最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど
最近はやりのSmishing、コストは1通10円(転載)
最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど:
Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever(転載)
Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever
キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。
しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。
"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"
ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。
C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。
"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。
"In our team there is no me, there is only us, as a rule, most people are interchangeable."
Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。
このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。
このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。
Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance(FTA)」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。
マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。
"Yes, Somehow" とハッカーたちは答えました。
Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。
先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。
Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。
Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。
Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。
"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。
Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。
2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。
別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30%、10日以内なら20%、20日以内なら10%の割引とのこと。
しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。
Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。
"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。
"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。
また、ハッカーたちは自分たちのことをあまり語らなかった。
"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"
ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体(CIS)の一部の国を拠点としている可能性が高いと考えられています。
"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."
Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。
これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。
"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、(法執行機関による)訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体(Commonwealth of Independent States)のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。
Terefos氏も同じ意見です。
「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。
セブン銀行の不正引き出し事件の話 / The Incredible Rise of North Korea’s Hacking Army(転載)
https://t.co/YSuRIW1gpc
The Incredible Rise of North Korea’s Hacking Army buff.ly/3aoR4zf
下村は、日本最大のヤクザ組織である山口組の組員だった。上司の一人から「手っ取り早く一山稼ぎたい」と言われた彼は、当然ながら「はい」と答えた。それは2016年5月14日のことで、下村は名古屋市に住んでいた。32歳の痩せ型で、表情豊かな目をした彼は、自分の外見に誇りを持っており、スーツに鏡面仕上げのローファーを履いていることが多かった。しかし、彼は組織の中では、借金の取り立て役、雑用係といったマイナーな存在だった。
上司は「この計画はリスクが低い」と断言し、その日の夜、名古屋のバーで開かれる会合に出席するよう指示した。山口組を脱退した下村は、名字だけの紹介を希望していた)。下村の前に現れたのは3人のヤクザだったが、誰も下村を知らなかった。下村は多くのヤクザと同様に朝鮮系であり、他の2人も在日朝鮮人で、しばらくは韓国語で会話していた。ようやく上役が来て、5人は個室に移った。それぞれのボランティアには、真っ白なクレジットカードが渡された。カードにはチップも番号も名前もなく、磁気の帯が付いているだけだった。
日曜日の早朝にセブンイレブンに行って、その店のATMで白いカードを使ってください。暴力団員は、1回に10万円(約900ドル)を引き出すが、1台の機械での取引は19回までとする。もし、1台のATMで20回も引き出したら、カードが使えなくなってしまうからだ。引き出しは朝5時から8時まで可能で、日本語を選択するように言われた。19回引き出したら、1時間待ってから他のセブンイレブンに行くこと。現金の10%は彼らが持つことができる。残りは上司の手に渡る。最後に、PIN(暗証番号)を覚えるように言われた。
日曜日の朝、下村は早起きして、ジーンズにサングラス、野球帽、古着のTシャツという格好で出かけた。セブンイレブンでおにぎりとコーラを買って、気持ちを落ち着かせていた。ATMにカードを挿入し、画面に表示された「言語を選択してください」という質問に、緊張しながら「日本語」を選択した。そして、10万円、さらに10万円、さらに10万円と引き出していった。店内にはレジのおじさん以外に誰もいない。
午前8時頃、周辺の複数のATMで合計38回の引き出しを終えた彼は、引き出した現金でポケットいっぱいになったため、家路についた。380万円は大金だ。下村は10分の1の約3,500ドルをアパートの引き出しにしまった。そして、午後3時に上司と会い、残りのお金を届けに行った。後日、他のヤクザの一人が金とカードを持って逃げたことが分かった)。
上司は下村に、「ボランティアが持ってきたお金の5%を自分が持っていて、残りのお金は上司に送る」と言った。下村がお金を渡したとき、上司は他にも多くの人を集めていることを感じたという。その通りであった。すぐに新聞が報じたように、南アフリカのスタンダード銀行から盗まれたデータを使って、その日の朝、日本全国のセブン-イレブンのATM約1,700店から1,600万ドル以上が引き出された。新聞では、セブン-イレブンが狙われた理由として、日本のコンビニエンスストアの中で唯一、キャッシュ端末がすべて外国のカードに対応していたからだと推測している。襲撃の直後、日本の多くのATMの引き出し限度額が5万円に引き下げられた。
下村は、自分が詐欺の食物連鎖の一番下にいたのだと推測した。本当の金づるはもっと上にいる。昨年、本誌のインタビューを受けるまで、下村は、その頂点にいる悪人の正体を知らなかった。日本の警察によると、セブン銀行不正引き出し事件の直後、首謀者は中国から北朝鮮に渡ったという。下村は、知らず知らずのうちに朝鮮人民軍の資金を集めていたのである。
東アジアの夜の衛星写真では、黄海と日本海の間、三十八度線と四十三度線の間にある薄暗い部分を除いて、ほとんどの場所で光が輝いている。北朝鮮である。首都の平壌だけが、明らかに近代的な光を放っている。この暗黒の国は、世界で最後の名目上の共産主義国家の一つであり、半島が分断された後の1948年以来、北朝鮮を支配してきたのは金正恩を中心としたスターリン主義の人格崇拝である。北朝鮮は、チュチェ(主体思想)の原則に基づいた社会主義の独裁国家であると称している。国境は閉ざされ、国民は隔離されています。外国人にとって、北朝鮮で何が起きているのかを理解することは非常に困難であるが、一般の北朝鮮市民が外の世界について知ることはさらに困難である。インターネットにアクセスできるのは、北朝鮮国民の1%というごくわずかな割合である。
しかし、逆説的ではあるが、北朝鮮政府は世界で最も熟練したハッカーを輩出している。一見すると、ジャマイカがボブスレーでオリンピックの金メダルを獲得したような変則的で滑稽な状況ですが、北朝鮮のサイバー脅威は現実に存在し、拡大しています。米国を含む多くの国と同様に、北朝鮮は攻撃用および情報収集用のサイバー兵器を軍に装備しています。その中には、北の隣国との戦争の進め方を詳細に分析した「作戦計画5015」と呼ばれる文書や、特に金正恩を暗殺して北朝鮮の「斬首計画」が含まれていました。ソウルのシンクタンクである韓国統一研究院の元院長、キム・テウ氏は、フィナンシャル・タイムズ紙に「私の心の中には、韓国軍が第2の戦略を意図して、わざと機密文書を北に漏らしたのではないかと思っています」と語っているほど、今回の漏洩は悪質なものでした。
北朝鮮は、世界で唯一、金銭的な利益を得るために明らかに犯罪的なハッキングを行うことが知られている国でもある。北朝鮮の軍事情報部門である偵察総局の部隊は、この目的のために特別に訓練されている。2013年、金正恩は「勇敢な偵察総局」で働く男たちを「強盛大国建設のための...戦士」と表現した。
厳しい監視がテレワーク社員を危険な行動に追いやる / Mass Monitoring of Remote Workers Drives Shadow IT Risk(転載)
Mass Monitoring of Remote Workers Drives Shadow IT Risk
英国のリモートワーカーの約半数(44%)は、雇用主によって監視ソフトウェアがインストールされたことがあるが、この傾向は多くの人をより安全でない行為に追いやっていると、カスペルスキーは警告している。
パンデミックの影響で英国の従業員の大半が在宅勤務を余儀なくされてから約1年後、ロシアのAVベンダーは2000人の正社員を対象に、経営者と従業員の信頼関係を調査しました。
監視ソフトウェアは、コンプライアンス違反やリスクを伴うユーザーの行動に対する重要な防波堤となり得ます。特に、インシデントの多くがヒューマンエラーによって引き起こされていることを考えるとなおさらです。カスペルスキーは、電子メール、インターネット、アプリ、電話の使用状況の監視や、位置情報の追跡が、雇用主がリモートエンドポイントに導入する際にますます一般的になっていることを挙げています。
しかし、調査対象となったワーカーの3分の1(32%)は、モニタリングツールの使用により、上司やチームリーダーに対する信頼性が低下すると回答し、同数(30%)は、自分のプライバシーが侵害されることに憤慨すると答えています。また、約4分の1(23%)の人が、このソフトウェアを使って個人情報にアクセスされる可能性があることを懸念すると答えています。
しかし、監視されているという認識さえあれば、皮肉にもリモートワーカーはネット上でより危険な行動を取らざるを得なくなるかもしれない。
調査対象となった従業員の4分の1(24%)は、監視されるのを避けるために個人のデバイスを使用していると答え、約3分の1(31%)は、監視されていることを知っていれば、仕事のためにもっと頻繁に個人のデバイスを使用する可能性があると答えました。
中には、自分が監視されていることを知ったら、独立した機関に正式な苦情を申し立てる(26%)、あるいは現在の仕事を辞める(24%)と答えた人もいました。
カスペルスキー社の主席セキュリティ研究員は、企業のリモートワーカーに対するリスク管理が行き過ぎると、有害な結果を招く可能性があると警告しています。
"従業員が自分のデバイスを使って仕事をすることは、シャドーITを生み出し、企業にとって非常に大きなリスクとなります。サイバー犯罪の90%以上が人的ミスによるものであることを考えると、企業は自社のITシステムやハードウェアが遠隔地の従業員によってどのように使用されているかを完全に監視する必要があり、監視活動のバランスを慎重に取らなければなりません」と主張しています。
"どのデバイスが企業のデータシステムに接触する可能性があるのかを知らなければ、ITチームやサイバーセキュリティチームは、企業データがどのように侵害され、売却され、さらには身代金を要求される可能性があるのかを予測することは非常に困難です」。
文章力を鍛えるトレーニング4選(転載)
文章力を鍛えるトレーニング4選
文章力を鍛える方法①写経
おすすめの文章力強化法は、まず写経です。
写経の重要性に関してはTwitterとかでもけっこう言及しているので、聞いたことがある人もいるかもしれません。
そもそも写経とは、好きな作家やブロガーの文章をそのままマネることです。マネする文章を見ながら、カタカタとPCで同じ文章を打ち込む感じですね。けっこう原始的ですw
でもこれが効果的なんですよ。というのも、文章を写経することで、その人の文体が自分に乗り移ってくるからです。
文章の構造や文体はもちろん、細かい語尾の使い方なども染み込んでくるイメージです。
写経の効果は、スポーツとか音楽に置き換えてもらえると分かると思います。
たとえばギターの練習をするときは、コーチの弾き方をマネしますよね。あるいは、YouTubeで発見した「ギターが上手い人」の弾き方をマネするでしょう。
いずれにしろ、マネすることで少しずつギターが上手くなります。
野球やサッカーなどのスポーツも一緒です。コーチや上手い人のマネをすることで、段々とその人の動きに近づいてくる。
それが文章でいう「写経」なんです。ぜひ「この人の文章上手いな~」と思う人を見つけ、写経してみてください。
文章力を鍛える方法②話すこと
文章力を鍛える2つ目の方法は、話すことです。
意外でしたか? たしかに「話すこと」と「書くこと」は正反対に見える行為です。
でも実は、話すことによって文章力は鍛えられます。
何となくですが、書くことと話すことは「使っている脳」が似ている感じがするんですよ。
知らずしらずのうちに、文章を書くことで話すことが鍛えられていたということ。
ということは、多分その逆もあり得ます。
話すことは「頭の中で言語化している」と同義なので、文章力も鍛えられていると思います。
文章力を鍛える方法③好奇心を持ちチャレンジする
文章力を鍛える3つ目の方法は、好奇心を持ちチャレンジすることです。
前回までの方法とは違い、やや精神論に近い話ですが、あらゆることに好奇心を持つことも重要です。
これはテクニック論ではなく、どちらかというと「文書の幅を広げる」という意味ですね。
というのも、人は同じ世界に固執しがちなんですよ。そのため、悪い意味で「その世界」だけにハマってしまいます。
でも、人間が観測できる範囲には限界があるので、あらゆることに好奇心を持ち、全く知らない世界を見た方がいいです。
色んな世界に触れることで、自分の好奇心が広がっていき、自分の文章の幅も広がっていきます。
色んな世界に触れる方法としては、色んなジャンルの本を読むことです。ぼくは、古代人類学の本も読みますし、小説や科学の本、恐竜の本なんかも読みますねw
もちろん全てのジャンルが文章のネタにはなりませんが、それでも何かのヒントにはなるはずです。
文章力を鍛える方法④1年前の自分と比較する
文章力を鍛える4つ目の方法は、1年前の自分と比較することです。というのも、自分の文章と他人の文章を比較してしまう人が多いんですよね。
特に今は、そこらじゅうに文章が溢れています。TwitterなどのSNSはもちろん、ググれば無数に記事が読めてしまう時代です。
つまり、否が応でも他人の文章が目に入るんですよ。
だからこそ、他人が書いた文章と比較して「自分の文章はなんて下手なんだ……」と思ってしまう人が多いです。
でも、そんなこと言ったらキリがありません。上には上がいます。そもそも他人と自分の文章を比較しても、意味はありませんからね。
そのため「文章力が上がったか?」 を確かめるときは、他人と比較するのはやめましょう。そうではなく「1年前の自分」と比較してください。
1年も書いていれば多分上手くなっています。ぼくもそうですが……1年前の文章は恥ずかしくて読めませんよw
自分が昔書いた本を今読み返してみると、「うわーきっつー!」て感じですwそのくらい文章力は向上し続けていき、自分の感覚も段々変わっていきます。
なので、「1年後の自分なら今の自分をどう評価するか?」ということを、楽しみながらトレーニングすると良いです。
文章力を鍛えよう
文章力は全てのビジネスの根幹です。鍛えれば文章力は誰でも上がるので、ぜひ今回紹介した方法を試してみてください。
ちなみに、文章力を鍛えたいならWritingBeginという無料教材をおすすめします。
この教材は、ぼくのKindleを編集してくれているライター&編集者の中村さんが作っている教材ですね。
ただこの教材はWebライター向けなので、ブログ寄りの文章術ならぼくの「ブログ運営の教科書」という教材をおすすめしますw
お好きな方をチェックしてみて、自分に合った方を試してみるといいでしょう。
パスワードの日 / World Password Day 2021(転載)
Celebrating the 8th Annual World Password Day
インテルは、私たちのデジタルライフを守るために強力なパスワードが果たす役割を認識してもらうため、2013年にWorld Password Dayを設けました。それ以来、世界中で何千人もの人々が強力なパスワードのヒントを共有し、独自の活動を展開しています。しかし、今日では、強力なパスワードだけでは、オンラインアカウントを覗き見されないようにするには不十分であることが明らかになっています。個人アカウントや仕事用アカウントを多要素認証で保護することは、基本的なデジタル衛生のために不可欠です。あなたのログインをレベルアップする準備はできていますか?また、パスワードをテーマにしたヒントやGIFを共有して、World Password Dayを祝いましょう。みんなで協力して、インターネットをみんなのデータにとってより安全な場所にしていきましょう。
パスワードの未来
約60年もの間、パスワードはユーザーがデバイスやサービスを利用する際に自分自身を認証するためのデファクト・メソッドとなってきました。今ではパスワードは簡単な概念になっており、ほとんどの人にとって快適で親しみやすいものになっています。しかし、そのシンプルさと親しみやすさが強みである一方で、パスワードには多くの弱点もあります。
パスワードは時代遅れ?
パスワードの強度は、その秘密性に依存する。パスワードは、ユーザーとそのユーザーがログインしたサービスだけが知っていると考えられるため、ユーザーを認証することができます。しかし、残念ながらそのようなことはほとんどありません。私たちは、複数のサイトでパスワードを再利用したり、コンピュータのそばのポストイットに書き留めたり、友人と共有したりしています。さらに悪いことに、毎日のように行われているデータ漏えい事件では、何十億という単位でパスワードが流出しています。(これらのデータ漏洩の一つで自分のデータが漏洩したかどうかを確認するには、ウェブサイト(www.haveibeenpwned.com)をチェックするのが有効です。自分のメールがそこにある場合は、急いで関連するアカウントのパスワードを変更してください)
では、安全なアカウントは失われてしまったのでしょうか?そうではありません。パスワードの未来はここからが本番です。パスワードは、アプリやサービスが人を認証する数多くの方法のひとつにすぎません。2段階認証や多要素認証と呼ばれるように、パスワードと別のステップを組み合わせることで、不正なアクセスに対してログインプロセスをより安全にすることができます。
パスワードにセキュリティレイヤーを追加する
パスワードは最初の防衛手段と考えてください。これができていれば、さらに保護の層を増やすことができます。銀行や株取引アプリ、仕事で利用するサービスやアカウントなど、重要なアカウントであればあるほど、レイヤーを増やすことを検討してください。
- 二要素認証アプリ
Amazon、Dropbox、Google、Microsoftをはじめとする多くのサイトやサービスでは、2ファクタ認証アプリを利用することができます。2ファクタ認証(2FA)とは、その名のとおり、オンラインアカウントにおいて、パスワードと第2の認証要素の2つの方法で本人確認を行う機能です。1つ目の認証要素であるパスワードを入力した後、携帯電話の2FAアプリが1回限り使用できるコードを生成し、それを入力することでアカウントにアクセスできます。 - 使い捨てコード(テキストメッセージまたはEメールにて)
1つ目の認証要素であるパスワードを入力した後、2つ目の認証要素は通常、SMSまたはEメールで届きます。2FAコードは、デビットカードのPINコードとは異なり、1回しか使用できません。デビットカードのPINコードとは異なり、2FAコードは1回しか使用できません。アカウントにログインするたびに、新しいコードが送られてきます。注意点としては、SMSでコードを受け取ることは、後述する認証アプリを利用するよりも安全性が低いというのがセキュリティ専門家の意見です。 - FIDOセキュリティキー
FIDOアライアンスの標準規格に準拠したハードウェアベースのセキュリティキーは、携帯電話のSMSやプッシュ通知に頼らずに2ファクタ認証を迅速に行うことができ、2FAの最も安全な方法でもあります。どのくらい安全か?Googleの複数年にわたる調査では、FIDOセキュリティキーで認証されたアカウントに対するフィッシング攻撃の成功はゼロでした。) さらに、使い方はとてもシンプルです。覚えることはありません。リンクをクリックする必要もありません。ログインの際にボタンを押すだけで、安全にログインできます。多くの企業がFIDOセキュリティキーを提供しています。例えばYubicoは、USB-A、USB-C、NFC接続のデバイス用に異なるキーを提供しており、GoogleはBluetoothを使用するキーを提供しています。 - 顔認証
バイオメトリクスは、持っているもの(セキュリティキー)や知っているもの(コード)で認証するのではなく、指紋や顔、網膜のスキャン、さらには声など、あなた自身を認識するものです。最近では、携帯電話やパソコンのカメラを使ってログインできる機器も多く、携帯電話やパソコンに保存されているアプリやデータを強力に保護することができます。
パスワードの先
パスワードを一切使わない未来はあるのか?世界のテクノロジー業界は、FIDOアライアンスと呼ばれる業界団体を通じて、その実現に向けて積極的に取り組んでいます。インテルは数年前からFIDOアライアンスのボードメンバーとして、セキュリティに関心の高い他の企業と協力して、標準化された、よりシンプルで強力なユーザー認証方法を開発し、時間をかけてパスワードの必要性をなくしていくことを目指しています。World Password-less Login Day」は、「World Password Day」ほどピンとこないかもしれませんが、パスワードを完全になくすことは、便利なだけでなく、より安全です。FIDO規格では、スマートフォンやPCの生体認証やFIDOセキュリティキーなどの日常的な技術を用いて、パスワードのみのログインを、ウェブサイトやアプリでの安全で高速なログイン体験に置き換えることができます。現在、FIDOログインを提供するサービスは増えてきており、あなたもすでに利用しているかもしれません。
ハードウェアの役割
ログインのセキュリティを確保するための新しい方法を採用する際には、マシンレベルでの安全性の向上も考慮する必要があります。データを保存するハードウェアのセキュリティは、アクセスを可能にするログイン情報を保護する技術と同様に重要です。そのため、インテルでは、これらの認証情報を保護するために多くの取り組みを行っています。例えば、Trusted Platform ModulesやClient Virtualizationを利用して、機密情報を保護するための領域を設けています。また、インテルvPro®プラットフォームに搭載されているインテル®ハードウェア・シールドのように、インテルの技術には非常に長い歴史があり、それが信頼の基盤を形成しています。
まとめ
パスワードの使用方法が今後どのようになるかは別として、パスワード自体はアカウントを保護し、サイバー犯罪の可能性を減らすための重要な要素であることに変わりはありません。今年のWorld Password Dayを祝うにあたり、あなたのパスワードにセキュリティの層を追加してみてはいかがでしょうか。わずか5分ですが、何時間もの頭痛の種を減らすことができるかもしれません。
日本でのエモテットとの戦いにおけるパートナーと考えていた日本のガーディアンに関する素晴らしい記事です。 / Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan!(転載)
nhk.or.jp/news/html/20210413… - Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan! :) Very happy to see them honored this way and sorry to anyone we did not mention in our tweet there. Stronger Together!💪
サイバーセキュリティフレームワークを使ったコンプライアンスへの道筋を示す / Mapping Your Way To Compliance With Cybersecurity Frameworks(転載)
今日の企業は、複数のポリシー、規制、および法的なセキュリティフレームワークに準拠する必要があります。これらのフレームワークすべてに準拠することは、困難で時間のかかることです。サイバーセキュリティプログラムは、これらすべてを「マッピング」する方法を知っていれば、より効率的に機能します。
サイバーセキュリティ・コンプライアンスのための効率化
今日のITおよび情報セキュリティの専門家は、無数の規制枠組みを満たすことを使命としています。しかし、サイバーセキュリティの専門家の主な責務は、組織の資産やデータを攻撃から守ることです。真に効率的なアプローチは、コンプライアンス要件を満たしながら組織を保護します。ここで、CISコントロールとCISベンチマークが役立ちます。
フレームワークや標準は、通常、コンプライアンスを達成するために「何を」すべきかを説明しますが、CIS コントロールの組織的なポリシーとワークフロー、および CIS ベンチマークの詳細な設定チェックは、さらに数ステップ進んだものとなっています。たとえば、CIS コントロール 3.1 を実装することで、特定の CMMC、MITRE ATT&CK、NIST、および PCI DSS の要件にも準拠していることがわかります。
サイバーセキュリティ保護のグローバルスタンダード
CISコントロールとCISベンチマークは、世界のサイバー保護の業界標準として認められています。
- PCI はハードニングに CIS 規格を推奨
- DoD クラウドコンピューティング・セキュリティ要求事項ガイドは、STIGs 及び SRGs の代替として CIS ベンチマークを参照(セクション 5.5.1)。
- CIS コントロールは、全米知事協会および NIST によって参照されている。
- FedRAMP は、米国政府の構成ガイドラインが特定のプラットフォームで利用できない場合、CIS ベンチマークを掲載している。
- CIS コントロール及び CIS ベンチマークは、HIPAA セキュリティ規則を補完するものであり、 多くの同じ規定を含んでいる。
コンプライアンスのマッピングとトラッキングのためのツール
CISコントロールが一般的な業界フレームワークにどのようにマッピングされているか、CISコントロールナビゲーターでご確認ください。測定すべきフレームワークがわかったら、次のステップは、それらのフレームワークの優先順位付けと実装を管理することです。
CISコントロール自己評価ツール(CIS CSAT)および追加機能を備えたオンプレミス版CSAT Proにより、セキュリティチームはCISコントロールおよびサブコントロール(現在はセーフガードとして知られています)の実装を追跡し、優先順位をつけることができます。どのCISコントロールが組織に適用されるか、また、それらが割り当てられ、実装され、自動化され、文書化され、報告されているかどうかを判断することができます。また、他のセキュリティフレームワークとの整合性を図ることができます。
登録:
投稿 (Atom)