ソフトウェアの状況は成長し続けているため、ソフトウェア ライブラリの脆弱性と攻撃対象領域が小さくなっていないのは驚くべきことではありません。ソフトウェア サプライ チェーン攻撃は、成功すれば 1 回の攻撃で数百、数千のアプリケーションにアクセスできるため、攻撃者にとって特に魅力的です。脆弱性を悪用したり、信頼できるアプリケーションのソース コードを侵害したりすると、攻撃者が中央の場所から操作し、検出されずにネットワーク上を移動できる可能性があります。この危険ベクトルに対するさまざまな解決策について研究が行われています。
Black Hat Asia ハッキングカンファレンスで、セキュリティプロバイダーであるトレンドマイクロの研究者らは、世界中の数百万台の Android スマートフォンが、デバイスが生産を終了する前から悪意のあるファームウェアに感染していると発表しました。 ハッカー集団「Lemon Group」によると、「ゲリラ」と呼ばれるマルウェアを8,9万台の端末に注入することができたという。 セキュリティ研究者らは、サイバー犯罪者はプロキシプラグインを介してAndroidスマートフォンへのリモートアクセスを貸し出しており、その料金は分単位で課金されていると警告している。 パスワード、地理的位置、IP アドレス、その他の機密データのキーストロークにアクセスできます。 の広告は…
Rheinmetall の車両システム、武器、弾薬部門はサイバー攻撃から十分に保護されているため、攻撃者は民間部門のさまざまな子会社を攻撃し、おそらくそれらのいくつかも麻痺させています。 これは典型的なサプライ チェーン攻撃のように思えます。 現在のところ、Rheinmetall の Web サイトまたは子会社のサブページにサイバー攻撃に関する情報はありません。 しかし、Spiegel やその他のメディアによると、さまざまな子会社がサイバー攻撃を受けています。 Echo24.de によると、Rheinmetall のスポークスマンは、グループの民間事業における IT インシデントを確認したと言われています。 ハッカーが最も求めているRheinmetall部門、Vehicle…
攻撃者は常に、防御を突破するためにチェーン内の最も弱いリンクを探してきました。 これは今日の高度にデジタル化されたビジネスの世界でも変わっておらず、サプライヤー業界のサプライ チェーンも含まれています。 多くの場合、サプライヤは顧客の内部システムにアクセスできます。一見取るに足らないサプライヤへのハッキングは、ハッカー グループがグローバル企業のネットワークに侵入することを意味します。 ソフトウェア サプライ チェーンを介した攻撃はさらに一般的であり、さらに劇的な影響を及ぼします。 そのため、サイバー犯罪者は標的となった企業を直接攻撃する代わりに、自社のソフトウェア ディストリビューターを標的にしています…
ハッカーは、攻撃に独自のコード パッケージを使用したり、オンライン リポジトリやパッケージ マネージャーを介して配布されたコード パッケージに悪意のあるコマンド ラインを挿入したりすることが増えています。 この詐欺は、ハッカーの間でますます人気が高まっています。 Check Point によると、2021 年から 2022 年にかけての増加は、すでに 600% を超えていました。 Check Point Software Technologies の研究部門である Check Point Research (CPR) は、不正なコード パッケージについてすべての IT セキュリティ担当者に警告しています。 ThreatCloud は、いくつかの悪意のあるオブジェクトを検出しました。 この詐欺は、大幅に増加しているサプライ チェーン攻撃とバリュー チェーン攻撃に数えられます。 信頼できるコード パッケージが汚染される サイバー犯罪者は…
大企業や中小企業へのサイバー攻撃: 約 75% が攻撃による評判の失墜を恐れていますが (中小企業は 74%)、この理由で資産を保護しているのは 10% でさえありません。 これにより、評判と顧客の信頼が急速に失われる可能性があります。 Kaspersky の調査では、矛盾が示されています。保護対策の上位 3 つの理由は、上位 3 つの懸念される影響と一致しません。 最も恐れられている損害は、財務への影響と、評判と顧客の信頼の喪失です。 ただし、サイバーセキュリティ対策の主な理由は、ビジネスの継続性、データ、および顧客を保護することです。 保護理由と効果は異なる サイバー保護対策を実施する主な理由は…
Aqua Security は Center for Internet Security と提携して、ソフトウェア サプライ チェーンにおけるセキュリティのファースト ガイドを発表します。 Chain-Bench は、ソフトウェア サプライ チェーンを検証してこれらの新しい CIS ガイドラインに準拠していることを確認する最初のオープン ソース ツールです クラウド ネイティブ セキュリティのリーダーである Aqua Security と Center for Internet Security (CIS) は本日、業界初の正式なガイドラインをリリースしましたソフトウェア サプライ チェーンのセキュリティのために。 CIS は、接続された世界でより多くの信頼を生み出すことに専念する独立した非営利団体です。 CISソフトウェアは…
クラウドネイティブ セキュリティのリーダーである Aqua Security は、ソフトウェア サプライ チェーン攻撃に関する最新の Software Supply Chain Security Review 調査の結果を発表します。 2021 か月間で、専門家は 2020 年の攻撃が XNUMX 年に比べて XNUMX 倍になったと判断できました。 サイバー犯罪者は、ソフトウェア サプライ チェーンの脆弱性を標的にして、マルウェアやバックドアを挿入します。 これを行うために、彼らは主にオープン ソース ソフトウェアのセキュリティ ギャップを利用し、悪意のあるコードを挿入し (「ポイズニング」)、ソフトウェア コードの整合性に関する一般的な問題を利用します。 ソフトウェア サプライ チェーン セキュリティ レビューの調査は、Argon によって実施されました…
2021年は、サイバーセキュリティに関して、多くの点で否定的に記憶されるでしょう。 当然のことながら、この年は IT セキュリティ業界にとって落雷で終わりました。Java Log4j の脆弱性により、ハッカーにとって完璧なフレームワークが作成されました。 Log4j、ランサムウェア、サプライ チェーンへの攻撃はいずれも 2022 年に発生します。米国連邦政府のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) の責任者である Jen Easterly 氏は、Log4j の脆弱性を彼女の 4 年のキャリアの中で見た中で最も深刻な欠陥であると呼びました。 LogXNUMXj の影響は、今後数か月で IT、ビジネス、社会にとって重要になるでしょう。
