医療、エネルギー、交通、デジタルサービスがより厳しいコンプライアンス規則の対象となり、大規模なサイバーインシデント時に大臣が介入する権限を獲得。 英国政府は、重要インフラ全体の国家サイバー防御を強化する新たな法案を導入し、売上高に基づく罰則を課すとともに、大規模なサイバーインシデント時に大臣が緊急介入できる権限を付与しました。 火曜日に発表された「サイバーセキュリティおよびレジリエンス法案」は、医療、エネルギー、水道、交通、デジタルサービス分野の組織に対し、必須のセキュリティ基準の遵守と、重大なサイバーインシデント発生時の24時間以内の報告を義務付けます。 違反した企業には、1日あたり最大13万2,000ドル（10万ポンド）の罰金や、年間売上高に連動した罰則が科される可能性があると、科学・イノベーション・技術省（DSIT）は声明で述べています。 この法案は2026年に王室裁可を受ける見込みで、英国の「ネットワークおよび情報システム規則（NIS）2018」を改正し、初めてマネージドサービスプロバイダー（MSP）、データセンター、主要サプライヤーを対象に含めます。また、政府の変革計画戦略を支援し、国家のレジリエンス強化と経済成長の促進を目指すと声明は付け加えています。 売上高連動型の罰則と行動変容 この法案は、英国におけるサイバーセキュリティコンプライアンスの施行方法において転換点となります。「罰則は、定額罰金では決してできなかった形で行動を変えます」と、Greyhound Researchのチーフアナリスト兼CEOであるサンチット・ヴィル・ゴギア氏は述べています。「大手事業者にとって、あらゆる違反が市場規模に比例したコストを伴うようになりました。この影響と責任の結びつきが、インシデント発生前の投資を促します。」 フォレスターのシニアアナリスト、マデリーン・ファン・デル・ハウト氏は、「この法案は、EUのNIS2指令やGDPRよりもはるかに厳しい執行権限を導入しています」と述べています。「売上高連動型の罰則と緊急時の政府権限を組み合わせることで、より厳格なサイバーセキュリティ執行の前例を作ります。」 この提案は、英国インフラの脆弱性を露呈した一連の深刻なサイバーインシデントを受けて行われました。2024年には、ハッカーが防衛省の給与システムを契約業者経由で侵害し、27万人の軍関係者のデータが流出しました。NHSの病理サービス提供者に対するSynnovisランサムウェア攻撃では、1万1,000件以上の医療予約が混乱し、約4,300万ドル（3,270万ポンド）の損害が発生しました。2023年末の大英図書館の侵害では最大900万ドル（700万ポンド）の損失が生じ、最近のマークス＆スペンサーやジャガー・ランドローバーへの攻撃も政策立案者への対応圧力を高めています。 DSITが引用した独立した調査によると、サイバー攻撃による英国経済の損失は年間約194億ドル（147億ポンド）、GDPの約0.5％に上ると推定されています。 MSPとデータセンターへの監視強化 初めて、中規模および大規模のマネージドサービスプロバイダー（MSP）がサイバーセキュリティ規制の対象となります。MSPは重大なインシデントを政府と顧客の両方に迅速に報告し、詳細な対応計画を維持し、連鎖的影響に対応する準備ができていることを示さなければならないと声明は付け加えています。 ハウト氏は、新たな枠組みが「MSP業界を再構築し、より強力な検知と迅速な対応サイクルを生み出す」と述べています。「エンタープライズ顧客にとっては、より早期の警告と、プロバイダーが最低限のセキュリティ基準を遵守しているという安心感が得られるでしょう。」 法案の24時間以内の報告義務は、MSPやデジタルサービスプロバイダーに業務の高度化を迫ることになります。「多くの組織は、その時間内に対応できるほどのプロセスを持っていないでしょう」とゴギア氏は警告します。エベレスト・グループのシニアアナリスト、シヴラジ・ボラデ氏は、この規則によりMSPは「SOCの成熟度向上、迅速なトリアージ、法的整合性への投資を促され、価格設定や顧客関係が根本的に変わる」と付け加えました。 また、この法案は企業とサービスパートナー間の責任の所在も変化させました。「初めて、通常は企業側にあった責任をMSSP側により多く課すことになります」とハウト氏は述べています。「両者への期待値が高まり、MSSPはより大きな法的責任を負い、企業側もより厳格なデューデリジェンスが求められます。」 法案によれば、データセンターも初めて直接的な規制監督の対象となり、スマートデバイスや電気自動車充電器への電力供給を管理する幅広い事業者グループに加わります。対象組織は、重大なサイバーインシデント発生時に、24時間以内に規制当局および国家サイバーセキュリティセンター（NCSC）へ通知し、72時間以内に詳細な報告書を提出しなければなりません。 緊急権限と監督範囲の拡大 法案の下では、テクノロジー担当大臣が規制当局や組織（NHSトラストや公益事業体を含む）に対し、「特定かつ適切な措置」を講じて、国家安全保障が脅かされる場合にサイバー攻撃を防止または緩和するよう指示する権限を持つことになります。これには、監視の強化や一時的なネットワーク隔離などが含まれる可能性があります。 「緊急権限は、サイバーインシデントが委員会の対応よりも速く進展することを認識しています」とゴギア氏は述べています。「政府がライブの脅威時に重要分野へ指示できることで、システムは数週間ではなく数分で対応できるようになります。」 規制当局は、診断サービス提供者や化学メーカーなどの重要サプライヤーを指定し、彼らが最低限のサイバーセキュリティ基準を満たしていることを確保する権限も与えられます。 翻訳元:

Mozillaは、Firefox 145でデジタル指紋採取に脆弱なユーザー数をさらに減らす大規模なプライバシー強化を発表しました。 新しい保護機能は、最初はプライベートブラウジングモードと強化型トラッキング防止（ETP）厳格モードでのみ利用可能です。テストと最適化の後、Firefoxウェブブラウザでデフォルトで有効化されます。 指紋採取とは、クッキーがブロックされている場合やプライベートブラウジングが有効な場合でも、ユーザーの閲覧活動を追跡し、ウェブサイトやブラウザセッションをまたいで識別する追跡技術です。 タイムゾーンやハードウェア、ブラウザの詳細などの微妙な識別子が、インターネット上でユーザーを特定するためのユニークなデジタル署名を作成するために利用されることがあります。 この種のデータには、ブラウザのバージョン、オペレーティングシステム、画面解像度と色深度、システム言語、インストールされているフォント、タイムゾーン、GPUの描画挙動、CPUコア数、タッチスクリーン機能、デバイスメモリなどが含まれます。 Firefoxの既存の指紋採取防止システムは、ソフトウェアの「強化型トラッキング防止」機能の一部であり、多くの既知のトラッキングや指紋採取スクリプトをブロックします。これらの多くは本質的に広範囲に及び、ユーザー体験の向上とは関係ありません。 「2021年以降、Firefoxは最も広範な指紋採取技術をカバーするために、段階的に指紋採取防御を強化してきました」とMozillaは説明しています。 「これには、グラフィックカードが画像を描画する方法や、コンピュータにインストールされているフォント、さらには数学計算の微妙な違いまで含まれます。」 Mozillaが「フェーズ1保護」と呼ぶこれらの指紋採取防止策により、追跡可能性は約35％に減少しました（保護が全くない場合の基準値は65％）。 現在、「フェーズ2」保護が展開されており、インストールされているフォントやハードウェアの詳細、プロセッサコア数、マルチタッチサポート、ドック/タスクバーのサイズなどを取得するリクエストをブロックします。 具体的には、新しい保護機能は以下の通りです： 背景画像にランダムノイズが追加されるのは、サイトが画像を読み取る場合のみで、表示するだけの場合は追加されません。 標準OSフォントのみが使用され、ローカルフォントはブロックされます。ただし、日本語、タイ語、アラビア語、中国語、韓国語、ヘブライ語など主要な言語フォントは例外です。 タッチサポートは0、1、または5として報告されます。 利用可能な画面解像度は、画面の高さから48ピクセルを引いた値になります。 プロセッサコア数は常に2として報告されます。 これらの追加対策により、依然として一意に指紋採取されて持続的に追跡されるユーザーは全体の20％のみとなります。 各ケースにおけるユーザー追跡可能性の割合出典：Mozilla Mozillaは、追跡可能性をさらに減らすためにすべてを積極的にブロックすることはできないと説明しています。これは、最終的に正当なウェブサイト機能を壊す使い勝手の問題につながるためです。 さまざまな生産性ツールは、意図した機能を提供するために実際のリアルタイムデータや位置情報に依存しているため、その交換のための窓口は維持する必要があります（その規模は縮小していますが）。 新しい保護層によって使い勝手に問題が生じているユーザーには、特定のサイトでこれらを無効化するオプションが提供されています。 Firefox 145は明日正式リリース予定ですが、ユーザーはすでに自分のOS用インストーラーをMozillaのFTPサーバーからダウンロードできます。 なお、今回が32ビットLinux版を提供しない初めてのリリースとなります。これはユーザー需要の減少により、開発・テストの価値がなくなったためMozillaがサポートを終了したためです。 2026年CISO予算ベンチマーク 予算シーズン到来！300人以上のCISOおよびセキュリティリーダーが、来年に向けてどのように計画し、支出し、優先順位をつけているかを共有しました。本レポートは彼らの知見をまとめており、読者は戦略をベンチマークし、新たなトレンドを特定し、2026年に向けて自分たちの優先事項を比較できます。 トップリーダーたちが投資をどのように測定可能な成果へと変えているかを学びましょう。 翻訳元:

デジタルプラットフォーマーとアクリートがフィッシング対策協議会の20周年記念セミナーに出展。最新の多層防御ソリューションを提案します。

BeyondTrustの年次サイバーセキュリティ予測は、古い防御策が静かに破られ、新たな攻撃ベクトルが急増する年を示しています。 はじめに# 次の大規模な情報漏洩は、フィッシングによるパスワード流出ではありません。それは、管理されていない膨大なアイデンティティ負債の結果として発生します。この負債は様々な形を取ります。2015年の情報漏洩で発生し、あなたのIAMに潜む「ゴースト」アイデンティティ、数千もの新しいAIエージェントによる特権の拡散で膨らむ攻撃対象領域、金融システムの弱い本人確認を突いた自動化されたアカウント汚染などです。これらすべてのベクトル―物理的、デジタル、新旧問わず―が一つの単一障害点、すなわちアイデンティティに収束しています。 BeyondTrustのサイバーセキュリティ専門家による分析に基づき、来年を特徴づける3つの重要なアイデンティティベースの脅威を紹介します。 1. エージェンティックAIが究極の攻撃ベクトルとして登場# 2026年までに、エージェンティックAIは私たちが運用するほぼすべてのテクノロジーに接続され、事実上ほとんどの組織の新たなミドルウェアとなります。問題は、この統合が市場投入のスピード重視で進められ、サイバーセキュリティが後回しにされていることです。 この急速な導入は、古典的な脆弱性である「混乱した代理人問題」に基づく新たな巨大な攻撃対象領域を生み出しています。 「代理人」とは、正当な権限を持つプログラムのことです。「混乱した代理人問題」とは、ユーザーやアカウント、他のアプリケーションなどの低権限エンティティが、その代理人を騙して権限を誤用させ、高い権限を得ることができる状況を指します。代理人は悪意を見抜くための文脈がなく、設計や意図を超えてコマンドを実行したり、結果を共有したりします。 これをAIに当てはめてみましょう。エージェンティックAIツールは、ユーザーのメールを読む、CI/CDパイプラインにアクセスする、本番データベースをクエリするなど、最小限の権限でアクセスを許可されているかもしれません。もしこのAIが、他のリソースから巧妙に作られたプロンプトによって「混乱」させられると、機密データの流出、悪意あるコードの展開、ユーザーの代理で権限の昇格などを実行するよう操作される可能性があります。AIは許可されたタスクを実行していますが、それは権限を持たない攻撃者の代理であり、攻撃ベクトルによっては権限を昇格させることもできます。 防御者へのヒント：# この脅威には、AIエージェントを潜在的に特権を持つ機械アイデンティティとして扱う必要があります。セキュリティチームは厳格な最小権限を徹底し、AIツールが特定のタスクに必要な最小限の権限のみを持つようにする必要があります。これには、コンテキスト認識型アクセス制御、コマンドフィルタリング、リアルタイム監査の実装が含まれ、信頼されたエージェントが代理で悪意ある行為者にならないようにします。 2. アカウント汚染：金融詐欺の次なる進化# 来年、「アカウント汚染」が大幅に増加すると予想されます。これは、脅威者が消費者や企業の金融アカウントに不正な請求者や受取人を大規模に挿入する新たな手法を見つけるものです。 この「汚染」は、自動化によって受取人や請求者の作成、資金の要求、他のオンライン決済処理ソースへのリンクが可能になることで推進されています。この攻撃ベクトルは、オンライン金融システムの弱点を突き、劣悪なシークレット管理を利用して大量攻撃を行い、自動化で取引を隠蔽するため、特に危険です。 防御者へのヒント：# セキュリティチームは、個々のアカウント乗っ取りの検知を超え、受取人や請求者情報の高速かつ自動的な変更に注目する必要があります。重要なのは、これらの金融フィールドを変更しようとする自動化プロセスに対して、より厳格な精査とアイデンティティ確認を実施することです。 3. IAMに潜むゴースト：過去のアイデンティティ侵害が表面化# 多くの組織がついにアイデンティティおよびアクセス管理（IAM）プログラムを近代化し、グラフベース分析などの新しいツールを導入して複雑なアイデンティティ環境を可視化し始めています。2026年には、これらの取り組みにより、長年見過ごされてきた「ゴースト」アイデンティティ、すなわち過去のソリューションや漏洩から生じた未検出のアカウントが明るみに出るでしょう。 これらの「遡及的な侵害」により、何年も前から存在し、今もアクティブに使われている不正アカウントが明らかになります。これらの侵害は多くのセキュリティログよりも古いため、チームが元の侵害の全容を把握するのは不可能かもしれません。 防御者へのヒント：# この予測は、基本的な入社・異動・退職（JML）プロセスの長年の失敗を浮き彫りにしています。直ちに取り組むべきは、アイデンティティガバナンスを優先し、最新のアイデンティティグラフツールを活用して、攻撃者に再発見される前にこれらの休眠・高リスクアカウントを発見・排除することです。 注目すべきその他のトレンド# VPNの終焉 # 長年、VPNはリモートアクセスの主力でしたが、現代のリモートアクセスにおいてVPNは悪用されるのを待つ重大な脆弱性となっています。脅威者はVPNの悪用技術を習得し、認証情報の窃取や侵害されたアプライアンスを使って持続的なアクセスを確保しています。従来型VPNによる特権アクセスは、もはや組織が許容できるリスクではありません。 AIヴィーガニズムの台頭# 文化的なカウンターとして、2026年には「AIヴィーガニズム」の台頭が見られるでしょう。これは、従業員や顧客が原則として人工知能の利用を控える動きです。この運動は、データソースの倫理、アルゴリズムバイアス、環境コストへの懸念によって推進され、AI導入が不可避という前提に挑戦します。企業は、透明性のあるガバナンス、人間中心の代替手段、明確なオプトアウトの提供によってこの抵抗に対応しなければなりません。しかし、サイバーセキュリティに関しては、AI駆動の防御をオプトアウトすることは選択肢が限られ、むしろ責任がユーザー側に戻る可能性さえあります。 アイデンティティファーストのセキュリティ姿勢は不可欠# これら2026年の予測を通じて共通しているのは「アイデンティティ」です。新たなAI攻撃対象領域はアイデンティティと特権の問題、アカウント汚染はアイデンティティ検証の問題、遡及的な侵害はアイデンティティライフサイクルの問題です。境界が広がる中、組織はすべての人間および非人間のアイデンティティに最小権限とゼロトラストの原則を適用し、アイデンティティファーストのセキュリティ姿勢を採用しなければなりません。 BeyondTrustの2026年サイバーセキュリティ予測をさらに詳しく知りたい方は、こちらの完全レポートをご覧ください。 注記： 本記事は、BeyondTrustのChief Security AdvisorであるMorey J. Haber氏、Chief Security StrategistのChristopher Hills氏、Field Chief Technology OfficerのJames Maude氏によって執筆・寄稿されました。 翻訳元:

サイバー防衛力を世界最高水準に引き上げ、サイバー攻撃に対抗できる専門家の育成を強化します

投手コーチに石井弘寿氏招聘へ　今季ヤクルトでコーチ  中国新聞デジタル【広島】今季までヤクルトの石井弘寿氏を投手コーチで招聘へ 今季チーム防御率３・２０はリーグ５位（スポーツ報知）  Yahoo!ニュース広島 石井弘寿氏を投手コーチ招へいへ

(画像提供: Getty Images) マイクロソフトのデジタルディフェンスレポートが最新のサイバーセキュリティ動向を明らかに ハッカーも防御側も生産性向上のためAIを活用 国家主導のハッカーによる攻撃がさらに増加 大いなる力には大いなる責任が伴う。しかし、人工知能に関しては、ベンおじさんの言葉は現実には響いていない。 ハッカーはAIを攻撃手法にますます取り入れており、説得力のあるフィッシングメールを作成してログイン認証情報を盗むために利用している。 結局のところ、組織が何万ドルもかけて構築したサイバー防御と戦うよりも、単に鍵を盗んでドアから入った方が簡単だ。しかし、希望はある… デジタルゴールドを探して マイクロソフトが本日発表した第6回デジタルディフェンスレポート（DDR）によると、マイクロソフトのセキュリティチームが調査した攻撃の80%以上がデータを狙ったものだった。ハッカーはシステムにアクセスし、データを盗み、暗号化または削除し、その後被害者にデータを身代金として要求することで大金を稼いでいる。 ハッカーの動機は金銭的なものかもしれないが、攻撃は現実世界に深刻な影響を及ぼしている。最近の傾向では、攻撃者が重要な医療サービスや政府システムなど、特に古いハードウェアに依存していたり、十分な防御資金がないところを狙う傾向が強まっている。 ランサムウェアの被害を受けた病院や介護施設は、システムへのアクセスを回復するために支払いに応じる傾向が強く、さもなければ業務の遅延や患者の死亡すら招くこともある。サイバーセキュリティにおいて人間は依然として最も弱いリンクであり、認証情報が盗まれてセキュリティシステムが回避され、組織の中枢にアクセスされている。 幸いにも、IDベースの攻撃の99%を防ぐことができるシンプルなツールがある。多要素認証は、正しい認証情報を持っていても、ログイン試行が正当なアカウント所有者からであることを確認するため、攻撃者がアカウントにログインするのを防ぐ。 認証アプリは情報窃取型マルウェアに対して特に効果的だ。たとえ組織内にマルウェアが侵入し認証情報を収集しても、攻撃者が本人確認をできなければ、そのデータは実質的に無意味となる。 AIの台頭 攻撃者も防御側も、サイバー防御を突破・強化するためにAIを活用し始めている。メールを手動で送信する代わりに、攻撃者はAIを使って複数言語で説得力のある文面を作成し、大量送信している。 AIはまた、ハッカーが変異可能なマルウェアを作成することも可能にし、これによりセキュリティソフトウェアから効果的にカモフラージュできる。実際、サイバー分野におけるAIの利用は、強力な新モデルのリリースとほぼ同時に増加している。 防御側もAIツールを活用してフィッシング攻撃や新種マルウェア、トレーニング、潜在的な脅威を検知しており、バランスが取られている。 ハッカーは単なる一般人が身代金目的でデータを狙っているだけではなく、洗練された国家主導のアクターが情報収集、妨害、金銭目的でさらに多くのキャンペーンを展開している。 例えば中国は、過去1年間で多数の大規模なキャンペーンを展開しており、最も顕著な攻撃は米国の大手通信事業者への攻撃である。イランは西側の海運関連組織を標的にしており、中東の商業船舶への攻撃の兆しとも取れる。 マイクロソフトはまた、ウクライナ支援組織を標的とするロシア系グループの活動が大幅に拡大していることも指摘している。特に強力なセキュリティ対策を導入する予算のない中小企業が狙われている。 北朝鮮のグループは、隠遁国家の資金調達を目的に、標的企業への偽装就職に成功し、機密情報を盗んで自国の技術開発に利用したり、発覚時にはランサムウェアを展開して追加資金を送金したりしている。 そして未来は？ 2025年版DDRで、マイクロソフトは政府および民間組織に対し、情報共有とトレーニングの強化を呼びかけている。また、より強力なセキュリティガバナンスが、身代金を支払う可能性のある組織への抑止力となる可能性があるとも考えている。結局のところ、ランサムウェアを展開する動機をなくせば、ハッカーは（理論上は）ランサムウェアを使わなくなるだろう。 マイクロソフトはまた、急速に進化するセキュリティ環境への対抗は社会全体の課題であり、私たちが依存する経済、政府、社会システムが深刻な危機にさらされていると述べている。抑止が目標であり、政府が国家主導の攻撃を非難し制裁を科すことで、敵対国に現実世界での結果をもたらすことができるとしている。 翻訳元:

新たなレポートによると、マイクロソフトのシステムは1日あたり100兆以上のセキュリティシグナルを分析しており、AI主導の攻撃が劇的に増加していることが示唆されています。 本日発表されたMicrosoft Digital Defense Report 2025は、人工知能がデジタル世界の防御と侵害の両方の中心となっており、サイバーセキュリティが今後10年の決定的な課題となると警告しています。 「私たちはサイバーセキュリティにおける決定的な瞬間を生きています」と、カスタマーセキュリティ＆トラスト担当コーポレートバイスプレジデントのエイミー・ホーガン＝バーニー氏は述べました。 「デジタルトランスフォーメーションがAIによって加速する中、サイバー脅威は経済の安定性や個人の安全をますます脅かしています。」 マイクロソフトによると、攻撃者は生成AIを利用してフィッシングを自動化し、ソーシャルエンジニアリングを拡大し、人間が修正するよりも速く脆弱性を発見するようになっています。 自律型マルウェアはリアルタイムで戦術を適応させ、セキュリティシステムを回避します。同時に、AIツール自体も高価値の標的となっており、攻撃者はプロンプトインジェクション、データポイズニング、モデル操作を悪用してデータを盗んだり、不正な操作を引き起こしたりしています。 マイクロソフト独自のAI搭載防御は、クラウドやエンタープライズ環境全体に展開されており、対応時間を数時間から数秒に短縮するのに役立っていると報告されています。しかし同社は、AIがサイバー攻撃の速度と影響力の両方を高める中、防御側は常に警戒を怠らないよう警告しています。 アイデンティティの侵害は依然として攻撃ベクトルの主流です。フィッシングやソーシャルエンジニアリングが侵害の28%を占め、18%の攻撃は未修正のウェブ資産を悪用していました。 レポートによると、多要素認証（MFA）は依然として99%以上の不正アクセス試行を防いでいますが、導入率にはばらつきがあります。 インフォスティーラー（情報窃取型マルウェア）の増加により、ダークウェブ市場で販売される資格情報が増え、資格情報ベースの侵入がさらに加速しています。 AIによるサイバーセキュリティ脅威についてさらに読む：研究者がAIブラウザのセキュリティギャップを警告 2025年1月から6月の間に、米国は全観測攻撃の24.8%を占め、次いで英国（5.6%）、イスラエル（3.5%）、ドイツ（3.3%）となりました。 政府機関、ITプロバイダー、研究機関が最も頻繁に標的となったセクターであり、全体の45%を占めています。 一方、ランサムウェアは依然として主要な脅威であり、最近のケースの40%以上がハイブリッドクラウドコンポーネントを含んでいます。2月には、あるグローバルな海運会社が、ランサムウェアの暗号化が開始からわずか68秒で阻止され、壊滅的被害を回避しました。 マイクロソフトはリーダーに対し、5つの緊急対応を推奨しています： サイバーセキュリティを取締役会レベルのリスクとして扱う フィッシング耐性のあるMFAを徹底する すべてのクラウドワークロードを把握し監視する インテリジェンス共有ネットワークに参加する 今すぐAIおよび量子リスクへの備えを始める 同社は、AIがグローバルなセキュリティエコシステムのあらゆる層を再構築する中、レジリエンス、協力、早期対応が不可欠であると結論付けています。 翻訳元:

今日の超接続社会では、サイバー脅威がこれまで以上に高度かつ頻繁に発生しています。ランサムウェア攻撃、データ漏洩、ソーシャルエンジニアリング詐欺、そして個人からフォーチュン500企業までを標的とする高度な持続的脅威などが存在します。 今なら「サイバーセキュリティ・フォー・ダミーズ 第3版」(通常価格$29.99)を、期間限定で完全無料で入手できます。 サイバーセキュリティ・フォー・ダミーズ 第3版は、強固なデジタル防御を構築するための包括的なロードマップであり、進化する脅威に先んじるために今すぐご利用いただけます。 この本が必読である理由 サイバーセキュリティの専門家ジョセフ・スタインバーグによって執筆されたサイバーセキュリティ・フォー・ダミーズ 第3版は、専門用語を排し、誰でも理解し実践できる実用的なサイバーセキュリティのアドバイスを提供します。 この包括的なガイドでは、以下の重要なサイバーセキュリティのトピックを網羅しています： 脅威の状況認識 - 従来型マルウェアからAIを活用した攻撃やソーシャルエンジニアリング手法まで、現在および新たなサイバー脅威の理解。 個人セキュリティの基本 - 強力な認証システムの構築、デバイスの保護、あらゆるプラットフォームでの個人データの保護。 ビジネスのサイバーセキュリティ - 企業レベルのセキュリティ対策の導入、インシデント対応計画の策定、セキュリティ意識の高い組織文化の構築。 ネットワークとインフラの保護 - 自宅やビジネスのネットワークの保護、ファイアウォール、VPN、ワイヤレスセキュリティプロトコルの理解。 データ保護とプライバシー - 暗号化、バックアップ戦略、プライバシー管理の実施による機密情報の保護。 サイバーセキュリティ・フォー・ダミーズ 第3版は、あなた自身、ご家族、または組織を守るために、包括的なデジタル防御を構築するための知識とツールを提供します。サイバー脅威が急速に進化する中、専門家のガイダンスがこれまで以上に重要です。 サイバー攻撃の被害者になる前に、今すぐデジタルセキュリティに投資し、ますますつながる世界で適切に保護されているという安心感を手に入れましょう。 無料コピーを入手する方法（なくなる前に） このオファーは2025年10月22日までの期間限定です。TradePubのリンクをクリックし、簡単な登録を完了して、無料の電子書籍をダウンロードしてください。 費用は一切かかりません。サブスクリプションも不要です。提供中にぜひご利用ください。 開示：これはBleepingComputer.comとの提携によるTradepubのキャンペーンです。このキャンペーンに参加するには、アカウント登録と、Tradepubストアでの連絡先情報の提供が必要です。Tradepubが登録情報をどのように扱うかについては、Tradepubプライバシーポリシーをご覧ください。また、BleepingComputer.comはTradepub経由のリードごとに手数料を受け取ります。 今年最大のセキュリティ検証イベント：Picus BASサミット 侵害・攻撃シミュレーションサミットに参加し、セキュリティ検証の未来を体験しましょう。トップエキスパートの話を聞き、AI搭載BASが侵害・攻撃シミュレーションをどのように変革しているかをご覧ください。 あなたのセキュリティ戦略の未来を形作るこのイベントをお見逃しなく。 翻訳元:

暗号マルウェアはウイルス対策ソフトの巧妙さを凌駕します。多層防御とよりスマートな暗号資産保護でデジタル資産を守る方法を学びましょう。今すぐお読みください！

Known for its blazing fast internet and home to some of the world’s biggest tech giants, South Korea has also faced a string of data breaches and cybersecurity lapses that has struggled to match the p...

今週のThreatsday Bulletinへようこそ—サイバーセキュリティとハッキングの最新動向を木曜日にチェックするための情報源です。 デジタル脅威の状況は決して静止しません。ある週は重大なゼロデイ、次の週はフィッシングの波や国家支援の偽情報作戦が話題になります。どの見出しも、ルールが常に変化していること、そして防御側—グローバル企業を守る人も、自分の個人データを守る人も—が同じスピードで動き続ける必要があることを思い出させてくれます。 今回の号では、新たなエクスプロイト、著名な逮捕、新たにサイバー犯罪者が試している戦術を解説します。コーヒーを片手に5分だけ時間を取り、次の侵害を一歩先んじて防ぐための重要な洞察を手に入れましょう。 ファームウェアが反撃 SonicWallは、SMA 100シリーズデバイスを標的とした攻撃で展開されたルートキットマルウェアを顧客が削除できるよう支援するファームウェアアップデートをリリースしました。「SonicWall SMA 100 10.2.2.2-92svビルドは、追加のファイルチェック機能を備えてリリースされ、SMAデバイス上に存在する既知のルートキットマルウェアを削除できるようになりました」と同社は述べています。「SonicWallは、SMA 100シリーズ製品（SMA 210、410、500v）のユーザーに10.2.2.2-92svバージョンへのアップグレードを強く推奨します。」このアップデートは、Googleの報告でUNC6148として追跡される脅威アクターが、サポート終了（EoL）のSonicWall SMA 100デバイスにOVERSTEPマルウェアを展開していたことが判明した後にリリースされました。SonicWallはまた、「レガシーVPN機器による重大な脆弱性」を理由に、すべてのSMA 100デバイスのサポート終了（EoS）日を2025年10月31日に前倒しすることを公表しています。 テキストが丸見えに OnePlusのAndroidデバイスにインストールされている複数バージョンのOxygenOSに、権限バイパスの脆弱性（CVE-2025-10184、CVSSスコア: 8.2）が発見されました。この問題は、機密性の高い内部コンテンツプロバイダが権限なしでアクセス可能で、SQLインジェクションにも脆弱であることに起因します。「この脆弱性を悪用すると、デバイスにインストールされた任意のアプリケーションが、システム提供のTelephonyプロバイダ（パッケージ名: com.android.providers.telephony）から、権限やユーザーの操作・同意なしにSMS/MMSデータやメタデータを読み取ることができます」とRapid7は述べています。「ユーザーにはSMSデータがアクセスされていることも通知されません。」この欠陥を悪用されると、SMSで送信される多要素認証（MFA）コードなどの機密情報が盗まれる可能性があります。この問題は2021年リリースのOxygenOS 12で導入されたとみられます。執筆時点で脆弱性は未修正ですが、OnePlusは調査中であることを認めています。 推測をやめて、セキュリティ強化を このセッションに参加して、コードからクラウドまでの可視性が、なぜ現代のアプリケーションセキュリティ態勢管理（ASPM）の要となりつつあるのかを発見しましょう。リスクがコードの発生源からクラウド上で表面化する場所までどのようにマッピングされるかを確認し、開発・DevOps・セキュリティチームを結束させ、優先順位付けの精度向上、フィードバックループの短縮、迅速な修正を実現—攻撃者が脆弱な箇所を悪用する前に対応できます。 GeoServerの穴が悪用される 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2024年7月11日に米国連邦行政機関のネットワークが、GeoServerの重大なリモートコード実行脆弱性CVE-2024-36401を悪用されて侵害された経緯を詳述する包括的なサイバーセキュリティ勧告を発表しました。「3週間にわたり、サイバー脅威アクターは同じ脆弱性を利用して2台目のGeoServerに別々に初期アクセスを獲得し、さらに2台のサーバーへ横移動しました」と同庁は述べています。侵害後、攻撃者はChina Chopperなどのウェブシェルや、リモートアクセス・永続化・コマンド実行・権限昇格用のスクリプトをアップロード（またはアップロードを試行）しました。また、ユーザー・サービス・ファイルシステム・ネットワークの探索にはLotL（Living-off-the-land）技術を用い、ネットワーク偵察・権限昇格・防御回避にはfscan、dirtycow、RingQなどのツールを利用しました。 SIMスワッピングの秘密が流出 先週、悪名高いサイバー犯罪グループ「Scattered Spider」の3名が逮捕されました。逮捕は、グループが活動停止を発表した直後に行われました。このグループは主に英語圏の10代で構成されており、高度なソーシャルエンジニアリングを駆使して著名企業に侵入し、データを盗み、恐喝することで知られています。今年初め、同グループに関与したとされる20歳のNoah Urbanは、サイバー犯罪の罪を認め、数百万ドルの賠償金支払いに同意しました。先週公開されたBloombergの報道では、彼がリモートアクセスツールのインストールを人々に説得し、機密システムへのアクセスを得る「コーラー」として重要な役割を果たしていたことが明らかになりました。また、UrbanはMinecraftを通じてSIMスワッピンググループを見つけ、そのリーダーから暗号通貨窃盗に成功した電話1件につき50ドルを受け取っていたと述べています。さらに、協力者のDaniel Junkが、個人PCをT-Mobileの社内ネットワークに登録し、リモートアクセスソフトで同社のSIMアクティベーションツールにアクセスする方法を編み出したとされています。JunkはUrbanにT-Mobile店舗へ電話させ、内部セキュリティ担当者を装ってスタッフからログイン情報を騙し取らせました。やがてUrbanは自分のコーラーを雇い、SIMスワッピングを実施し、偽のOktaログインページでTwilio社員を騙して認証情報を入手しました。しかし、そのアカウントに目的のデータがなかったため、社員のSlackアカウントにログインし、LinkedInで特定した上級社員に「監査目的」と称して209社分の顧客データを送るよう依頼しました。この情報はさらに多くの企業のハッキングに利用されました。2022年12月、グループはGemini Trustの顧客570万人分の個人情報も盗み、販売しました。この活動クラスターは0ktapus…

組織のデータやシステムを守る仕事はますます複雑になっています。また、ビジネスのデジタル化が進むにつれ、その重要性も高まっています。 セキュリティリーダーたちはこの課題に立ち向かい、防御力を強化し、組織のレジリエンスを高める革新的なプログラムを導入しています。 このような取り組みを称えるため、CSOアワードは毎年、卓越したセキュリティリーダーシップとビジネス価値を示すセキュリティプロジェクトを表彰しています。今年のアワードでは、CSOは46のプロジェクトを選出し、期待を超える成果を挙げた取り組みを称えています。これらのプロジェクトは、アイデンティティ管理やAIのセキュリティまで、今日のセキュリティ業務のあらゆる課題に対応しています。 ここでは、今年受賞したプロジェクトの中から、現在のセキュリティ分野で起きている変革的な取り組みを代表する7つの事例を紹介します。 BMHCC、リスクベースの脆弱性管理アプローチを採用 組織名： Baptist Memorial Health Care Corp.（BMHCC） プロジェクト： リスク評価・順位付け・修正：戦略的セキュリティ変革 セキュリティリーダー： Seth Fogie, 情報セキュリティディレクター Seth Fogie氏は、Baptist Memorial Health Care Corp.の情報セキュリティディレクターとして、テネシー州メンフィスに拠点を置く同医療システムの脆弱性管理プログラムを、より戦略的なリスク低減と修正に重点を置いたものにしたいと考えました。 この取り組みは、BMHCCが従来から行っていたネットワークやデバイスの脆弱性スキャンを基盤とし、BMHCC傘下の各組織のITチームが必要に応じてパッチを適用するというものでした。 このプロセスは定期的に見直されていましたが、セキュリティチームが望むほどリスク低減が進んでいないことが判明しました。そこで2024年中頃、Fogie氏とBMHCCのセキュリティチームは、実際のリスク低減を確実にするため、戦略的かつリスクベースの修正モデルを導入しました。 Fogie氏は、BMHCC各組織のITチームに対し、リスクスコアに基づいて脆弱性を順位付けした定期レポートを提供し、各週に上位3つの脆弱性に集中して対応するよう指示しました。 「最大のリスクから順に対応していきます」とFogie氏は説明し、エンタープライズレベルの脆弱性も同様に本社ITが対応していると付け加えます。 成功を確実にするため、Fogie氏は各ITチームと連携し、セキュリティ要件とITワークフローの整合を図りました。「彼らが集中すべき項目をリストに絞り、トップダウンで修正を進めることで合意しました」と述べています。 Fogie氏のリスクベース修正モデルは、パッチ適用が期待通りに機能していない箇所も明らかにし、セキュリティとITチームが課題に対処できるようになりました。このアプローチは、初年度で70％のリスク低減という大きな成果をもたらしました。 現在、セキュリティチームは脆弱性管理のアプローチをさらに成熟させ、自動化やAIの導入を進めています。 FSU、より厳格なベンダー管理プログラムでサードパーティリスクに対応 組織名： フロリダ州立大学（Florida State University） プロジェクト： サードパーティリスク管理プログラム セキュリティリーダー： Bill Hunkapiller, CISO フロリダ州立大学の担当者は、外部組織と共有するデータが十分に保護されていることを確実にしたいと考えていました。そのため、CISOのBill Hunkapiller氏とチームは、サードパーティリスク管理プログラムを刷新し、外部ベンダーやパートナーに関連するリスクをより徹底的に特定・評価・軽減できるようにしました。 このプロジェクトの主な目的は、サードパーティサービスのセキュリティとコンプライアンスの確保、大学の機密データの保護、業務継続性の維持でした。Keith Bennett氏とJeremy Anderson氏（FSUのITセキュリティ・プライバシーリスクマネージャー）は、まずFSUのセキュリティニーズに最も関連するデータ要素を特定し、FSUのサードパーティベンダー管理基準に基づく独自の手法、評価ツール、スコアリングメカニズムを作成して、6か月で新しいサードパーティリスク管理プログラムを構築しました。 このリスク管理プログラムでは、サードパーティに対し、独立したセキュリティ監査、SOC 2監査、またはHigher Education Community Vendor Assessment Toolkit（HECVAT）によるセキュリティレビューの結果提出を求めています。また、サードパーティの攻撃対象領域管理スキャンも必須となり、契約書の文言改善や継続的なモニタリングによるベンダーコンプライアンス強化も含まれています。

CISOには「地味なサイバー衛生習慣」が最善の防御策と伝えられる AIが自律的にゼロからランサムウェア攻撃を構築・実行できる概念実証（PoC）が作成されたとしても、準備ができているCISOは心配する必要はないと専門家は述べています。 このような新たなツールへの防御策はシンプルだと、テイラー・グロスマン氏（Institute for Security and Technology（IST）デジタルセキュリティディレクター）は述べています。「地味なサイバー衛生習慣」です。 「今後の動向を把握することは確かに役立ちますが、既にやるべきことはたくさんあり、それらの防御策の多くはAI対応ランサムウェアにも有効です」と彼女は述べました。 彼女は、先週ニューヨーク大学のセキュリティ研究者がLLM（大規模言語モデル）によって制御されるランサムウェアのプロトタイプを作成したとする記事を公開し、騒動が起きたことについてコメントしました。 「従来のマルウェアとは異なり」と彼らは書いています。「このプロトタイプはバイナリに埋め込まれた自然言語プロンプトのみを必要とし、悪意のあるコードは実行時にLLMによって動的に合成され、実行環境に適応するポリモーフィックなバリアントを生み出します。このシステムは偵察、ペイロード生成、個別化された恐喝を人間の関与なしにクローズドループで実行します。」 彼らはこの次世代マルウェアを「Ransomware 3.0」と名付けました。 セキュリティプロバイダーのESETは、VirusTotalウイルススキャナーでその痕跡を発見し、「初のAI搭載ランサムウェア」と呼びましたが、NYUの発見はあくまで概念実証であり、実際に流通しているものではないと後に明言しました。それにもかかわらず、多くのITニュースメディアがESETの報告を取り上げ、実際の攻撃であるかのように扱いました。 NYUの研究は予想されていたことです。結局のところ、多くのセキュリティベンダーが以前から、脅威アクターがマルウェア作成にAIを活用しようとするだろうと予測していました。例えば、1年以上前にISTはサイバーセキュリティにおけるAIの影響についてのレポートを発表しました。6月にはCSOが、北朝鮮系のグループがリアルタイムのビデオ通話でAI生成ディープフェイクを使用していると報じました。また先月、Anthropicは人間の関与を必要としないgenAI攻撃を発見したと発表しました。 グロスマン氏のISTでの仕事には、ランサムウェアタスクフォースの支援も含まれており、情報セキュリティ専門家向けのランサムウェア対策ガイダンスも作成しています。彼女はNYUの概念実証を「警戒すべきもの」とは表現しませんでした。むしろ、これは予想されたことだと示唆しています。 現時点では大学の研究室環境でしか動作しないと彼女は指摘しますが、実際に脅威アクターが使う本物のツールが登場するのも時間の問題だと疑っていません。彼女がより注目しているのは、このようなツールによって技術的に未熟な人でもランサムウェア攻撃に参入しやすくなる点です。 ジョセフ・スタインバーグ氏（米国拠点のサイバーセキュリティおよびAI専門家）も、この研究に驚きはなかったと述べています。 「NYUの人々が概念実証を作成しましたが」と彼はCSOへのメールで述べています。「犯罪者たちが彼らより先に作っていた可能性は十分にあります。私はすでに、スキャンを行い、マルウェアを書き、どのリソースが最も価値があるかを特定するAIを見たことがあります。[その他にも]。AIがこうした機能を自動化する方法を誰かが見つけても驚きではありません。」 グロスマン氏は、CISOに対し、Centre for Internet Securityや米国国立標準技術研究所（NIST）が作成したフレームワークに基づくセキュリティコントロールの実装を続けるよう助言しています。 「現時点では、AI生成の自律型ランサムウェア攻撃ツールによってランサムウェアのモデルが変化するとは考えにくい」と彼女は述べました。 「NYUの研究は多くの面で恐ろしいものに見えるかもしれませんが、防御面で組織が優先していないことがたくさんあることを思い出す良い機会です。ツールは存在しており、何ができるのかについての認識を高める必要があります。」 ニュースレターを購読する 編集部からあなたの受信箱へ 下記にメールアドレスを入力して始めましょう。 翻訳元: