米CISA、連邦政府文民機関にMicrosoft 365テナントのセキュリティ保護を命令 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米CISA、連邦政府文民機関にMicrosoft 365テナントのセキュリティ保護を命令

Threat Report

CISA

Microsoft 365

Silobreaker-CyberAlert

米CISA、連邦政府文民機関にMicrosoft 365テナントのセキュリティ保護を命令

nosa

nosa

2024.12.18

12月18日:サイバーセキュリティ関連ニュース

米CISA、連邦政府文民機関にMicrosoft 365テナントのセキュリティ保護を命令

BleepingComputer – December 17, 2024

米CISAが今年初めて拘束力のある運用指令(BOD 25-01)を発行し、必要なセキュリティ構成ベースライン(SCB)に従ってクラウド環境を保護するよう連邦政府文民機関(FCEB)に命令した。

BOD 25-01の目的は、FCEBのシステムと資産を守るために不可欠なクラウドサービスの防護措置を実施するよう義務付けることで、連邦政府ネットワークの攻撃対象領域を減らすことにある。FCEB各機関はこの指令により、定められた期限までにCISA開発の自動構成評価ツール(Microsoft 365監査用のScubaGear)を導入するだけでなく、継続監視インフラとの統合やSCBの遵守が求められる。

今回の指令が適用されるのはFCEBのみだが、CISAはすべての組織がBOD 25-01に従い、侵害のリスクを大幅に削減することを強く推奨している。今後もGoogle Workspace(2025年度第2四半期を予定)を皮切りに、ほかのクラウドプラットフォーム向けの追加ベースラインがリリースされるという。

メタに2億5,100万ユーロの制裁金 データ侵害招いたGDPR違反容疑で

The Record – December 18th, 2024

アイルランドデータ保護委員会(DPC)は17日、データセキュリティの不備で2018年に大規模なデータ侵害を招いたとして、メタに2億5,100万ユーロの制裁金を科したと発表した。

動画アップロードシステムの不具合で6年前に発生したこの侵害では、世界中で約2,900万件のFacebookアカウントに被害が及んだ。その際、アカウント所有者のプロフィールに含まれるすべてのユーザー情報が漏洩したとされ、流出したデータには位置情報、宗教、性別、タイムラインの投稿、参加しているグループ、子どもの個人データ、電話番号、メールアドレスなどが含まれていたという。

DPCによると、制裁金が科された理由はいくつかあるものの、メタの不備はいずれもヨーロッパの厳格な一般データ保護規則(GDPR)に反していたようだ。メタがGDPR違反で制裁金を科されたのは今回が初めてではなく、今年9月(9,100万ユーロ)、2023年5月(12億ユーロ)、同年1月(3億9,000万ユーロ)、2022年9月(4億500万ユーロ)など何度も同様の処分を受けている。

【無料配布中!】脅威アクターレポート

脅威アクターレポート:『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

<レポートの主なトピック>

  • 要点
  • グループ概要
    ✔️攻撃声明
    ⚪︎DDoS攻撃声明
    ⚪︎サイバー恐喝
    ⚪︎その他日本の組織への攻撃声明
    ✔️他グループへの協力呼びかけ
    ⚪︎他の不法コミュニティでの悪評
    ✔️ランサムウェア等の宣伝
  • 評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ