おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
サイバー攻撃に8割の企業が「丸裸」 穴だらけの環境をどう守る?
タニウムの調査によると、復旧計画の技術的検証を実施している企業は約2割にとどまり、定期的な訓練を実施している企業も4分の1程度に過ぎません。「計画を作ること自体がゴールになっているケースが多い」と同社のシニアマーケティングマネージャーである村井新太郎氏は警鐘を鳴らしています。
タニウムの調査結果ですが、記事を見ると国内調査のようです。
という前提で…「計画を作ること自体がゴールになっている」
コレですよねぇ。。。
目的と手段が入れ子になってる典型的な例だったりします。いったい、なんのために計画を作るのか……担当者、なのか経営者なのかわかりませんが、理解してるんですかね。。?
いざというとき、頭がパニックになります(経験者談)。
パニックを起こさないためには、日ごろからの訓練が大事です。頭で理解するのではなく、身体が覚えるほどの……は言い過ぎかもしれませんが、それぐらいの腹積もりがないと、正確は判断ができません。
インシデント時は、一分一秒を争います。正確は判断がその場で出来ないと手遅れになります(経験者談)。
IT資産の可視化不足も深刻です。非管理端末を排除できている企業も2割弱であり、「見えないものは守れない」状況が常態化しています。攻撃者にとって、こうした非管理端末は格好の侵入口となります。
これは「全部理解してる、つもりになってる」ことですかね。
資産管理なんてしなくても、どこに何があるのか、あの人はわかってる。あの人に聞けば答えが出る。
典型的なあかんパターンですね💦
その人が居なくなったら、その人が怪我や病気で入院してたら、どーするんですかね?
資産管理は自社のデータを守るための第一歩です。どこに何があって、どういう状態で、誰が使っているのか。
全てを管理するのは難しいので、そこは資産管理ツールを使いましょう。
「ミドルの転職」にPWリスト攻撃、不正ログインが発生
転職情報サービス「ミドルの転職」が、パスワードリスト攻撃による不正アクセスを受けたことがわかった。一部ユーザーの会員情報が閲覧された可能性がある。
同サービスを運営するエンによれば、2026年6月2日、同サービスのサーバにおいて不正アクセスを検知したもの。
調査を行ったところ、5月26日から6月2日にかけて、一部アカウントでなりすましによるログインを許し、2503件の不正ログインが確認された。
6年前の転職活動の際にちょっとだけ利用してた「ミドルの転職」。
転職活動も終わってアカウントは消したハズだけど…と思って調べてみたら、なんとアカウントが残ってました💦
今更かもしれないけど、アカウント停止してきました。。。
他の転職サイトとか、それ以外もそうだけど…今使ってないサービスのアカウント、たくさん残ってそうだなぁ。。。
棚卸して使ってないのは削除したいけど…どーすりゃいいんだ?!
サービス提供側も、1年アクセスがないアカウントはアーカイブするとか、なんか手を考えて欲しいですよね。
※LW無料版は、ある程度の期間アクセスがないと通知の上削除されますが、そーいう仕組みがセキュリティ上は安心します。
「ゼロトラスト導入でもう迷わない」 NSAが実践ガイドを公開
米国家安全保障局(NSA)は2026年5月28日(現地時間)、ゼロトラスト導入指針(Zero Trust Implementation Guidelines:ZIG)を集約した専用Webページを公開した。ゼロトラスト導入時に利用できる実装指針や技術資料、関連技術の情報にアクセスしやすくし、構築を後押しする。
ゼロトラストは、企業や組織の要件に沿って適用できる柔軟かつモジュール型のセキュリティフレームワークだ。従来の境界防御型モデルを補完する考え方として位置付けられる。
このセキュリティフレームワークは、利用者や端末、システムなど、いかなる主体も初期状態では信頼しないことを前提とする。所在地やネットワーク環境の違いにかかわらず検証を求める考え方を採用し、既存のシステム基盤を活用しつつセキュリティ強化を図る。
中身は英語のPDFのリンク集ですが、ステップ順に分かれており順番に見ていくことで、ゼロトラの仕組み社内に導入するためのいい勉強資料になりそう(しかも英語の勉強にもなりそう…💦)。
まとまった休みが出来たら、ざざっと見ておきたい。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
セキュリティ企業のPhishUは2026年5月20日(現地時間)、「Google Password Manager」(以下、GPM)の同期機能を悪用し、利用者のパスキーおよび保存済みパスワード群にアクセスできる攻撃手法「Vaultjacking」を発表した。
PhishUによれば、この手法はWebAuthnそのものを破るものではない。攻撃対象はGPMの同期基盤であり、利用者のGPM PINを取得し、新たな端末として「Googleアカウント」のセキュリティドメインに参加し、同期済み認証情報群を取得する。
パスキーそのものが突破されたわけではなく、GPMを経由することで、パスキーが設定してあっても、それを突破することができる、というGPMの脆弱性を突く仕組み、といればいいのかな。
でも、まぁ…結果としてパスキーが設定されててもそれを迂回して突破されるのに変わりはなく、パスキーだから安心だぜ!という慢心は危険だよね。という警鐘と受け止めました。
本文から、NanoBananaさんに図に起こしてもらいました。
が、図にしてもよくわからん(笑
九州電力送配電、最大1090万件の個人情報漏えいのおそれ、バックアップ媒体が所在不明に
九州電力送配電株式会社は6月8日、顧客の個人情報を保存したバックアップ用の外部記憶媒体が保管場所から所在不明となり、社外に漏えいしたおそれがあると発表した。
外部記憶媒体ということは、恐らくバックアップメディアは恐らくLTOだと思うのですが、まさか、LTOにそんな落とし穴があるとは…
個人的には、未だにLTO最強説と唱える昭和オジサンです。最新バックアップでも採用されているイミュータブルとかAir-gapとか、元々実装してるのがLTO。そして、バイト単位の単価がもっとも安いのもLTO。運用面だけしっかりと運用すれば最強のバックアップデバイスなのですが……
まさか、所在不明とか……どーいうこと?
これ、内部犯行なのでは??とか思ってしまう(まぁ、犯行ではなくうっかりミスの可能性も十分ありそうですがー)。
三菱UFJ銀、“PPAP”原則廃止 メール本文にダウンロードURL記載へ
三菱UFJ銀行は6月8日、メールでパスワード付きZIPファイルを送り、パスワードを別送する方法(通称「PPAP」)を原則、取りやめると発表した。
今時、脱PPAPがニュースになることがオドロキなのですが……大丈夫??
7月18日以降順次、同行の役職員が添付ファイルを送る際は、メール本文に専用ダウンロードサイトへのURLを記載する形に切り替える。受信者はURLからサイトにアクセスし、別送される専用パスワードを使ってファイルをダウンロードする。
PPAPではないけど、パスワードを送ってるので、そこは大丈夫なの?と思ってしまう(この手の脱PPAPの仕組みにありがちだけど、ホントに脱PPAPになってるのか甚だ疑問)。
脱PPAPの理想形は、単にZIP添付をURL共有に置き換えることではなく、重要なのは、ファイルそのものをメールから切り離し、受信者ごとの認証・権限・期限・取消・ログ管理を行える状態にすること。
URLとパスワードを別メールで送るだけでは、メールが侵害された場合の弱点はどうしても残ってしまう。
理想は「パスワードを送る」のではなく、「必要な人にだけアクセス権を付与する」運用だと思うのですが、この仕組みでそれが実現できるのか?
--
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSについては、こちらの記事をご覧ください。
セキュリティ対策については、まずは自身の立ち位置を把握することが大事です。しっかりと現状を見つめ、何が足りていて、何が足りてないのかを知り、優先度を持って対策していきましょう。