オープンソースのサプライチェーンが抱えるセキュリティ上の課題を再認識する事件
「やられたよ。みなさん、すみません。とても恥ずかしいです。」これはオープンソース開発者のqixが、ソーシャルエンジニアリングによりGitHubアカウントの認証情報を奪われた際に、世界に向けて発した開示・通知のメッセージです。
.jpg?length=260&name=Evangelists-Martin%20Kraemer%20(1).jpg)
「やられたよ。みなさん、すみません。とても恥ずかしいです。」これはオープンソース開発者のqixが、ソーシャルエンジニアリングによりGitHubアカウントの認証情報を奪われた際に、世界に向けて発した開示・通知のメッセージです。
Netskopeのレポートによると、シャドーAIの利用は増加しており、多くの組織のセキュリティリスクが増加していることが判明しました。
私はセキュリティ意識向上トレーニングの普及のためには社内にセキュリティの「チャンピオン制度」を設けることを勧めています。チャンピオン制度とは、社内の同僚が「セキュリティの伝道役」として自発的に立ち、フィッシングやソーシャルエンジニアリングなどのリスクを自分ごととして伝え、望ましい行動を実演し、現場の声を集めて還流させる取り組みです。動画やクイズ、ポリシーを補完する有効な手段です。
FBIとAmerican Bankers Association(米国銀行協会、ABA)は、AIで生成されたディープフェイク詐欺の脅威が拡大しているとして、共同で注意喚起文を公表しました。
ANYRUNのリサーチャーによると、攻撃者は「Salty 2FA」と呼ばれる新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを使用し、北米および欧州の幅広い業界を標的にしています。
私はさまざまな組織のセキュリティ担当者から、「ユーザー教育をもっと進めるためのアイデアを教えてほしい」と相談を受けることがあります。多くの組織は、すでに月次もしくは週次でセキュリティ意識向上トレーニング(SAT)やフィッシング訓練といった、いわゆる基本的な施策に取り組んでいます。従業員の時間や労力を使いすぎないように配慮しつつ、ソーシャルエンジニアリングやフィッシング攻撃への理解を高めようと多くの担当者が努力しています。
ReliaQuestは、サイバー犯罪者の雇用状況に関するレポートを公開し、英語に堪能でソーシャルエンジニアリングのスキルを持つ人材の需要が非常に高いことを明らかにしました。
KrebsOnSecurityは、フィッシンググループが証券会社の顧客を狙い、株価操作を仕掛けていると報じています。攻撃者は「ramp and dump(ランプ・アンド・ダンプ)」と呼ばれる手口で利益を得ます。
有名ブランドが”無料”で商品を提供する、と謳う魅力的なオファーを目にしたことはありませんか?
韓国のセキュリティ企業、S2Wのリサーチャーによると、北朝鮮の脅威グループScarCruftがランサムウェア攻撃を行っていることが明らかになりました。ScarCruftは主にスパイ活動を主に行ってきましたが、平壌への資金供給を目的としたサイバー攻撃を行うことも少なくありません。