本番環境のコンテナー イメージは87%が重大な脆弱性あり
シアトルで開催されたCloudNativeSecurityConでは、800 人の DevSecOps 実践者が集まり、コンテナー イメージのセキュリティやソフトウェア サプライ チェーンに対するゼロトラストについて話し合われました。
そこで、セキュリティ ポリシーの欠如は、設定ミスによる脆弱性の増加に拍車をかけています。 Sysdig 2023 Cloud-Native Security and Usage Report によると、本番環境のコンテナー イメージは87%が重大な脆弱性があり、1 年前の 75% から増加しています。組織の 79% がゼロトラスト環境に移行してません。
Sysdig のレポートによると、付与されたアクセス許可の 90% が使用されておらず、資格情報を奪えるパスが作成されてしまっています。レポートによると、「ゼロトラストは最小権限のアクセスを実現する必要があり、それには現状の権限を把握する必要があります。」
FENICSインターネットサービスの不正アクセスについて
外部への不正通信が技術的に可能であったネットワーク機器の特定と、本事象による影響範囲を確定した模様です。これにより、外部から窃取可能である通信を行っていたお客様に報告を進めております。
対策
リモートアクセス端末やイントラ業務システムなどのお客様ネットワークに対するセキュリティリスクとインターネットとの通信トラフィックリスクが高まっています。
富士通の場合であれば、例えばゼロトラストセキュリティGWとリモートアクセスGWで構成される「FENICSⅡ ユニバーサルコネクト アドバンスゼロトラストネットワーク」があります。
ゼロトラストセキュリティGWは、多要素認証を行うID管理・認証サーバを持ち、管理者は、ユーザID毎の様々なセキュリティログや通信ログを管理者ダッシュボードで参照できます。
このようなサービスを導入することをお勧めします。
事例
株式会社TKCより「TKC会員事務所が利用しているFENICSインターネットサービスの認証情報の一部が傍受された可能性があります。しかし、データ漏洩は発生していません。」が発表されました。
TKC会員事務所がTISCとの通信で利用しているセキュリティ・ゲートウェイサービスとFENICSの接続ポイントにおける認証情報の一部が、外部から傍受された可能性があることが判明しました。しかし、上記の接続ポイントでは、複数の要素で認証を行っており、今回傍受された可能性のある情報は、その認証情報の一部のみであり、この情報だけで外部からネットワークに侵入することはできません。そのため、TKC会員事務所への不正アクセスや、データ漏洩は発生しておりません。
Fortiguard PSIRT アドバイザリー(2月)
FortiWeb、FortiOS、FortiNAC、FortiProxy などのセキュリティ アップデート40件 をリリースしました。
重大度:Critical 2件
- FortiNAC – keyUpload スクリプトレットでのファイル名またはパスの外部制御 CVE-2022-39952 CVSS 9.8
- FortiWeb – Proxyd でのスタックベースのバッファ オーバーフロー CVE-2021-42756 CVSS 9.8
その他、重大度:High 15件、 Medium 22件、 Low 1件
修正済みバージョンへ更新することをお勧め致します。
VMware Carbon Black App Control Critical な脆弱性
CVSS9.1 App Control 管理コンソールへ管理権限でアクセスできる攻撃者は、細工を施したインジェクションにより、基盤となるサーバーオペレーティングシステムにアクセスすることができる可能性があります。
回避策が無いため修正済みバージョンへ更新することをお勧め致します。
Today we released a new Critical Severity VMware Security Advisory. Check out https://t.co/XRhJWOZkQ8. #VMware
— VMware Sec Response (@VMwareSRC) February 21, 2023
AIは学習で量が質を変える現象「相転移」
最近、AIは学習で量が質を変える現象「相転移」によって、計算量やデータ量が多いほど性能が劇的に向上することが分かってきました。MicrosoftのAIは、あらゆる種類のデバイス、アプリケーション、プラットフォーム、エンドポイントから1 日あたり65兆ものシグナルを得ています。
Microsoft Security が新たなマイルストーンに到達 ― インクルーシブで顧客志向のソリューションが成果をもたらす
将来的にはMicrosoftのSOCはAIによって、様々なセキュリティサービスが提供されると考えます。
Twitter は脆弱なSMSを使った2要素認証を有料化
Twitter は脆弱なSMSを使った2要素認証を有料化しました。代わりに Google やMicrosoftなどのAuthenticatorまたはセキュリティキーを導入することをお勧めします。
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5n
— Twitter Support (@TwitterSupport) February 18, 2023
なお、SMS認証は、SMSインターセプトやMFA Fatigue攻撃などで攻略できるため安全ではありません。
欧州委員会と EU 理事会の職員TikTokの使用を禁止
欧州委員会と EU 理事会は、セキュリティ上の懸念から、スタッフが中国のソーシャル メディア アプリ TikTok を使用することを禁止しました。 広報担当のEric MamerとSonya Gospodinovaは、制限は「絶え間ない見直しと再評価の下で一時的なものである」と述べました。
なお、アプリが EU 幹部に重大なサイバーセキュリティとデータのリスクをもたらすと結論付けた情報を開示することを拒否しました。
In an unprecedented move, the European Commission and European Council have banned staff from using TikTok due to security concerns.https://t.co/TgiJPg7dIi
— POLITICOEurope (@POLITICOEurope) February 23, 2023
サイバー人材「100万人育成」資格団体 無料教材提供
悪意を持つハッカーに資格はない。ルールも無い、誰でもなれる、そして実力ある者だけが生き残れる世界
そんな相手と戦っていくために、資格のあり方も変わっていくと感じます。
「サイバー人材「100万人育成」 資格団体、無料教材提供」が日経産業新聞に掲載されました。(ISC)² CEOであるClar Rossoがサイバー人材における需給ギャップの拡大とその背景についてインタビューに答えています。
— ISC2_Japan (@ISC2_Japan) February 26, 2023
掲載記事: https://t.co/RzD8r8na7g