2025年7月の気になるインターネット記事をピックアップ

2025年7月の気になるインターネット記事をピックアップ

2025, Aug 10    

暑い日々が続いていますね、今日は8月三連休の中日、雨が降って涼しい、恵みの雨となってくれると良いのですが。 今月もセキュリティに関する気になる記事をピックアップしていきます。

セキュリティ運用「自動化やAI活用が不可欠」言うは易し――現状プロセスを分析する4つの方法、AIも働きやすくする3つの環境整備ポイント

セキュリティの現場が直面する課題として、保護・監視対象システムの増加、攻撃の複雑化、セキュリティ人材の不足、コスト削減圧力の4点を挙げる。これらの課題に対し、人による「運用でカバー」でなんとかするには限界があるので、「自動化やAI活用が不可欠」とされているが、そう簡単な話ではない

毎日のようにAIを業務に利用していますが、セキュリティの業務もAIで楽になりたい。なんかよい方法はないものか。やっぱりAIの利用をスケジュールによるAPI呼び出しで自動化するのが王道か。しかしどんな文言をスケジューリングすればよいのかはまだ分かりません。 ※この記事は連載記事なので、次更新する際には回答を得られるかもしれません。

4,000社のセキュリティ対策を読み解く|他社が実施できていること、遅れていることを徹底解説

SecureSketchは無料で利用できるセキュリティ対応を管理できるサービスで、その特徴として「共通化したセキュリティ対策がよその会社でもどれくらい対応されているのかを比較できる」点があります。まさに表題の件は知りたいことで、セキュリティがすべてを100%対応することができない以上「よそも対応していることを我が社も対応する」というのは対応の基準になると思います。

高いレベルで対策ができている項目について、自分なりの言葉で列挙してみました。

  • リスクアセスメント
  • ハードウェア、ネットワーク機器の資産台帳管理
  • セキュリティポリシーの策定と社内への啓発
  • セキュリティ対策規程の策定と社内への啓発

うん、自分の会社もだいたいやっていると胸を張れそうだ。

いっぽうで対策が遅れがちな項目は

  • インシデント対応チームだけでなく、関係各所や役職員も対象としたインシデント対応訓練
  • SIEMの導入
  • インシデント対応の訓練の実施
  • 侵入テスト(ペネトレーションテスト)を実施
  • セキュリティインシデントの保険への加入

保険は加入してますが、それ以外は出来ていない…まさにこのアンケート通りの結果です。 ペネトレーションテストを行うには外部の会社に依頼することが大半(自分たちでやるのはハードルが高い)で、コストがかかります。そしてインシデント対応訓練は

  • お金を稼がなければならない関係各所を強力に応じてくれない
  • 訓練の重要性が理解されにくい
    • そういえばビルの避難訓練すら参加せずに仕事を続けていた人もいたなぁ
  • そもそもインシデントのことを考えたくない

などハードルがたくさんあります。 しかし「みんな同じなんですね^^」と傷をなめあうだけではセキュリティリスクは改善されないままです。踏み出すための方法を知りたいところです。

ワンタイムパスワードは原則禁止へ、日本証券業協会が証券口座乗っ取り対策の新指針

ワンタイムパスワードを組み合わせる多要素認証は、攻撃者がID、パスワードと同時にワンタイムパスワードも窃取して認証を突破する「リアルタイムフィッシング」という手口で破られるリスクがある

なぜワンタイムパスワードを禁止するのでしょうか。通常ワンタイムパスワード(OTP)は登録されたメールアドレスやスマートフォンのSMSに送信されることが多く、そのため、メールアカウントのログイン情報やスマートフォンの認証情報が盗まれていなければ安全だと考えます。しかしそれはあくまで正規のサイトへのアクセスを前提とした不正アクセスのケースです。

上記の記事は説明が不足していますが、リアルタイムフィッシングとは

  • 攻撃者が本物そっくりのサイトをWebサーバ上に構築
  • ユーザを誘導し、ログインIDとパスワードを攻撃者のWebサーバのログに記録させる
  • ワンタイムパスワードも本物そっくりのサイトでユーザに入力させる
  • 攻撃者は攻撃者のログに記録されたワンタイムパスワードを即座に正規のサイトに入力して不正ログインする

という振る舞いになります。一方でフィッシングに対して耐性のあるパスキーをWebサイトに導入する場合、Webサイトとユーザの認証器の間ではドメインベースの公開鍵方式で認証を行います。なりすましサイトはドメインが異なるので、認証要求を送ることができず、フィッシングに対して耐性を持つ、というロジックです。

「パスワードは死んだ (password is dead)」 という言葉が聞かれる時代において、パスキー (Passkey) はまさに救世主のような存在と言えます。僕のblogでも過去何度もパスキーを取りあげていますので詳しく知りたい方はぜひ読んでいただきたく(宣伝)

ChromeやEdgeに18種類の悪意ある拡張機能 合計230万件以上インストール済み

Google Chromeの便利な拡張機能。しかしこれは厄介な問題を抱えており、アンチウィルスソフトはブラウザ拡張機能を検知してくれないのです。たとえば「ブラウザをスクロールして全画面をキャプチャしてくれる」便利な拡張機能があります。しかしこの画像はどこに保存されるのか、開発側がその画像を閲覧できないようになっているのかなど、情報漏洩のリスクがあります。 「ブラウザ拡張機能を入れるな!」は現場感覚としてなかなか従ってくれなさそう、しかしすべての拡張機能を精査してこれはOK、これはNGとやることも現実的ではない…と思ったのですが、便利なGoogle公式ツールがあるみたいなので、検証結果を記事で公開できればと思います。

この記事にあるように、最初は有用な拡張機能だったのに、攻撃コードが注入されたり、あるいは悪意ある人間がリポジトリを引き継いでいつのまにかコマンド&コントロール(C2)サーバに送信するよう改修されていたりすることもあります。インターネットは人間の善意で成立、発展してきましたが、悪い人間への対策はコストがかかり、発展を阻害します。サイバー空間が悪貨は良貨を駆逐する、とならないようになってほしいのですが。

Twitter Facebook Google+
# article