報告義務化がNDAAの最終版から除外される
2022会計年度アメリカ国防権限法(NDAA)の合意文書が12/7に発表されましたが、16の異なるセクターの重要インフラ所有者および運営者に対し、サイバーセキュリティ事件および犯罪組織への身代金支払いの報告を義務付ける条項は、通過必須の国防支出法案から削除されました。
上院の国土安全保障・政府問題委員会は、10月に同様の超党派のサイバーインシデント報告法案を可決していましたが、上院はインシデント報告法案を含む修正案をNDAAに追加することで合意に至らず、上下両院が発表した妥協案となったとのことです。
James M. Inhofe U.S. Senator of Oklahoma News「Inhofe, Armed Services Committees Release Text of FY22 NDAA Agreement」
2022年のデータ漏洩の傾向について
信用調査機関および情報サービス会社のExperian社は、12/6に「2022 Data Breach Industry Forecast」において、サイバー犯罪者が2022年に悪用する機会を見つけると考えられる5つの分野を特定したと発表しました。
2022年に予想されるデータ侵害のトレンドとして、トップ5項目は以下になります。
- デジタル資産 (暗号通貨やNFTなど)
- 自然災害(災害の寄付に対する慈善団体を装ったグループからのフィッシングの被害)
- リモートワーカー(家庭のワイヤレスネットワークは多くのビジネスVPNよりも脆弱)
- 物理的なインフラ(送電網、ダム、交通網など)
- オンラインギャンブルの詐欺(オンラインギャンブルの合法化が進んでいる)
Webブラウザに対する新たな攻撃検出
ドイツのITセキュリティの専門家は、クロスサイト・リーク(XS-Leaks)と呼ばれる、Webブラウザに対する14の新しいタイプの攻撃を確認しました。XS-Leaksを使うと、悪意のあるWebサイトがバックグラウンドで他のWebサイトとやりとりすることで、訪問者の個人データを窃取することができるといいます。
ルール大学ボーフム校(RUB)とニーダーライン応用科学大学の研究者らが、34種類のXS-Leakに対して、56種類のブラウザとOSの組み合わせでどの程度の防御が可能かを検証したところ、例えば、ChromeやFirefoxなどの人気ブラウザは多数のXS-Leakに対して脆弱であることがわかったとのことです。