半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ[セキュリティ]


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥・・
【ITmedia エンタープライズ メールマガジン 水曜日版:セキュリティ】2024.10.30
━━━━━━━━━━━━━━━━━━━━━
http://www.itmedia.co.jp/enterprise/subtop/security/

ITmedia エンタープライズ&ニュースメール水曜日版では、サイバー攻撃などの脅威
に関する最新動向や情報セキュリティ対策に役立つコンテンツをお届けしています。


====================================
【Amazonギフトカードが当たる】アンケートへのご協力のお願い
お勤め先ではアプリケーション開発やシステム運用を自社で実施する「内製化」に取
り組まれていますか。また、ノーコード/ローコード開発ツールは利用されています
でしょうか。
回答いただいた方の中から抽選で3名の方に【Amazonギフトカード(500円分)】
をプレゼントします!
▼ 回答はこちらから
https://rd.itmedia.co.jp/7IIv
====================================
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
╋担当者より
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
「FortiManager」アプライアンスのゼロデイ脆弱(ぜいじゃく)性「CVE-2024-47575
」の調査結果が公開されています。JPCERT/CCからも日本語であらためて注意喚起が
発表されている脆弱性で、脅威アクターの詳細が含まれている重要な情報です。ネッ
トワーク機器の脆弱性は重要度も高く、攻撃者よりも素早い動きが必要となります。
まずは各種ドキュメントに目を通し、対応の準備を進めてみてください。

■FortiManagerにゼロデイ脆弱性、悪用を確認済み MandiantとFortinetが共同調査
https://rd.itmedia.co.jp/7IIh

もう一つ気になる記事は「QRコードを使ったフィッシング」に関連するものです。か
なり昔から危険であるとされてきた、二次元バーコードによるフィッシングはブロッ
クが困難であり、“気付け”というのも難しい典型的なパターンの攻撃と言えるで
しょう。モバイル系OS標準の二次元バーコードリーダーは、タップする前にドメイン
名だけ表示するようになっています。まずはここをチェックすることが重要です。加
えて、二次元バーコードを使用した印刷物を発行する部署は、フィッシングを疑われ
ないよう、そのドメインを自社のものにしておくことが重要です。二次元バーコード
の作成部分については情報システム部の目が行き届かない可能性が高いです。バー
コード作成を行う時にはほんの少し、フィッシングの可能性を考えてほしいとは思い
ますが……。

■フィッシング×QRコードが融合した“クイッシング”は何が危ないのか?
https://rd.itmedia.co.jp/7IIk

                          (編集部 宮田)

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
╋エンタープライズセキュリティの注目記事(2024/10/23〜2024/10/29)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
https://rd.itmedia.co.jp/7IIe

■Windowsをダウングレードさせて既知の脆弱性を悪用する方法 SafeBreachが公開
https://rd.itmedia.co.jp/7IId

■8万以上のWebサイトで使われている人気WordPressプラグインに深刻な脆弱性
https://rd.itmedia.co.jp/7IIp

■AI投資の増加によって、なぜ組織のセキュリティは弱体化するのか?
https://rd.itmedia.co.jp/7IIo

■FortiManagerにゼロデイ脆弱性、悪用を確認済み MandiantとFortinetが共同調査
https://rd.itmedia.co.jp/7IIs

■企業の約8割が「未使用の過剰な権限」を保有 Tenableが指摘するクラウドリスク
https://rd.itmedia.co.jp/7II9

■アカウントを奪われたら“打つ手なし”? イランの攻撃者の“巧妙すぎる手口”
https://rd.itmedia.co.jp/7IIn

■CISAらが製品セキュリティガイド案を公開 メモリ安全性の高い言語の使用を呼び
かけ
https://rd.itmedia.co.jp/7IIg

■Rubrikが、Microsoft 365 Copilotの導入を支援 データガバナンスの新製品を
発表
https://rd.itmedia.co.jp/7IIj

■「責任ばかり増えて大変すぎ」 CISOの5人に4人以上が役割の再定義を求めている
https://rd.itmedia.co.jp/7IIu

■データ侵害への対処コストは高騰 今こそ知りたい正しい“セキュリティ投資のス
スメ”
https://rd.itmedia.co.jp/7IIa

■セキュリティにおける最重要課題とは何か? 約9割が回答した“アレ”
https://rd.itmedia.co.jp/7IIl

■CLOMOに主要OS向け複数の新機能 ユーザーミーティングで聞いた“現場の声”
https://rd.itmedia.co.jp/7IIc

■フィッシング×QRコードが融合した“クイッシング”は何が危ないのか?
https://rd.itmedia.co.jp/7IIr

■GMO-IGのプライベートSOCリーダーが語る、外部SOCとの上手な付き合い方
https://rd.itmedia.co.jp/7IIi

■FortiManagerに未公開の重大な脆弱性 一部の顧客に先行警告か
https://rd.itmedia.co.jp/7IIq

■VMware、vCenter Serverの重大な脆弱性に対応 回避策はなし
https://rd.itmedia.co.jp/7IIf

■Pythonに潜むゼロデイ脆弱性を発見? LLMを活用したツール「Vulnhuntr」とは
https://rd.itmedia.co.jp/7IIm

■Oracleが最新セキュリティパッチを公開 334の脆弱性に対処
https://rd.itmedia.co.jp/7IIt

■サイバートラストがEnterprise Pack for AlmaLinuxを発表 SBOMへの対応
コストを削減
https://rd.itmedia.co.jp/7IIb

==TechTarget [PR]-----------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………・・・
★TechTargetジャパンのお薦めセキュリティ記事をピックアップしてお知らせします
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………・・・

■ 「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない
https://rd.itmedia.co.jp/7HEe

■ ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ
https://rd.itmedia.co.jp/7HEN

■ Copilotが危ない? 生成AIから「認証情報が盗まれる」手口が明らかに
https://rd.itmedia.co.jp/7HES

■ ホワイトハッカーのスキルを習得できる「セキュリティ認定資格」はこれだ
https://rd.itmedia.co.jp/7HEB

■ 採用面接で「セキュリティの専門知識」を問われたら“あの用語”を語るべし
https://rd.itmedia.co.jp/7HEu

--------------------------------------------------------------------------==