サイバー攻撃関連
今週のセキュリティニュース - 2021年12月17日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
6割以上が個人利用のクラウドサービスに業務で使うパスワードを流用 - ソースポッド調査
ソースポッドは、『コロナ禍以降のアカウント情報管理に関する意識調査』についての結果を公表しました。コロナ禍以降に業務利用目的で新規・追加クラウドサービスを登録したと回答した人のうち、75%が既存で使用していた1つ、もしくは複数のパスワードを流用していたとのことです。また、個人でクラウドサービスに新規・追加登録した人のうち、「業務で利用しているシステム・サービス等のパスワードを流用した」と回答した人は64%にのぼったとのことです。
参照:ソースポッド プレスリリース【業務で利用するID・パスワード、 個人利用のクラウドサービス登録時に、60%以上のユーザーが勝手に流用】
トレンドマイクロ、第3四半期のランサムウェア分析結果を公表
トレンドマイクロは、2021年第3四半期(7〜9月)におけるランサムウェアの脅威動向についての分析結果をブログで報告しました。これによると、ランサムウェア「REvil」の検出数は7月に最も多く、8〜9月にかけては「LockBit」の活動が目立つようになっているとのことです。ランサムウェアが検出された業界としては、3ヶ月を通して政府機関と医療業界が多い結果となっています。
参照:トレンドマイクロ「2021年第3四半期におけるランサムウェアの脅威動向を分析」
国外
アメリカ国土安全保障省、サイバーセキュリティの潜在的な脆弱性を特定するバグバウンティプログラム「Hack DHS」を発表
アメリカ国土安全保障省(DHS)は12月14日(現地時間)、特定のシステムにおけるサイバーセキュリティの潜在的脆弱性を特定し、同省のサイバーセキュリティの回復力を高めるためのバグバウンティプログラム「Hack DHS」を開始することを発表しました。
「Hack DHS」は、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のプラットフォームを利用するとのことで、各バグの特定に対する報奨金は、スライディングスケールを使用して決定され、最も深刻なバグを特定した場合に最も高い報奨金を得ることができるとしています。
参照:Homeland Security Press Release【DHS Announces “Hack DHS” Bug Bounty Program to Identify Potential Cybersecurity Vulnerabilities】
CISA、Apache Log4j 脆弱性ガイダンスを公開
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、Java向けのログ出力ライブラリー「Apache Log4j」で見つかった脆弱性「CVE-2021-44228」のさらなるガイダンスの提供やベンダーの追加情報を閲覧できるガイダンスページを発表しました。
この脆弱性は、攻撃への転用が容易なことに加えて、Log4j 2が非常に多くのアプリケーションやフレームワーク、ライブラリによって利用されているため、活発かつ広範囲に悪用されていることが問題になっています。
このページでは、ベンダーや影響を受ける組織などへの推奨事項や、脆弱性についての技術的な詳細などが随時更新されています。
参照:CISA「Apache Log4j Vulnerability Guidance」