クラウド侵害、盗難ラッシュ?

サイバー犯罪なんて無関係で今回のことも関係ない私が言うのも何ですが

なんとなく

これすごくやばい。

日本マズい。と思うのに世間がスルーしているニュースがあり、それは

グーグル本体が被害にあった、というもの。
しかもキーワード、セールスフォースです。最も普及している顧客管理システムのひとつで、それを使って悪さをしているというので。

 

今年6月以降のハッカー集団による犯罪の様相が変わってきたようです。

Forbes 

グーグル本体へのハッキング被害が発生──ユーザーデータが侵害された

すごく簡単に記事になってますが


なんとハッカー集団による犯罪が進化してるといってもツールが『トロイの木馬』 だった?技術的に高度じゃなくても出来てしまうではないですか、という意味で非常にマズいと感じた。


 グーグルが被害、であればすべての会社が脅威に迅速に対応する必要がありますよね?

「クラウドセキュリティにおける責任共有モデルの重要性」

とGoogleのブログは述べている。


ド素人ならわかるけど大手企業のシステム担当まで?と疑問符がつく。
でも、本人の声が見分けられないと したら・・・

日本政府はコロナ以降デジタル化を急激な猛スピードで中小企業に課すような状況ですが、わけもわからず導入した中小企業経営者が多く、個人事業主は業者に任せっきりで丸投げしてたりする。


そして、日本という国はさまざまな申請手続きで 直接的、間接的に法人や企業、団体にセールスフォースを使わせているのです。
(ユーザーや申請者はまったく気がつかないかも知れませんが )

グーグルが被害にあうのですから、サイバー空間、何も信用できません。 

だから防御をしなくてはですよ。


(今回の攻撃者はまず従業員に電話をかけ、組織のITスタッフを装います。従業員に「データローダー」と呼ばれるSalesforceアプリケーション(大量データ処理用)をインストールさせますが、これは実際にはトロイの木馬で、攻撃者に顧客環境へのアクセスを与える改造版)




ここ数カ月で世界の大手企業
アディダス、パンドラ、アリアンツ、ティファニー、ディオール、ルイ・ヴィトン。


これらの事件には共通する「犯行声明」があるようです。


 中には、カンタス航空のように、「顧客データを扱うプラットフォーム」という曖昧な表現しかしていない企業もあります。一方、シスコのように、サードパーティの顧客関係管理(CRM)プラットフォームと具体的に言及した企業もあります。


これら全てに共通するものが明らかになり、

Salesforce
とのことですが、、お気の毒にも。 

(日本。

この国も真っ青のはずなんですが... 

デジタル庁 対策が大変なはず)



 Googleは数多くの被害を受けて

・6月4日、

Googleの脅威インテリジェンスグループが支援に乗り出しました。
犯行は悪名高いShinyHuntersと関係するようです。

グーグルはUNC6040という、
サイバー犯罪グループについてのブログ記事を公開しました。
 
・Salesforceを標的にして使っている最新の戦術・技術・手順(TTP)、特に高度なビッシング(音声詐欺)について詳述しています。記事の最後には、このような攻撃から守るためのガイダンスも掲載されました。


 ・その同じ月に、攻撃者はGoogle自身を侵害した。 

という流れのようです。

任共有モデルの重要性を強調しています」とGoogleのブログは述べています。



ソーシャルエンジニアリングの脅威に対抗するために、SalesforceセキュリティガイドとGoogleは、以下の主要な対策・強化策を推奨しているようです。


 ・特にデータアクセスツールに関しては、最小権限の原則を遵守すること
 
 ・接続アプリケーションへのアクセスを厳格に管理すること


 ・IPベースのアクセス制限を徹底すること


 ・Salesforce Shieldによる高度なセキュリティ監視とポリシー強制を活用すること


 ・多要素認証(MFA)を全体で徹底すること

 ※ですが、人為的に担当者を装ってプログラムをインストールさせるという方法だと、従業員個人のスペックが重要なので危機的な状況かも知れない。わかりやすく言うと、

例)雇った某国のスパイ事務員が座っているとして、そこに本社システム担当と名乗るものから電話がかかってきて、よくわからないけどアカウントあるので使ってるし言われるままに何かをインストールしました。➡データ抜かれてしまう
みたいな。 


優遇措置を使ってぎょうさん入国させて就職させて、雇ったら補助金まで出す。わが国でスタンバイしてる可能性があるので、これ以上中小企業を壊されないよう対策をお願いしますね。


※8/17追記
手口として他にも考えられるのは、連絡が来て電話に出た人を誘導するのはたとえばシステム担当ではなく、外部の人間かも知れない。

不景気で企業は売上が急激に落ちさまざまな支援金関係に申請をするかも知れません。そのために前述のオンラインシステムのアカウントを作成・ 申請後、その申込窓口を装って電話がかかってくる。不備や追加の操作としてプログラムをインストールさせる (トロイの木馬)ということも。。。
想定できるケースはたくさんあるのでやっかいです。

生成AI使った声のコピーで電話がかかってくる時代。

PCを使うシステムまわりを何でも外注、丸投げ業務委託している会社はトラブルにあわないように回避していただきたい。

 

© 2024 https://flowyoga.webnode.jp/
Powered by Webnode
無料でホームページを作成しよう! このサイトはWebnodeで作成されました。 あなたも無料で自分で作成してみませんか? さあ、はじめよう