サイバー攻撃関連
今週のセキュリティニュース - 2023年9月15日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
変幻自在に姿を変え攻撃を仕掛けるサイバー犯罪者を確認 - イーセットジャパン
イーセットジャパンは、2023年上半期(2022年12月〜2023年5月)に確認されたサイバー攻撃をもとに脅威傾向をまとめたレポート「ESET 脅威レポート」を公開しました。
同レポートは、暗号通貨関連のサイバー犯罪の減少やEmotetの影響力の低下を報じる一方で、多様化するサイバー犯罪者からの攻撃手法や新たに注意すべきランサムウェアを分析し、今後への注意を促しています。
参照:イーセットジャパン「ESET 脅威レポート 2023年上半期版(2022年12月~2023年5月)」
データ侵害の世界平均コスト過去3年間で15%増加 - 日本IBM
日本IBMは、2022年3月から2023年3月の間に553の組織が経験した実際のデータ侵害の分析に基づいた「2023年データ侵害のコストに関する調査レポート」の日本語版を公開しました。
これによると、検知とエスカレーションにかかるコストが42%ほど増加し、侵害コストの中で最も大きな部分を占めているとしています。調査対象となったデータ侵害のうち、組織内のセキュリティー・チームやツールによって検知された侵害は3分の1にとどまり、その他27%が攻撃者、40%は法執行機関など第三者が公表したことが明らかになりました。
さらに、攻撃者に侵害を公表された組織の侵害コストは、自社で侵害を発見した組織の侵害コストと比較して、平均で100万ドル近く高くなっていると示されています。
参照:日本IBM「IBM、「2023年データ侵害のコストに関する調査レポート」日本語版を公開」
国外
CISA、オープンソースソフトウェアのセキュリティロードマップを発表
サイバーセキュリティー・インフラセキュリティー庁 (CISA)は9月12日、オープンソースソフトウェア(OSS)のエコシステムをサポートし、連邦政府機関によるOSSの使用を保護するための計画を詳述した新しい文書を発表しました。
同庁によると、誰でもアクセス、変更、配布が可能なOSSは、より質の高いコードを推進し、コラボレーションを促進することができますが、Log4Shellのような広範囲に影響を及ぼす脆弱性によって高いリスクももたらすとのことです。
このロードマップ は、OSS エコシステムのセキュリティ確保における優先事項の詳細を示しており、この取り組みにおける連邦政府の役割の確立、オープンソース・ソフトウェアの使用とリスクの可視化の推進、連邦政府機関に対するリスクの軽減、エコシステムの強化などを目的としています。
参照:CISA「CISA Open Source Software Security Roadmap」
米連邦政府CISOデルーシャ氏、ゼロトラストの文化的・戦術的進展を指摘
デルーシャ氏は、ゼロトラスト戦略が政府全体に促している必要なセキュリティ文化の変化についても指摘しました。連邦政府のCIOやCISOからは、「ゼロトラスト戦略はトップに言われたから進めているのでなく、正しい道を歩んでいて、正しいことをしたいから進めている」という言葉を聞くとのことで、戦術的には多くの進展があったと言えるが、文化的なことが最も重要だと述べています。
参照:MeriTalk「Federal CISO DeRusha Cites Cultural, Tactical Zero Trust Progress」