Meta 米国を含む50以上のアプリと国を標的とした、中国とロシアによる世界最大級の影響力工作に関する脅威リサーチ
Metaは、Spamouflageとして知られている影響工作について、中国の治安当局に関連する個人と結びつけることができ、世界最大規模のクロスプラットフォーム作戦による数千のアカウントとページを削除しました。
更に一年前に阻止したロシアのDoppelganger作戦に関連する、2017年以降に行ったロシアをとする作戦の中で最大規模で偽アカウントや偽ページの運営を阻止しました。
この作戦は、主要な報道機関や政府機関のウェブサイトを模倣し、ウクライナへの支持を弱めることを目的とした偽記事を投稿することに重点を置いていました。当初フランス、ドイツ、ウクライナを標的にしていたのを、今ではアメリカとイスラエルにまで拡大しており、新たな脅威に関する調査に加え、グローバルなドメイン名登録システムの悪用に対処するための執行および政策提言も発表しました。
JETRO 人権侵害に対する施策が日系企業にも影響
米国は近年、人権に関連した政策を拡充している。トランプ前政権下では、特に対立を深める中国との関係で、関連法の整備や法執行強化が推進された。バイデン政権も、新疆ウイグル自治区での人権侵害を通商政策の最優先課題に挙げている。中でも、米国は強制労働を問題視する。人権侵害の倫理的な観点に加え、是正すべき不当な競争条件という経済対策の側面を含むからだ。
JETRO 人権侵害に対する施策が日系企業にも影響
英BBC、韓国の朝鮮日報、英Guardian紙や米ABCが日本の性犯罪を報じている状況下で、加害者の名前を冠したアイドルが、認知領域を含む情報戦(Cognitive Warfare)で諸外国の世論操作に、この問題が利用される可能性を私は予見しております。
BTSが「未来世代と文化のための大統領特使」となり国連でスピーチを行いました。ユニクロのウイグル人権問題は記憶に新しいと思います。
今後はアイドルをCognitive Warfareで戦略的に用いる時代が到来しつつあると思います。すなわちアイドルも日経企業と同様に人権デューデリジェンスが必要です。
日本政府は「責任あるサプライチェーン等における人権尊重のためのガイドライン」を策定しました – 経産省
防衛省 は国防衛の観点から、さまざまな手段で無力化を行うことを構想しておりますが、我が国の信頼を毀損する取り組みについて、原因を排除することが最も効果的だと考えます。
この事件から認知領域を含む情報戦において、どのように日本は戦っていくのか、今後も注目していきたいと思います。
「破産手続きを開始しました」 企業サイトの改ざん被害、全国で相次ぐ「餃子の王将」運営会社も
ハクティビストが対象国内を混乱させることを目的とした活動が増加、偽情報の拡散などの情報戦を実施していると指摘されています。
防衛省 は国防衛の観点から、さまざまな手段で無力化を構想しています。認知領域を含む情報戦において、どのように日本は戦っていくのか、今後も注目しています。
Jenkins セキュリティアドバイザリー 2023-09-06
パストラバーサルにより、ジョブ構成履歴プラグインの XSS 脆弱性(CVE-2023-41930、CVE-2023-41931)が悪用される可能性とXXE 脆弱性(CVE-2023-41932、CVE-2023-41933)が悪用される可能性などがあります。
Jenkins Security Advisory 2023-09-06
- Assembla Auth Plugin
- AWS CodeCommit Trigger Plugin
- Azure AD Plugin
- Bitbucket Push and Pull Request Plugin
- Frugal Testing Plugin
- Google Login Plugin
- Ivy Plugin
- Job Configuration History Plugin
- Pipeline Maven Integration Plugin
- Qualys Container Scanning Connector Plugin
- SSH2 Easy Plugin
- TAP Plugin
Storm-0558 コンシューマー鍵がエンタープライズメールにアクセスできた理由
2023年7月11 日、Microsoft は中国を拠点とする攻撃者が企業電子メールへのアクセスに用いたMSAコンシューマ キーの使用方法について調査結果を公開しました。
Results of Major Technical Investigations for Storm-0558 Key Acquisition
文書とヘルパーAPIの既存のライブラリの一部として、マイクロソフトは署名を暗号学的に検証するAPIを提供したが、この検証を自動的に実行するようにライブラリを更新しませんでした。
メールシステムは2022年に共通のメタデータエンドポイントを使用するように更新された。メールシステムの開発者は、ライブラリが完全な検証を実行すると誤って思い込み、必要な発行者/スコープ検証を追加しなかったためメールシステムは、コンシューマー鍵で署名されたセキュリティトークンを使用したエンタープライズ電子メールのリクエストを受け付けていました。
Microsoft ストレージサービスの脅威マトリックスの第 2 バージョンのリリース
クラウド ストレージ サービスに保存されているデータに対する潜在的なセキュリティ脅威の特定と分析を支援する構造化ツールです。
このマトリックスは、MITRE の ATT&CKフレームワークの戦術セットにマッピングされた豊富な攻撃手法をレイアウトしており、効果的に対応することができます。
サイバー犯罪者は、機密データへのアクセスと窃取、ラテラルムーブメントのためのネットワーク足場の獲得、追加リソースへのアクセスの可能化、マルウェアの展開への関与など、さまざまな目的でクラウド ストレージ アカウントとサービスを標的にします。このような脅威に対抗するために、更新された脅威マトリックスでは、いくつかの新しい初期アクセス手法を詳しく説明することで、攻撃対象領域をより適切にカバーしています。 さらに、実際の攻撃ではまだ観察されていないものも含め、クラウド環境に特有の攻撃を詳細に説明することで、脅威の状況を可視化します。
Google 検索の新機能として生成 AI による検索体験 (SGE -Search Generative Experience) の日本語版の試験運用を開始
Search Labs に Google アカウントを登録することで、デスクトップの Chrome ブラウザとスマートフォンの Google アプリで利用できます。
一般社団法人サイバー技術・インターネット自由研究界 telnet電子公告
夜が明けたら、telnet電子公告はチャット掲示板でした。
草の根Webクライアント「某TelnetサーバーのWebクライアントだよ」も公開された模様
ついにOpenSSLからアクセスできる、TELNETS (TELNET over SSL) 版もリリースされた模様です。
メルカリ社内用GitHub Actionsのセキュリティガイドラインを公開
今回は社内の有志メンバーによって作成された社内用GitHub Actionsのセキュリティガイドラインの一部を紹介しました。
目標は、第1に「常に達成したいこと」として「外部の攻撃者からの攻撃を防ぐ」こと。そして、第2に「可能であれば考慮したいこと」として「内部と同等の権限を持つ攻撃者からの攻撃を防ぐ」こと
メルカリのセキュリティ文化の成熟度の高さを感じました。
競争原理から共創原理へ
これからのコンサルタントは、多くの人々に活躍するチャンスを与え、今までにない新たな価値を生み出すことで、課題や困難を克服することにあると思う。
トリリオンゲームでは大企業がベンチャーを見下し足の引っ張り合をしていますが、例えば、サムアルトマンは立ち上げ後にMicrosoftが1180億円の出資、イーロンマスクのスペースXはGoogle から1180億円を受け成長し続けてきました。
足の引っ張り合いをやめて、世界の常識を変えるサムアルトマンやイーロンマスクのような、突き抜けた人間を評価し、活躍できる社会へと進化することを願います。
