12月18日:サイバーセキュリティ関連ニュース
米CISA、連邦政府文民機関にMicrosoft 365テナントのセキュリティ保護を命令
BleepingComputer – December 17, 2024
米CISAが今年初めて拘束力のある運用指令(BOD 25-01)を発行し、必要なセキュリティ構成ベースライン(SCB)に従ってクラウド環境を保護するよう連邦政府文民機関(FCEB)に命令した。
BOD 25-01の目的は、FCEBのシステムと資産を守るために不可欠なクラウドサービスの防護措置を実施するよう義務付けることで、連邦政府ネットワークの攻撃対象領域を減らすことにある。FCEB各機関はこの指令により、定められた期限までにCISA開発の自動構成評価ツール(Microsoft 365監査用のScubaGear)を導入するだけでなく、継続監視インフラとの統合やSCBの遵守が求められる。
今回の指令が適用されるのはFCEBのみだが、CISAはすべての組織がBOD 25-01に従い、侵害のリスクを大幅に削減することを強く推奨している。今後もGoogle Workspace(2025年度第2四半期を予定)を皮切りに、ほかのクラウドプラットフォーム向けの追加ベースラインがリリースされるという。
メタに2億5,100万ユーロの制裁金 データ侵害招いたGDPR違反容疑で
The Record – December 18th, 2024
アイルランドデータ保護委員会(DPC)は17日、データセキュリティの不備で2018年に大規模なデータ侵害を招いたとして、メタに2億5,100万ユーロの制裁金を科したと発表した。
動画アップロードシステムの不具合で6年前に発生したこの侵害では、世界中で約2,900万件のFacebookアカウントに被害が及んだ。その際、アカウント所有者のプロフィールに含まれるすべてのユーザー情報が漏洩したとされ、流出したデータには位置情報、宗教、性別、タイムラインの投稿、参加しているグループ、子どもの個人データ、電話番号、メールアドレスなどが含まれていたという。
DPCによると、制裁金が科された理由はいくつかあるものの、メタの不備はいずれもヨーロッパの厳格な一般データ保護規則(GDPR)に反していたようだ。メタがGDPR違反で制裁金を科されたのは今回が初めてではなく、今年9月(9,100万ユーロ)、2023年5月(12億ユーロ)、同年1月(3億9,000万ユーロ)、2022年9月(4億500万ユーロ)など何度も同様の処分を受けている。
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価