サイバー攻撃関連
今週のセキュリティニュース - 2023年3月17日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
医療機関、ランサムウェアを理解しているのは約3割という結果
プログレス・ソフトウェア・ジャパンは、医療機関のネットワーク/システム管理に携わる人々を対象に実施した、医療機関のランサムウェア対策に関する実態調査について公表しました。
調査の結果、「ランサムウェアについて理解しているか」という質問に対し、「内容をよく理解している」が34.3%、「聞いたことはあるが、内容は理解していない」が44.8%と回答したとのことです。「勤め先ではランサムウェアの対策を行なっているか」という質問では、「行なっている」が54.3%、「行なっていない」が21.9%、「わからない/答えられない」が23.8%となっています。
また、ランサムウェアの対策が行えていない理由として最も多かったのが「ランサムウェアについて理解できていなかったから(34.8%)」、次に「対策を運用する人材が不足しているから(21.7%)」「対策のための予算が確保できないから(21.7%)」と続く結果となっています。
参照:プログレス・ソフトウェア・ジャパン「医療機関におけるランサムウェア対策への意識調査」
総務省、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表
総務省は、NISC・警察庁・経産省と連名で「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表しました。
これは、サイバー攻撃被害組織の担当部門(システム運用部門、セキュリティ担当、法務・リスク管理部門等)が被害情報を共有する際の実務上の参考となるガイダンスであり、検討会による協議、パブリックコメントでの意見を踏まえて策定されたものです。
このガイダンスの普及を図ることにより、サイバー攻撃被害に係る情報の円滑かつ効果的な共有を促進するとしています。
参照:総務省「「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表」
国外
企業のデータ責任とプライバシーを問うユーザー - KPMG調査
KPMGは、ビジネスリーダーとアメリカの消費者に、データプライバシーの慣行と懸念についてアンケートを実施し「Corporate Data Responsibility Survey 2022」を発表しました。
この調査によると、消費者の83%が企業が自分の個人データを販売する可能性について懸念を抱いており、25%の企業が実際に個人データを第三者に販売していることがわかりました。
企業のデータ収集行為に対するアメリカのエンドユーザーの不信感は以前に比べて高まっており、92%のアメリカ人が自分の個人データの保護について非常にまたは多少心配していると述べています。
参照:KPMG「2022 Corporate Data Responsibility Report」
Microsoft、毎日数百万通のメールを送信するフィッシングキットの大規模な利用を警告
このキットの主な機能の一つは、多要素認証(MFA)の回避です。特に制限時間のあるワンタイムパスワードを使ったMFAの脆弱性は顕著で、このフィッシングキットによって容易にアカウントの侵害に成功することが分かったそうです。
このソフトウェアは、標準版が300ドル、VIP版が1,000ドルで販売されているそうです。
参照:Microsoft 「DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit」