被害者は、よく知られている青いチェックマークで表される認証済みアカウントのステータスに問題がある旨の偽警告を電子メールでターゲットに通知します。メールには、この警告を無視した場合、アカウントが停止される旨も記載されています。
Twitterユーザーの青いバッジを取り上げると脅す詐欺は新しいことではないのですが、一部の受信者は、Twitterサポートと話さずに、この詐欺メールに基づいて行動を起こしてしまいます。
BleepingComputerによると、この詐欺の指示に従った人は、一度だけでなく二度もデータの入力を求められ、攻撃者がデータを盗む前に正しい認証情報であることを確認されるのだそうです。
この詐欺の背後にあるフィッシングキットは、盗んだログイン情報を使って、Twitterにパスワードのリセットを要求します。被害者が偽のページに多要素認証のコードを入力すると、攻撃者はそれも盗み、被害者のアカウントに完全にアクセスできるようにします。その後、攻撃者は、被害者の認証済みステータスを利用して、暗号資産詐欺を行います。
このような詐欺事件は、PCだけでなく、モバイル端末でも専用のセキュリティ・ソリューションを使用する必要性を強調しています。プロが見ても、時には詐欺に引っかかってしまうことがあるのです。
サイバー犯罪者は、モバイル端末をターゲットに、フィッシング詐欺を発見するメカニズムがない場合、簡単に正規の詐欺として成立するような、信頼性の高い詐欺を仕掛けてくることが多くなっています。
出典:Don't Fall for This Phishing Scam Threatening to Revoke Your Twitter Badge
徳島阿波踊り空港は搭乗待合室内にラウンジが存在しない。
これは痛恨。
さらに追い打ちをかけるようにこの日は15分の遅延。
実はラウンジの存在しない空港はこれが人生初。
やはり何事も事前準備が重要だなと感じた。
フライト時間は離陸後50分とのこと。
地図見たら、大阪と大差ないんだ。
機内が揺れるからとかの理由でこの日はコールドドリンクのサービスのみ。
席は通路側の足元が広い席をゲット。
目の前は壁をはさんでCAさんが向かいで座っている。
普段は窓側で景色を見ているが、通路側でCAさんの動きを見るのもなかなか面白い。
明確なオーナーを持たない部門横断的なチームで仕事をしたことがある人なら誰でも知っているように、「共有」責任や、「共同」責任は、しばしば、誰かが問題を処理していると思い込んでいることを意味します。チーム間に明確な取り組みがなければ、常に何かの問題が見落とされます。
責任共有モデルとクラウドサービスプロバイダー
クラウドサービスの「責任共有」モデルは、次のようなものです。
クラウドプロバイダーは、あるレベル以下のすべてのものを保護し(そのレベルとは一般に自社のソフトウェアのこと)、その保護に責任を持ちます。 これを家の土台に例えて考えてみましょう。 クラウド利用者であるあなたは、基礎の上にあるすべてのものを保護する、いわば家を守る責任があるのです。
しかし、家を見たことがある人なら、基礎とその上にあるものの間に必要なものを分ける単純な線が引けるわけではないことに気づくでしょう。 クラウドプラットフォームとその上で動作するアプリケーションの相互接続も同様です。
クラウドの設定ミスや複雑なツール
クラウドサービスをどのように設定するかは、その上で動作するアプリケーションの安全性に大きく影響します。 パブリッククラウドで構築していますか? Lambda関数を一般に公開していませんか? データレイクでLake Formationのアクセス制御を有効にしていないのでは? AzureSqlDBServerで高度なデータセキュリティを有効にしていますか?GCPのクラウド関数で、パブリックな呼び出し権限があるものがないですか?
この問題は、IaaS(Infrastructure-as-a-Service)のパブリッククラウドサービスにとどまりません。 DDoS防御のためにコンテンツ配信ネットワークを使用している場合、オリジンのホスト名を予測不可能にすることを忘れてはいませんか? SaaSサービス間のビジネス・アプリケーション・メッシュを統合する際、例えば財務部門だけが必要とするAPIを、誤ってどのユーザーにも呼び出させてはいないだろうか。
クラウド利用者が足元をすくわれる可能性は、たくさんあります。進んだクラウド・プラットフォームは、こうした見落としを少なくし、デフォルトの設定にならないようにするために多くのエネルギーを投入しています。 しかし、すべてのクラウド・サービスにおいて完璧なプロバイダーは無く、すべてのクラウド・プラットフォームが自社のシステムを安全に使用できるようにしているわけではありません。 さらに残念なことに、クラウドサービス提供者は、安全でないさまざまな設定の選択について顧客に伝えるインセンティブがないのです。
皮肉なことに、最も多くのセキュリティ・サービスを顧客に提供しているクラウド・プラットフォームは、そのサービスを利用する上で最も複雑な状況を生み出していることが多いです。 各ツールキットを正しく使用するには十分な知識が必要なため、クラウド・サービスを正しく設定するためのサービスを販売するビジネスが存在するほどです。
クラウドセキュリティを向上させるために
もしクラウド利用者がベンダーに、"これらのサービスの最も危険な使用方法と構成は何か?"と尋ねる方法があればいいのですが......。
残念ながら、ほとんどのクラウド利用者は、自社のクラウド・サービスの利用に焦点を当てるのではなく、ベンダーが正しく設定されているかどうかを確認するために、NIST CSFやBITS SIGに基づく質問を巨大なスプレッドシートで質問票にしてベンダーに回答させているのが実情です。
クラウド利用者はサードパーティのリスク管理プロセスを利用して、自社のセキュリティについて洞察に満ちた質問を始めるべき時なのかもしれません。
責任共有モデルで言えば、クラウドプロバイダーが素敵なズボンを履いていても、ベルトの締め方やシャツのサイズがクラウド利用者に完璧にフィットする可能性は低く、風通しが悪くなる服装だったり、最悪の場合、不愉快な姿をさらすことになり、それが責任共有モデルのクラウドサービスが意味するところとなります。
出典:The cloud security emperor has no pants
仙台市は2022年5月18日、新型コロナウイルスワクチン接種の事務センター運営を委託しているキャリアリンク(東京都新宿区)で、アルバイトがシステムを不正利用し、内部情報を第三者に伝える事案が発生したと明らかにした。
問題のアルバイトは1月末から2月上旬にかけて、仙台市のワクチン接種進捗管理システムを不正利用。個人の名前を検索し、該当者がいない(仙台市に住んでいない)旨を第三者に伝えた。5月11日に名前を検索された個人の親族から通報があり問題が発覚。アルバイトが事実を認めたため12日に雇用契約を解除した。
仙台市とキャリアリンクは13日に、検索された個人の親族に経緯を説明し謝罪。同市は同社に口頭で厳重注意した上で、個人情報の取り扱いについて指導したとしている。
再発防止策として仙台市は、キャリアリンクにおいて個人情報の取り扱いに関する教育を徹底する他、定例打ち合わせなどで注意喚起し、取り組み状況を確認するとしている。
