サイバー攻撃関連

今週のセキュリティニュース - 2024年9月27日

投稿日:2024年9月27日
執筆者:ISRセキュリティニュース編集局

国内

注目を集める「パスキー」が安全とされる理由を解説 - フィッシング対策協議会

パスキーとは、パスワードに置き換わるFIDO認証資格情報です。ユーザーのデバイスを問わず、ウェブサイトやアプリケーションへのより速く、簡単、安全なサインインを提供するパスワードの代替品です。
フィッシング対策協議会は2024年9月24日、第10回フィッシング対策勉強会資料を公開しました。その資料によると、FIDO認証の突破は技術的には不可能ではないが、フィッシング詐欺においてはそれに見合うリターンとはいえず、FIDOが技術的側面だけではなく、抑止効果としての期待も高いと解説しています。
また、パスキーの導入によってユーザーからの問い合わせが減少した事例の紹介など、セキュリティ面だけでなくユーザビリティ面でのパスキーのメリットについても説明されています。

注目を集める「パスキー」が安全とされる理由を解説 - フィッシング対策協議会 | ISRセキュリティニュース編集局
参照:フィッシング対策協議会「第10回フィッシング対策勉強会資料公開のお知らせ

物流サービス企業がランサムウェアに感染、複数委託元への影響

2024年9月中旬、物流サービス企業がランサムウェアに感染し個人情報の一部が漏洩した可能性があることを公表しました。
本発表を受け、この物流サービス企業へ業務を委託していた企業が次々と個人情報漏洩の可能性を発表しており、そのうちオンラインストア業務を委託していた企業では漏洩した可能性のある個人情報は最大23万人にのぼるとしています。
委託先の物流サービス企業では具体的な情報漏洩の事実は確認されていないとしていますが、外部専門家の助言を受けながら引き続き調査を行うとしており、委託元の企業でも専用の問い合わせ窓口を設置するなどの対応を行っています。

物流サービス企業がランサムウェアに感染、複数委託元への影響| ISRセキュリティニュース編集局
参照:日本経済新聞「松竹委託先がサイバー被害 最大23万人個人情報漏えいも

国外

ダークウェブに企業に関する情報が載ると、サイバー攻撃のリスクが大幅に増加 - Searchlight Cyber調査

ダークウェブインテリジェンス企業であるSearchlight Cyberのレポートによると、ダークウェブ上に侵害されたユーザー情報がある場合、その企業がサイバー攻撃を受ける可能性は2.56倍に増加することが分かりました。
「ダークウェブ」とは、通常の方法ではブラウザ経由でアクセスできないインターネットの一部であり、一般的にサイバー犯罪者たちがリソースの共有、物品やサービスの販売、コミュニケーションを行うために使用されています。
さらに、企業や関連データがダークウェブのマーケットに掲載されると2.41倍、プレーンテキストのリポジトリにデータが登録されると1.88倍にリスクが高まることも分かっています。レポートでは、セキュリティチームがダークウェブでの露出を早期に把握することで、防御を強化し、攻撃を未然に防ぐ機会が得られると指摘されています。

ダークウェブに企業に関する情報が載ると、サイバー攻撃のリスクが大幅に増加 - Searchlight Cyber調査 | ISRセキュリティニュース編集局
参照:Searchlight Cyber「THE CORRELATION BETWEEN DARK WEB EXPOSURE AND CYBERSECURITY RISK

最も安全性の低いパスワードが依然として主流 - Yubico調査

ハードウェアセキュリティキーのプロバイダーであるYubicoが発表した調査結果によると、現在最も安全でないログイン方法であるにもかかわらず、回答者の39%が依然としてユーザー名とパスワードが最も安全だと考え、37%がモバイルSMSベースの認証がアカウントへのログインに最も安全な方法だと考えていることが明らかになりました。
また、企業の研修でもセキュリティ教育が不十分なこともわかっています。調査では、回答者の3分の1以上(34%)が、勤務先に入社した際に、ユーザー名とパスワード以外の方法で業務用アカウントを保護するよう指示を受けなかったと回答しました。
昨今では、AIの進化によりオンライン詐欺が巧妙化しており、この方法では十分な安全性が確保されておらず、多くの人がより安全な認証方法を知らない場合が多いとしています。

最も安全性の低いパスワードが依然として主流 - Yubico調査 | ISRセキュリティニュース編集局
参照:Yubico「Despite increasing cybersecurity attacks, people still believe antiquated username and passwords are strong enough
ページの先頭へ