今宵のサイバーセキュリティについて気になること:「情シス部門のゼロトラスト導入に向けて」ランクイン、Ultra I&C を ALPHV /BlackCat がリークサイトに追加 など

大晦日の夜いかがお過ごしでしょうか。本年もお世話になりました。良いお年をお迎えください。

「情シス部門のゼロトラスト導入に向けて」ランクイン

🎍読者の皆様ありがとうございました🎍お陰様で「情シス部門のゼロトラスト導入に向けて」がランクインできました。

この記事はNISTやIPAのゼロトラスト・アーキテクチャといった普遍的な考え方に基づいており、2021年に登壇に向けて作成したものをベースに、ブラッシュアップして連載しております。

この先も本質的なところは、変わらずに利用できるものだと思います。

連載もあと残り2回ですが、どうぞ、最後までお付き合い下さい。

Ultra Intelligence & Communications を ALPHV /BlackCat ランサムウェア グループがリークサイトに追加 

FBI ,DEA ,NATOなどのサイバーセキュリティを支援するUltra Intelligence & Communications を ALPHV /BlackCat ランサムウェア グループがリークサイトに追加 

監査、財務、プロジェクト、従業員、契約関連の30GB のデータが流出し、対象の企業リストを公開しました。これには、Prologic, Inc.、NEC、FBI、DEA、NATO、AT&T などが含まれていた模様です。

Google Oauth エンドポイントにエクスプロイトのルート

MultiLoginというGoogle Oauth エンドポイントにエクスプロイトのルートがあり、開発者のPRISMAは、永続的な Google Cookie の生成を可能にした模様

Google アカウントの侵害: 文書化されていない OAuth2 機能を悪用してセッション ハイジャックを行うマルウェア

発見されたエクスプロイトを組み込んだ Lumma Infostealer は11月14日に実装されました。その後、Rhadamanthys、Risepro、Meduza、Stealc Stealer がこの手法を採用、12月26日 White Snake も実装した模様です。

Compromising Google Accounts: Malwares Exploiting Undocumented OAuth2 Functionality for session hijacking

フィッシングサイトも日々巧妙化

フィッシングサイトも日々巧妙化していると感じます。

https : //w5ts75ldessibhvtioij8c9c.zonesfit[.]com/jp-tadashi-news-goo-dynamic/

フィッシング対策ガイドラインによれば、事業者がその社名やサービス名などブランドを不正に第三者に騙り、フィッシングにより利用者や事業者の金銭的な損害を防ぐには、利用者自身のフィッシング対策が大きな役割を占めます。

フィッシング対策ガイドライン 2023 年度版

くれぐれもお気を付けください。

なおJPCERT/CCへ報告済みです。

TradeGPT 3.6 Force ¥39,750

電子マネーで決済したらエラーが出てめんどくさいことになった話が恐ろしい

異常系に配慮し、設計段階で織り込むことができるアーキテクトが必要だと感じます。

また、品質の責任はレビューアーとすること、その上でウォークスルーを各工程で行うことが必要だと思います。

電子マネーで決済したらエラーが出てめんどくさいことになった話が恐ろしい

東京都医療者向けワクチン予約サイトの個人情報問題(Kintone)

「フェイク画像」対策カメラ、キヤノンが発売へ

特定のサービスに過度に依存せずに、個人・法人によるデータのコントロールを強化する仕組み、やり取りするデータや相手方を検証できる仕組み等の新たな信頼の枠組みを構築するTrusted Webの実現が望まれます。

Reuters new proof of concept employs authentication system to securely capture, store and verify photographs

認証された写真のメタデータは、パブリック ブロックチェーンに登録されるだけでなく、Filecoin プロトコルと Storj プロトコルを使用する 2 つの暗号アーカイブに保存されます。

Preserving trust in photojournalism through authentication technology

教職員事務に生成AI「全く使わず」8割弱 FAX使用95.9%

文科省から令和5年7月4日に「生成AIの利用に関する暫定的なガイドライン」が示されましたので、今後は導入が進むものと思われます。

教職員事務に生成AI「全く使わず」8割弱 FAX使用95.9%

ガバメントクラウド テックブログ 第0回目

改めてデジタル庁には、「コスト効率、迅速、柔軟、セキュア」これを実現できるアーキテクトが必要だと思います。

ガバメントクラウド テックブログ 第0回目

「コスト効率、迅速、柔軟、セキュア」についてまずはITシステム全体が目指す指標として最低限必須のものとし、それを達成することが可能なクラウドのテクノロジーやサービスを選定し、アーキテクチャや運用方法も踏まえたガバメントクラウドの整備事業を進めてきています。

デジタル行財政改革 中間とりまとめ

ガバメントクラウドの運用等経費については、大口割引(ボリュームディスカウント)や長期継続割引(リザーブドインスタンス)の導入等により「クラウド利用料の低廉化」 を図る取組を実施する。地方公共団体が負担するガバメントクラウドの利用料については、地方公共団体が利用に応じて国に支払い、国は、国及び地方公共団体等の利用料を一括して事業者に支払うこととする。そのため、地方公共団体等の共通機能に係る費用を保管する仕組みを整備することとし、2024 年度中に所要の制度整備を行い、その後、地方公共団体は国に利用料を支払うこととする。

https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/pdf/chukan_honbun.pdf

自治体が「ガバメントクラウドに大困惑」の根因、あまりに異なる当初の理想と現実

“来年度は政府の数十個のシステムがガバメントクラウドに移行する予定ですし、多くの地方公共団体からガバメントクラウドへの移行表明も頂いています。今後は、その環境をしっかりと作り、運用していくことが大きなミッションですね。”

フィジビリティ(feasibility)で予見できていることだと思います。準備した施策(事業戦略)を縦横に用いて、粛々と進めて頂きたいと思います。

Broadcom VMware パートナー プログラム終了のお知らせ

2月4日より、招待制の Broadcom Advantage Partner Program に移行する模様、年間収益が50万ドル未満のパートナーはパートナーの地位を失う可能性

Broadcom Completes Acquisition of VMware

Advantage または Expert Advantage パートナー プログラムの詳細については、こちらへ
http://partnerportal.broadcom.com

AEONテックブログ 巨大企業でDX革新を起こすということ

画像に alt 属性が指定されていません。ファイル名: %E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88-2024-01-06-16.18.16.png
巨大企業でDX革新を起こすということ

例えば、経営層であるCTOに求められるのは業績(収益)であり、DXは手段に過ぎないと思います。よって、結果を出すことが求められます。

そこで、2024年2月期 第2四半期決算には「コスト上昇を売上総利益の改善、省エネ投資、DXによる業務効率化で打ち返す」と記載されておりました。

「考え抜いて、ストレートに伝える」ことに徹する

フリーのプログラマーからリーダーとなり、プロマネ、事業部長として任されるようになったのは、決して「扱いやすさ」からではなかった。

「マービン・バウワー」という本の第3章プロフェッショナルファームのP.53に、このような一節があります。

「企業が躓くのは…まちがった問いに正しく答えるからである…次第に窮地に追いつめられていく」

マービン・バウワー

つい相手のまちがった問いを正すことなく、意を汲んで正しく答えてしまう。その積み重ねが企業価値を損なってしまうと感じます。

コンサルとして、このような価値を伝えていきたいと思います。

来年も素敵な一年をお過ごし下さい。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ