はてなブックマーク

本レポートは、日々発生している実際の攻撃やインシデントに根ざしており、また日本の企業や団体を狙った脅威を中心にまとめているため、日本の企業や団体のサイバーセキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を把握することができる内容です。 サイバー119で出動したインシデント傾向 サイバー119の出動傾向：2024年7月～9月 当該期間では、マルウェアによる被害の相談が41%、およびサーバ不正侵入による被害の相談が32%であり、両者で全体の73%を占めています。この割合は前四半期（2024年4月から6月）および前年同期（2023年7月から9月）と同様の傾向であり、過半数を占めている状況に変わりはありません。一方、サーバ不正侵入の被害では、ID不正利用による被害が全体の14%と、前四半期（16%）および前年同期（18%）と比較して減少しているものの、依然としてクラウドサービスのアカウ

今回は「全ての資産の認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する」をテーマにした記事の前編として、NISTの考え方に対する現状とのギャップについて、ラックの考えるゼロトラストをお伝えいたします。 NISTの基本的な考え方 NISTによるゼロトラストの考え方 1.すべてのデータソースとコンピューティングサービスはリソースとみなす 2.ネットワークの場所に関係なく、全ての通信を保護する 3.企業リソースへのアクセスは、セッション単位で付与する 4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する 5.企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する 6.全ての資産の認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する 7.企業は、資産やネットワークインフラ

昨今、セキュリティ侵害に対して完璧に防御することは不可能であり、侵入されることを前提に対策を検討すべきだと言われています。これは主に企業や組織を守る立場の文脈で語られていることだと思いますが、その企業や組織が提供しているサービスの利用者など、個人についても同じような考え方が必要なのではないでしょうか。 つまり、セキュリティ被害は個人のレベルでも、誰にでも起こりうる、ということです。それを前提にしなければならないのではないでしょうか。 誰にでも起こりうるリスク それを裏付けるようにフィッシングによる被害が急増しています。フィッシングによるものと思われる不正送金が令和5年（2023年）に5,000件以上発生しており、その被害額は87億円を超えています。 インターネットバンキングに係る不正送金事犯の発生件数および被害額の推移 （警察庁の「令和５年におけるサイバー空間をめぐる脅威の情勢等について」

2024年4月に、セキュリティ運用サポートを行うマイクロソフト社の生成AIサービス「Microsoft Copilot for Security（以下、Copilot for Security）」が発表されました。皆さんは早速使っていますか？ Copilot for Securityはとても便利ですが、使い方によってはコストが思いがけず高くなることもあります。必要以上のリソースを割り当てていたり、管理が不十分だったりすると、予算オーバーになることも少なくありません。しかし、設定を適切に行うことでコストの最適化は可能です。 今回は、新時代のセキュリティ対応で夢が広がるCopilot for Securityを活用するにあたり、ラックで行っているコスト対策のポイントを4つお伝えします。 Copilot for Securityを使うにあたって気をつけるべきこと Copilot for Secu

本レポートは、ラックの中でもサイバー攻撃の脅威に対して最前線で対応しているJSOCおよびサイバー救急センター、そして攻撃者が利用するサイバー攻撃手法も採り入れてお客様のシステムへ侵入テストを行うデジタルペンテスト部において、分析・調査・侵入テストを実施する中で得た最近の脅威の傾向や特徴を、セキュリティ専門家が「洞察」としてまとめたものです。 日々発生している実際の攻撃やインシデントに根ざしており、また日本の企業や団体を狙った脅威を中心にまとめているため、日本の企業や団体のサイバーセキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を把握できる内容です。 サイバー119で出動したインシデント傾向 サイバー119の出動傾向：2024年4月～6月 当該期間では、マルウェア関連による被害の相談が37%、およびサーバ不正侵入による被害の相談が31%であり、両者で全体の68%を占めています。

インシデント調査における、Microsoft Copilot for Securityと一般的な生成AIの違い AI セキュリティ 情シス向け 「Microsoft Copilot for Security（以下、Copilot for Security）」がリリースされて数ヶ月がたちました。この短期間で、企業やセキュリティの専門家の間で大きな話題となっています。現在、数多くの生成AIサービスが存在する中で、Copilot for Securityはセキュリティに特化した生成AI利用サービスという独自の位置を確立しています。 Copilot for Securityと一般的な生成AIとの違いはどこにあるのでしょうか。今回は、インシデント調査と調査クエリの提案に焦点をあてて、Copilot for Securityと他の生成AIの共通点と相違点を具体的に見ていきます。今後、業務でCopilo

AWSへの移行で、業務全体の効率化とコスト削減を実現 ラックが運営する国内最大級のセキュリティ監視センター「JSOC」は、企業向けのセキュリティ監視・運用サービスを提供している。セキュリティ監視システムは、ラックの開発部門が自社のノウハウを活用し内製している。このような知見を活かし、特定顧客向けに個別のセキュリティ監視システムの構築にも取り組んでいる。 今回は、大手製造業様向けにオンプレミス環境で稼働していたセキュリティ監視システムを、Amazon Web Services（以下、AWS）に移行した事例を紹介する。 オンプレミス環境での限界 大手製造業様向けのセキュリティ監視システムは、オンプレミスでの運用開始後から順調に稼働し、収集されたログの量は5年間で倍増した。しかし、初期想定を超えたため、処理速度やストレージの容量不足によるパフォーマンス問題が顕著になった。 ログが増加した理由は、

ここまで大きな活動に携われると思っていませんでしたので、身に余る光栄です。この記事では、モバイル端末を標的とするスミッシングについて解説しますので、読者の皆様のお役に少しでも立てれば幸いです。 スミッシングの仕組み まずは、スミッシングの仕組みとこれまでの変化について説明します。 悪質なSMSとモバイルマルウェア スミッシングとは、ショートメッセージサービス（以下、SMS）を利用したフィッシング攻撃の手法です。多くの場合、企業や組織になりすまし、言葉たくみに受信者の判断力を鈍らせて金銭を騙し取ろうとします。また、送信者が見知らぬ番号であるという点も特徴的です。 スミッシングの仕組み スミッシングに用いられるSMSにはURLが記載されており、受信者の端末のOSに応じて異なるアクセス先に誘導されます。Android端末では偽のアップデートやセキュリティ警告が表示され、偽のアプリケーション（モバ

この連載では、ASM製品の活用や脆弱性診断サービスとの使い分けについて、実際の製品で得られる情報や診断サービスの調査内容に触れつつ、3回に分けてご紹介します。 第1回では、ASM製品がどのような情報を収集し、どのような情報が利用者に提供されるかを説明しました。その中で、ASM製品が提供する脆弱性の情報はあくまで可能性に過ぎず、見落とされる可能性もあります。また、非公開の資産の問題の調査はできません。これらの問題を解決するのが脆弱性診断サービスであり、各組織は状況に応じてASM製品と脆弱性診断サービスを使い分ける必要があります。

LAC Advisory No.136 デジタルペンテスト部の山崎です。 プログラミング言語awkで書かれたブログシステム「awkblog」に、悪意ある第三者によって認証なしに任意のOSコマンドが実行されてしまう脆弱性を発見しました。2024年2月15日にIPAに届出をおこない、2024年5月30日にJVNにて公表されました。 影響を受けるシステム awkblog v0.0.1（commit hash:7b761b192d0e0dc3eef0f30630e00ece01c8d552）およびそれ以前のバージョン 解説 Keisuke Nakayama氏が提供するawkblogには、OSコマンドインジェクション（CWE-78）の脆弱性が存在します。悪意ある第三者によって細工されたHTTPリクエストを送信され、当該製品を実行するマシン上において、当該製品の権限で任意のOSコマンドを実行される可能

侵入型ランサムウェア攻撃はバックアップも含めたデータを暗号化し、その復元と引き換えに被害組織に金銭を要求します。近年、この攻撃により組織は製品生産の停止や医療提供の中断など、事業継続に深刻な影響を受けています。 皆様の組織ではランサムウェア攻撃や、同じ攻撃手法が使用される標的型攻撃へどのような対策を講じていますか？利用者への標的型攻撃メール訓練、VPN製品を含む脆弱性の管理、RDPやSMBに代表される不正侵入に悪用されるサービスへのネットワークのアクセス制御、推測し難いパスワードの設定など、攻撃者によるインターネットからの不正侵入を防止する対策が中心ではないでしょうか。 不正侵入を想定した対策の必要性 不正侵入を防ぐ対策を講じていても、不正侵入を許してしまった後を想定した対策はしていますか？ 利用者が誤って攻撃者からのメールに添付されたファイルを開いたり、海外支店が導入したVPN製品の脆弱

セキュリティカンファレンス「Botconf 2024」に登壇しました〜New Modular Malware RatelS: Shades of PlugX サイバー攻撃 セキュリティ 脅威分析チームでは、最新のサイバー攻撃に対処するために、日本の組織を標的とする多様な攻撃を日々調査しています。調査の過程で得られた知見は、サイバー救急センターのフォレンジック調査やJSOCの検知ロジックなどに反映しており、対策や研究に役立てられています。 また、緊急性や重要性が高いと考えられる脅威情報は、レポートやラック公式メディア「LAC WATCH」、国際カンファレンスの場で発信および共有することで、攻撃の対策や被害の未然防止を促し、多くの組織を攻撃から守れるように努めています。 この記事では、2024年4月24日から26日に開催されたセキュリティカンファレンス、「Botconf 2024」にて発表した

本レポートは、ラックの中でもサイバー攻撃の脅威に対して最前線で対応しているJSOCおよびサイバー救急センター、そして攻撃者が利用するサイバー攻撃手法も採り入れてお客様のシステムへ侵入テストを行うデジタルペンテスト部において、分析・調査・侵入テストを実施する中で得た最近の脅威の傾向や特徴を、セキュリティ専門家が「洞察」としてまとめたものです。 日々発生している実際の攻撃やインシデントに根ざしており、また日本の企業や団体を狙った脅威を中心にまとめているため、日本の企業や団体のサイバーセキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を把握できる内容です。 サイバー119で出動したインシデント傾向 サイバー119の出動傾向：2024年1月～3月 当該期間では、マルウェア関連による被害の相談が30%、およびサーバ不正侵入による被害の相談が47%であり、両者で全体の77%を占めています。

近年、「中国のハッカーが米国にサイバー攻撃を仕掛けている」というニュースがひんぱんに流れます。これを中国政府が全面的に否定し、「中国を陥れる偽情報キャンペーンである」と反発するのが、パターンになっています。中国側も米国を「ハッカーの国だ」と非難しています。 一方で、日本では情報ソースが米国に偏っているためか、「中国が被害者である」という話はあまり聞こえてきません。そこであえて、中国メディアの報道を参照しながら、米中がなぜサイバー分野で非難の応酬をしているのかを見てみましょう。 CIAのサイバー兵器「Beehive」 2022年春、中国の政府系ニュースサイト、グローバル・タイムズ（環球時報）が「Beehive」という米国のサイバー兵器の存在を「スクープ」しました。CNCERT/CC（中国国家コンピュータネットワーク緊急対応センター）の情報として伝えたものです。 Beehiveは「ミツバチの巣

Microsoft社の、生成AIを活用したオンラインセキュリティを強化するサービス、「Copilot for Security」が話題になっています。 専用のポータルなどからチャット形式で質問を投げかけると、専用のプラグイン経由でMicrosoftの様々なセキュリティサービスの情報を取得して、回答してくれるサービスです。 実際にどのように活用できるのか、専門家でなくともセキュリティ業務ができるようになるのは本当なのか、といったポイントが気になる方は多いのではないでしょうか。ラックは、サービスのリリースに先立って、EAP（Early Access Program）期間中からCopilot for Securityを利用したので、実際の使い勝手をレポートします。 今回は、Microsoft社のセキュリティ情報イベント管理サービス（Security Information and Event M

本記事では、日々あまり詳しく触れる機会のない「船舶へのサイバー攻撃の脅威」について、2023年12月に実施した記者向け勉強会のトピックを中心にお伝えします。 勉強会のハイライト 登壇したメンバーは、コンサルティングサービス部の竹内 正典と、デジタルペンテスト部の今井 志有人の2人です。 竹内は、2018年より日本海事協会様へセキュリティコンサルタントの立場でアドバイザリ支援を行い、一般社団法人交通ISACの海事ワーキンググループにも参加しています。その経験を基に船舶サイバーセキュリティの現状と今後について解説しました。 今井は、2018年より企業や銀行のネットワークやIoT機器、医療機器などを対象にしたペネトレーションテストに取り組んでおり、2021年には実際に運航する船を使って舶用機器に対するペネトレーションテストを行っています。今回は、船舶のGPS（測位情報）・AIS（他船情報）システ

あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける欧州連合（EU）の「欧州サイバーレジリエンス法（EU Cyber Resilience Act：CRA）」が、成立に向けて大詰めを迎えています。 製造業者に対して、製品の安全を確保し、適合証明書を取得することを義務付けるほか、長期間のサポートも要求します。ハードウェア、ソフトウェアともに対象で、日本を含めて幅広い企業に影響が及ぶと予想されています。 欧州サイバーレジリエンス法は導入まではまだ期間があるものの、規制が多岐にわたっているため、大枠が決まった今の段階からしっかり準備を進めてゆくのが得策です。欧州サイバーレジリエンス法について、知っておくべきポイントをまとめます。 「デジタルの要素を持つ製品」が対象 まず、欧州サイバーレジリエンス法とはどのようなものかを見てみましょう。欧州サイバーレジリエンス法とはEUで審議されている新しい

現代のビジネスでは、ITサービスを上手に活用することが不可欠です。ITサービスは、提供する会社側はサービスを安心・安全に使えるセキュアな状態であることが、利用ユーザーから当然のように求められます。 実際にセキュアなITサービスの提供を実現するためには、企画・開発段階からセキュリティ対策を組み込むことはもちろん、リリース後の運用や販売・管理段階においても人的ミスなどによる情報漏洩等のセキュリティ事故が発生しないように取り組むことが必要です。サービスに関わる全社員が、自分の担う役割や業務に関連するセキュリティを意識することが重要と言えます。 セキュリティ対策を企業内外の"専門家任せ"にするのではなく、従業員それぞれが自身の業務を推進する上で必要なセキュリティ知識を身に付ける、「プラス・セキュリティ人材」を目指す考えも普及してきています。 役割・部門別に必要なセキュリティ知識をまとめたホワイトペ

ASM（アタックサーフェス管理）とは、インターネットからアクセスできるIT資産を管理して、適切なセキュリティ強化を実施する技術や取り組みのことです。近年はインターネットを利用したサービスやツールの増加に伴い、企業が保有するIT資産も増えています。IT資産を適切に管理して効率的にセキュリティ対策を推進するには、ASMが欠かせません。 今回はASMの概要や必要性、ASM実施のプロセスについて解説します。 ASM（アタックサーフェス管理）とは ASM（アタックサーフェス管理）とは、サイバー攻撃を受ける可能性があるインターネット上に公開されている組織のIT資産（＝アタックサーフェス）を管理することです。管理の中には、アタックサーフェスを可視化することはもちろん、攻撃対象になり得る脆弱性や設定の不備を検出し備えることも含まれています。 クラウドサービスやSaaS、VPN機器などの普及により、IT資産

昨今はWebサーバだけでなく、リモートワークの実現のために様々なサーバを外部に露出していたり、安全な接続のためにネットワーク機器やセキュリティ機器を導入したりすることが多くなっています。 しかし、サーバやネットワーク機器が増加すると運用負荷は増加します。その結果、適切な運用ができなくなり、脆弱性が放置されたことによる被害も生じています。 また、組織の各部門が独自にサーバ等を導入したことで、情報システム部門が把握していない資産が外部に公開されてしまう状況も確認されるようになりました。 本記事では、組織が狙われるポイントと被害防止の方法、IT資産の効率的な管理のためのASMについて、3回に分けてご紹介します。第1回となる今回は、ラックのセキュリティ監視センター「JSOC」が観測した攻撃動向をもとに、安全な資産管理に必要な対策と、適切な資産管理の必要性について説明していきます。 組織が狙われやす

クラウドインテグレーション事業部の小倉です。 以前はオンプレのSIなどをやっていましたが、ここ数年はAWS基盤を運用しております。 サービスやOA環境などのITシステムを構築するにあたって、基盤のネットワーク設計というものは非常に重要ですよね。その中でもIPアドレスの設計は後からの変更にとても弱いです。はじめは十分に考慮して設計したはずでも、後から想定になかった拡張や部署・システムの統廃合、もしくはIP空間の枯渇などを背景に重複CIDRが発生してしまうことはよくあるのではないでしょうか。 私がAWS基盤を運用していく中でも、他環境からの移行の受け入れやIP節約などの事情によって、CIDR重複したVPC間の通信方法を考える機会がよくあり、「なぜこの方法を選んだんだっけ？」や、「あの方法だとなんでいけないんだっけ？」など迷う場面がありました。 そのため、今回はもう二度と迷わないよう、CIDR重

LAC Advisory No.135 デジタルペンテスト部の飯田です。 株式会社バッファローが提供する法人向けVPNルーター「VR-S1000」に、複数の脆弱性が存在することが分かりました。特に、私が報告を行ったCVE-2023-51363については、Web管理画面にアクセス可能な悪意ある攻撃者によって当該製品上に存在する「機微な情報」を窃取される恐れがあり、注意が必要です。 なお、当該製品はインターネット上からWeb管理画面にアクセス可能なものが多数存在することを確認しており、早急に対策を行う必要があります。 影響を受けるシステム VR-S1000ファームウェア Ver. 2.37およびそれ以前 解説 CVE-2023-51363は、当該製品のWeb管理画面に対して特定の方法でリクエストを送ることで、認証なしに当該製品内に存在する「機微な情報」を取得することが可能な脆弱性です。 脆弱性

こんにちは。AIプロダクト開発グループの青野です。 一昨年のChatGPTの台頭により、生成AIが注目を集めていますね。今はそれを社内でどう活用していくかというのが各社持ちきりだと思います。ラックでも生成AIを革新的な技術の一つとして、日々技術検証をしています。 今回は、生成AIのアーキテクチャの一つであるRAGの評価についてご紹介したいと思います。 ラックの生成AIの取り組み ラックでは、Azureでセキュアかつ容易に再現可能なインフラを構築し、ChatGPTと同じようなチャットUIを開発しました。これは社内で使えるChatGPTとして機能しており、業務効率化に繋がっています。 そのチャットアプリは「LACGAI powered by OpenAI（以下、LACGAI）」といい、社内ではコストを意識せずGPT-4を使うことができ、社内で共有できるプロンプト事例集も搭載しています。 また、

この記事では、ラック自身が「ランサムウェア対策簡易チェック」を試してみた結果や、これまでの間にご利用いただいた方の回答から見えてきた傾向などをお知らせします。 新サービス準備の中で浮かんだ、ひとつの疑問 「ラックの社内システムは、どの程度ランサムウェア対策が進んでいるのだろうか？」 ラックはセキュリティ対策関連サービスを提供する企業であり、今も多くのお客様に対してセキュリティ監視や脆弱性診断といった多様なサービスを提供しています。また製造業や金融機関など、多くの大手企業のシステムインテグレーションを手掛けている企業でもあります。 そんなラック自身の社内システムは、どれだけセキュリティ対策が講じられていて、どの程度ランサムウェア対策が進んでいるのだろうか......。もし自社システムに対するチェックの結果が惨憺たる結果だったらどうしよう......。お客様に対して、胸を張ってセキュリティ対策

ICTイノベーション推進室の谷口です。 いわゆる情シスで、ラック社内のIDやデバイス、ネットワーク、サーバの管理とセキュリティ運用を行っています。 今年は、日本マイクロソフト株式会社が2023年に新設したアワード、「Microsoft Top Partner Engineer Award」を受賞することができました。 Award受賞者向けのアドベントカレンダーのイベントに参加することになりました。今回はその記事も兼ねて、Microsoft 365と相性のよいPower Platformの活用事例について紹介します。ラックでは積極的にPower Platformを活用しており、その中でもBoxとの連携についてフォーカスしたいと思います。 Power Platformとは Power Platformは、Microsoft社が提供するクラウドサービスで、Power AppsやPower Aut

ChatGPTが世間で話題になったころ、私も興味があったのでどんなものか少し触ってみたことがあります。しかし、GoogleやYahoo!でもできるような検索や翻訳などに使うくらいで、生成AIならではの使い方が思いつきませんでした。 そんなとき、約60年前に事務処理用として開発されたプログラミング言語「COBOL」のプログラムを読ませて、リバースエンジニアリングみたいなことができないかという話がありました。 最近は、COBOLのプログラマーが高齢化から引退し、減少傾向が進んでいますが、COBOLで開発されたシステムはまだ存在しています。そうした中で、COBOLを知らない人でもChatGPTを使えば、COBOLプログラムの内容を理解するための助けになるのではと考えました。 本記事では、ChatGPTを用いて、COBOLのリバースエンジニアリングをやってみて分かった指示のポイントや、結果を紹介し

クラウドセキュリティ設定診断を担当している多羅尾です。 クラウドの中でもAWS（Amazon Web Services）を利用する組織は多いと思いますが、セキュリティ対策は万全ですか？AWS向けの多くのセキュリティ対策は要件に応じて設定すればよいのですが、完全に使いこなすにはノウハウが必要で、どのような対策を実施すればよいか分からず困ってしまうこともあるかと思います。 本記事では対策の一例としてAWS環境への攻撃シナリオを元に、AWSワークロードをスキャンする自動脆弱性管理サービス「Amazon Inspector」と、悪意のあるアクティビティや異常な動作をモニタリングし、AWSのアカウントやワークロード、データを保護する脅威検出サービス「Amazon GuardDuty」の有効性をご紹介します。 AWS環境への攻撃シナリオ まず、ECサイトやCMSを提供しているAWS環境への攻撃シナリオ