サイバー攻撃関連
今週のセキュリティニュース - 2023年9月8日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
回答者の8割以上がWebサービスでパスワードを使いまわし - トレンドマイクロ調査
トレンドマイクロは、Webサービスおよびパスワードの利用や管理の実態を調べる「パスワードの利用実態調査 2023」の実施結果について公表しました。
これによると、Webサービス利用者のうち、83.8%が複数のWebサービスでパスワードを使いまわしているとのことです。ID/パスワードを使い回す理由としては、「異なるパスワードを設定すると忘れてしまう(72.8%)」「異なるパスワードを考えるのが面倒(48.6%)」という回答が多い結果となっています。
また、過去に不正アクセスや情報流出の被害経験があるWebサービス利用者は17.7%となっており、具体的な被害内容としては「クレジットカードの不正利用(36.8%)」が最も多く、「利用しているWebサービスからの情報流出(34.1%)」と続く結果となったとのことです。
参照:トレンドマイクロ「パスワードの利用実態調査2023 ~8割以上がパスワードを使いまわし、約2割が不正アクセスや情報流出の被害に~」
回答者の60%が過去12ヶ月の間に10件以上のインシデントを経験 - Cloudflare調査
Cloudflareは、「未来を守る:アジア太平洋地域サイバーセキュリティ調査」と題したレポートを発表しました。
これによると、日本の回答者の81%が過去12ヶ月の間に少なくとも1件のサイバーセキュリティインシデントを経験し、60%が10件以上のインシデントを経験したとのことです。
また、回答者の71%は過去12ヶ月に100万ドル以上の財務的影響を受けており、それ以外に被った最大の影響として「顧客データの損失(66%)」「知的財産の損失(65%)」「社員情報の損失(62%)」が挙げられたといいます。
参照:PR TIMES【Cloudflareの最新調査で、アジア太平洋地域の企業は自社のサイバーセキュリティ対策に不安を持つことが明らかに】
国外
CISA、K-12サイバーセキュリティ自主誓約を発表
サイバーセキュリティー・インフラセキュリティー庁 (CISA)は9月5日、K-12教育テクノロジ・ソフトウェアの開発者およびメーカーに対し、サイバーセキュリティをより重視した製品作りを約束する「自発的な誓約」を発表しました。
誓約書に署名することで、開発者は3つの原則を採用することに同意します。各企業は、『顧客のセキュリティ成果のオーナーシップを持つこと』、『抜本的な透明性と説明責任を受け入れること』、『セキュアな技術を企業リーダーシップの優先事項とすること』でトップからリードすることを誓約します。
9月1日以降、CISAはPowerSchool、Classlink、Clever、GG4L、Instructure、D2Lを含む大手ソフトウェア開発企業から6件の誓約を得ているとのことです。
参照:CISA「K-12 Education Technology Secure by Design Pledge」
初期アクセスブローカー経済 - Bleeping Computer調査
IABは、企業環境への特権的なITアクセスを獲得することに重点を置くサイバー犯罪者であり、そのアクセス権を専門のダークウェブの掲示板で競売にかけます。企業のIT環境へのアクセスは驚くほど安く、データセットの全サンプルで、企業のIT環境へのアクセスを購入する平均価格は1,328.23米ドルとのことでした。
しかし時折、極めて価値の高いリスティングが、他にはない貴重な環境へのアクセスとともに掲載されることがあります。そのため、数万ドルの価格になることもあり、10万米ドル以上の値がつくリスティングもあるといいます。
参照:Bleeping Computer「The Initial Access Broker Economy: A Deep Dive into Dark Web Hacking Forums」
Microsoft、情報漏洩の原因を公表
参照:ArsTechnica「Microsoft finally explains cause of Azure breach: An engineer’s account was hacked」