2021 年 10 月 8 日:今週の重要な情報セキュリティニュース
2021年10月8日 Josh Stuifbergen 著
SMS ルーティング企業の Syniverse 社が 5 年にわたる不正アクセスを公表
Syniverse 社は、「世界で最も接続が多い企業」と謳っており、多くの大手通信会社にサービスを提供しています。あなたのプロバイダも、同社の顧客である可能性が高いでしょう。通信事業者間のテキストメッセージの仲介や、ネットワーク間の通話のルーティングを行うなど、その影響力は強大です。今回の侵害は 2016 年 5 月から 2021 年 5 月までの期間に及ぶものです。マザーボードのジャーナリストである Lorenzo Franceschi-Bicchierai 氏は、最新の米国証券取引委員会(SEC)への提出書類の中で、次のような情報を発見しました。
「Syniverse 社の調査により、個人または組織が、数回にわたってネットワーク内のデータベースへの不正アクセスを行ったため、電子データ転送(EDT)環境へのアクセス、またはそこからのアクセスを可能にするログイン情報が、約 235 件の顧客について漏洩していたことが判明しました」
このような大規模な組織からの不正アクセスが発生した場合、二度とこのようなことが起こらないように、厳重な調査と事後処理の詳細が要求されます。SMS を利用した 2 要素認証(2FA)を行っている企業は、認証アプリケーションなどの代替手段を真剣に検討する必要があります。
Google が 1 億 5,000 万個のアカウントに対し 2 段階認証(2SV)の自動登録を開始
Google は、技術的要件を満たしているにもかかわらず まだ 2SV を有効にしていないユーザ(全員ではないが多くのユーザ)を、自動的に 2SV に登録する方針です。これは前向きな進歩と言えます。2 要素認証を意識し始め、その使用にも慣れてきた人は多く、Google がユーザを自動登録することは、正しい方向に向かっていると言えます。Google の 2 要素認証の導入は、認証アプリケーションからワンタイムコードを入力する仕様ではなく、携帯電話で認証を受け入れるだけのため、負担は少ないでしょう。当然リスクはありますが、パスワードのみでアカウントを保護する場合に比べれば改善されていると言えます。
CISA のナショナル・サイバーセキュリティ・サミットがスタート
CISA(Cybersecurity and Infrastructure Security Agency)は、水曜日に 4 つのうち最初のプレゼンテーションを開催しました。これは、10 月の「サイバーセキュリティ意識向上月間」に合わせたものです。テーマは、「Vulnerability Management Ecosystem(脆弱性マネージメントのエコシステム)」でした。プレゼンテーションの様子は、CISA の YouTube チャンネルで見ることができます。10 月中にあと 3 回のプレゼンテーションが予定されています。
Microsoft、Excel 4.0 のマクロをデフォルトで無効化
マクロは、IT 担当者やセキュリティ担当者にとって常に悩みの種でした。ユーザが企業内の Excel アプリケーションで簡単にマクロを有効にすることができるため、セキュリティ上の重大な欠陥となっていました。これにより、悪意のあるコードが含まれていることに気づかず、フィッシングメールから Excel ファイルをダウンロードして開く可能性がありました。最新バージョンの Excel 5.0 でも、Excel 4.0 はまだサポートされていました。これは、Microsoft 社が 2021 年 3 月に「マルウェア対策スキャンインターフェイス(AMSI)」の Excel 4.0 マクロサポートをリリースした時点で判明していた問題でした。この機能が、Microsoft 360 の有料登録者では自動的に無効化されます。これは、企業が待ち望んでいた重要な機能です。