2019年9月に話題となったセキュリティ関連のトピックスをご紹介します。
JNSA、「MY CISO ハンドブックテンプレート」の公開
▶︎ 2019年9月10日、日本ネットワークセキュリティ協会(JNSA)は中小企業のCISOやセキュリティ担当が業務を執行する時に、経営陣と適切はコミュニケーションを進めるうえで明確にすべき項目と内容を例示した資料、「MY CISO ハンドブック テンプレート」を公開しました。
JNSAでは、2018年5月にCISOの業務を支援する「CISOハンドブック」を公開したが、CISOやセキュリティ責任者が決まっていない中小企業向けとはなっていなかったため、あらたに資料を追加しました。内容としては、現状や運用状況の把握、経営陣への報告におけるポイントを取りまとめ、事件や事故において最低限求められる対応手順についても解説しています。
本資料の内容を自組織に則した内容に読み替えることで、組織の現状や方針を取りまとめる際に役立つと考えられます。「MY CISCOハンドブックテンプレート」は下記のリンクよりアクセスできます。
<参考>https://www.jnsa.org/result/2019/act_ciso/index.html
MS、月例パッチが公開― 脆弱性79件を解消、一部でゼロディ攻撃が発生
▶︎ 2019年9月11日、マイクロソフト社は9月の月例セキュリティ更新を公開しました。今回のアップデートでは、「Windows」や同社ブラウザ「Internet Explorer」「Microsoft Edge」をはじめ、「ChakraCore」「Office」の脆弱性に対応し、「Microsoft Exchange Server」「Team Foundation Server」「Microsoft Yammer」「Microsoft Lync」「Visual Studio」「.NET Framework」「.NET Core」「ASP.NET」「Project Rome」の脆弱性を解消しました。
また、今回修正された脆弱性のうち、「Windows」における「ws2ifsl.sys」のメモリ処理の脆弱性「CVE-2019-1215」や、「Windows共通ログファイルシステム(CLFS)」のドライバに関する脆弱性「CVE-2019-1214」については、情報が公開されていないが、すでに悪用が確認されていると言われています。
今回のパッチに関する詳しい情報は下記のリンクから確認できます。
<参考>https://msrc-blog.microsoft.com/2019/09/10/201909-security-updates/
フィッシング報告、5000件越で過去最多
▶︎ 2019年9月3日、フィッシング対策協議会がリリースしたフィッシング報告状況により、フィッシングの報告件数の増加傾向が続いています。8月に寄せられたフィッシングの報告件数は5577件で、6年ぶりに4000件台を記録した7月からさらに増加し、初の5,000件台をとリました。
また、フィッシング攻撃に悪用されたURLは2111件で、調査開始以来、はじめて2000件を超えた前月の2189件からわずかに減少したものの、引き続き2000件オーバーの高い水準で推移しています。
なお、フィッシングの手口としては、件名や文面を使い回したフィッシングメールを大量に流通する他、件名や文面、URLなどを少しずつ変化させ、小規模に送信する手口も増えているようです。インターネット上で検索しても類似例が見つからない可能性もあるほど、それぞれの流通量が少ないので、メール内に記載されたリンクからはアクセスを避け、正規のアプリやブックマークしたURLから各種サービスへアクセスするようご注意ください。
フィッシング報告書は下記のリンクから確認できます。
<参考> https://www.antiphishing.jp/report/monthly/201908.html
最新のセキュリティニュースを入手する方法
エドコンサルティングは以下のメディアで最新のセキュリティニュースを配信しています。ぜひご登録ください。
メールマガジン
▶︎ https://edoconsulting.co.jp/mailmagazine/
Facebookページ
▶︎ https://www.facebook.com/edoconsulting/