2022-10-02 わいの気になるセキュリティニュース
- 2022年10月2日
- 読了時間: 3分
【1】中東政府に対するサイバー攻撃、Windows ロゴにマルウェアを隠す
APT10として知られる中国のハッカー集団による、中東・アフリカ地域に対する攻撃がシマンテックの調査により明らかになっています。攻撃には「ステガノグラフィー」が使われたと報告されています。ステガノグラフィーとはあるデータを画像の中に潜り込ませる手法です。例えばコンピュータの認識するデータ上は猫の画像ですが、人の目で見ると犬の画像に見えるといったようなものです。今回の事例では、マルウェアがMS Windowsのロゴに偽装して、攻撃対象者に配布された文書内に差し込まれていたようです。
「フィッシングに気を付けるように」とはよく言われたものですが、ユーザが気を付けるべき対象は日を追うごとに増えていますね。攻撃者の進歩や工夫は留まるところを知らないといったところでしょうか・・・・。
【2】ほとんどのハッカーは、エンタープライズ環境に侵入するのに5 時間以内で完了する
SANS Institute はBishop Fox と提携し、ホワイトハッカーを対象とした調査を行いました。調査した倫理的ハッカーの約40%は、ほとんど全てのテスト環境に侵入できたと述べており、そのうちの60%近くが弱点の特定から侵入まで5時間以内で完了すると回答しています。
攻撃に対してリスク(=脆弱性×脅威)を低減するだけでなく、侵入後に速やかな「検知」「対応」「復旧」を行う体制を整備する必要があることをこのレポートは示唆しています。
【3】組織が完全なネットワーク保護のために EDR と NDR の両方を必要とする理由
ソリューションの相補性を考えるための参考記事。何か一つの製品やサービスを導入すればセキュリティが完璧になるわけではないというのは何となく頭では理解していますが、具体的に何が何をできて何が出来ないかは一つづつ地道に覚えるしかない気がしています。
今回の記事ではEDRの欠点をNDRで補完することができるという内容になっています。
EDRの欠点は大きく以下3つが挙げられています
・EDRが攻撃者により無効化される可能性がある
・社内NWにアクセス可能なデバイスにEDRが導入されていないデバイスが存在する(シャドーITの存在)
・産業用制御システムなどEDRサポート外のデバイスが社内に存在する
・全エージェントへのEDR導入はセキュリティ担当者へ負担を大きくする
対してNDRは以下のような特徴でEDRの欠点を補完できるとしています
・無効化されない
・未知、既知それぞれのNWを検知可能でありシャドーITの通信も識別・分析可能
・不適切な構成のFWやGWの検知が可能
・データの改ざん防止が強化されている
・NW全体の通信フローを可視化可能
記事内ではNDRを持ち上げすぎ?との気もしなくもないですが、いずれにせよ製品ごとの特長や得意不得意を把握することはセキュリティ担当者として不可欠かと思います。
コメント