セキュリティエンジニアが気になったニュースまとめ 2023/2/20~2/28
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/02/28
JSSEC『スマートフォン利用シーンに潜む脅威 Top10 2023』を公開
https://www.jssec.org/news/news20230228.html
日本スマートフォンセキュリティ協会(JSSEC)が2月28日に発表した「スマートフォン利用シーンに潜む脅威 Top10 2023」によると、スマートフォンを利用するに当たって考えられる脅威ランクの3位は「ディープフェイク」、2位は「なりすまし契約とアカウント搾取」、1位は「スミッシング詐欺」だった。
第二位の「なりすまし契約とアカウント搾取」の増加ですが、SIMスワップという攻撃手法が広がりつつあり、その被害が多くなっている可能性が高いです。スマホに対しての被害は年々様々な手法が増えてきているので最新の攻撃にどのようなものがあるか、常に確認しておく必要がありそうです。
2023/02/28
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
https://github.com/ockeghem/badtodo
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。
無償で実際に攻撃可能なwebサイトが使用できるのはありがたいことです。実際の攻撃がイメージしにくい脆弱性や普段見かけない脆弱性に対しての理解を深めるのに役立ちそうです。
2023/02/28
「10大脅威」の解説資料が公開 – 自組織に応じた対策を
https://www.ipa.go.jp/security/vuln/10threats2023.html
情報処理推進機構(IPA)は、組織向けの内容を収録した「情報セキュリティ10大脅威 2023」の解説書を公開した。副題を「全部担当のせいとせず、組織的にセキュリティ対策の足固めを」としており、自組織の状況に応じた対策を呼びかけている。
順位はほとんど前年度と変わらないですが新しい被害が増えているのが気になります。現在は10位の立ち位置ですが今後巧妙な手口等が増えてくる可能性がありますので、明日は我が身という意識を欠かさないようにしていきましょう。
まとめのまとめ
セキュリティによる被害は年々新しいものが増えていきます。去年は大丈夫だったからと言って今年も大丈夫とは限りません。最新の情報を常に確認して被害に合わないように気を付けていきましょう。
担当:CJ