#Infosec2025: CISOsが進化するクラウド脅威に先んじる方法 クラウド環境はサイバー脅威アクターにとって収益性の高い標的となっており、このテーマは近日開催のInfosecurity Europeカンファレンスで専門家によって議論される予定です。 調査によると、現在ではデータ侵害のほぼ半数がクラウドで発生しており、過去1年で組織の80%がクラウドセキュリティ侵害を経験しています。 これは、効率向上のために組織が主要なアプリケーションとデータをオンプレミスからクラウド環境へ移行していることが要因です。 しかし多くの場合、この移行を踏まえてセキュリティ戦略が進化しておらず、クラウドサービスプロバイダーにセキュリティ責任を委ねていると考える組織もあります。 ただし、共有責任モデルの下では、データ保護の責任は顧客側に残ります。 こうした傾向の中で、クラウドベースの脅威は規模と高度さを増し、手法も継続的に変化しています。 セキュリティリーダーが現在のクラウド脅威の状況を理解し、組織を深刻な侵害から守るための中核的な優先事項を把握することが極めて重要です。 攻撃者は現在どのようにクラウドを狙っているのか セキュリティ専門家はInfosecurityに対し、脅威アクターが現在クラウドを標的にする主な手法についての見解を共有しました。 脆弱性の悪用 Orca Securityのセキュリティリサーチ責任者であるBar Kaduri氏は、毎年公開される新たな脆弱性の数が増加し、セキュリティチームがパッチ適用に追いつけない中で、脆弱性の悪用がクラウドにおける最大の攻撃ベクターであると述べました。 「私たちは、インターネットに公開された放置資産――未パッチの脆弱性が多数あり、サポート終了のOS上で稼働している、あるいは長期間更新されていない資産――を抱える組織が増えているのを見ています。昨年は組織の81%がこうした資産を稼働させていましたが、今年は89%です」とKaduri氏は指摘しました。 クラウドサービスプロバイダーCloudflareのEMEA担当Field CTOであるChristian Reilly氏はInfosecurityに対し、Cloudflareは過去1年でクラウドにおけるゼロデイ欠陥の悪用を試みる動きが増加していることを観測しており、公開後に攻撃者がこれらの脆弱性を狙うスピードが速まっていると述べました。 非人間（ノンヒューマン）認証情報の侵害 研究者は、クラウドにおける認証情報侵害の増加も観測しています。特に、APIキー、OAuthトークン、クラウドプロバイダーのアクセストークンなど、機密リソースへのプログラム的アクセスを許可する非人間の認証情報が対象です。 多くの場合、こうした認証情報の侵害は偶発的な露出によって可能になります。 BitdefenderのテクニカルソリューションディレクターであるMartin Zugec氏は次のように述べています。「攻撃者はGitHubのような公開コードリポジトリを積極的にスキャンし、誤ってコミットされたこれらの認証情報を探します。見つかった認証情報は、不正アクセス、データ流出、リソース操作に利用され、従来の認証メカニズムを回避できます。」 Zugec氏はさらに、攻撃者が高度なスクリプトやボットを活用して、露出したシークレットの特定を高速化していると付け加えました。 非人間のIDの保護は、クラウドにおける懸念事項として拡大しています。Kaduri氏は、APIキーやサービスアカウントなどのIDが、現在は人間のIDに対して50対1の割合になっていると指摘しました。 この規模のIDを組織が管理・維持するのは困難であり、侵害や、218のGitHubリポジトリに影響したtj-actions攻撃のようなサプライチェーン攻撃のリスクを高めます。 クラウドの設定不備の悪用 クラウドシステム設定の不適切な構成は、引き続きこれらの環境での侵害の一般的な原因となっています。設定不備とは、クラウドシステムにおける誤りや不正確な設定であり、データを公開状態にしてしまったり、不正アクセスを可能にしたりする脆弱性を生み出します。 Reilly氏は「Cloudflareは、公開されたS3バケット、保護されていないKubernetesクラスター、露出したAPIを狙う攻撃の増加を観測しています」とコメントしました。 脅威アクターがクラウドの設定不備を悪用する方法の一つが、DDoSボットネットの開発です。 Cloudflareは、ますます大規模化するDDoS攻撃を検知しており、その多くは乗っ取られた、または設定不備のある脆弱なクラウドインスタンスに由来していました。これには、同社が2024年10月に緩和した記録的な5.6TbpsのDDoS攻撃も含まれます。 Reilly氏は「消費者向けデバイスに依存する従来型ボットネットとは異なり、現代のボットネットは侵害されたクラウドワークロード上に構築されることが多く、その結果、攻撃者により大きな帯域幅と計算能力を提供します」と説明しました。 進化するソーシャルエンジニアリング・キャンペーン クラウドアカウントの侵害を狙うソーシャルエンジニアリング攻撃も急増しており、フィッシング、ビッシング、スミッシングといった手法が広く見られます。 "「消費者向けデバイスに依存する従来型ボットネットとは異なり、現代のボットネットは現在、侵害されたクラウドワークロード上に大部分が構築されている」" 攻撃者は、多要素認証（MFA）などの防御を回避するため、これらの手法をより巧妙化させています。

#Infosec2025: CISOsが進化するクラウド脅威に先んじる方法

クラウド環境はサイバー脅威アクターにとって収益性の高い標的となっており、このテーマは近日開催のInfosecurity Europeカンファレンスで専門家によって議論される予定です。 調査によると、現在ではデータ侵害のほぼ半数がクラウドで発生しており、過去1年で組織の80%がクラウドセキュリティ侵害を経験しています。 これは、効率向上のために組織が主要なアプリケーションとデータをオンプレミスからクラウド環境へ移行していることが要因です。…

#Infosec2025: NCC Groupの専門家が英国企業にサイバーセキュリティおよびレジリエンス法案への備えを警告 欧州の組織は、EUと英国の双方から押し寄せるサイバーセキュリティ関連法制の波に直面しようとしています。 EUでは、技術関連法制のロードマップは比較的明確で、更新版ネットワーク・情報システム指令（NIS2）、デジタル運用レジリエンス法（DORA）、サイバーレジリエンス法（CRA）、AI法など、関連する規則・法律の大半はすでに採択されています。 英国では、今後予定されている2つの技術関連法については依然として不明な点が多く、フロンティアAIモデルの規制に焦点を当てる可能性が高いAI法案と、サイバーセキュリティおよびレジリエンス法案が含まれます。 NCC Groupで政府渉外・アナリストリレーションズ部門の責任者を務めるカタリーナ・ゾマーは、同社の最新Global Cyber Policy Radarに寄稿しました。これは、2025年4月に公表されたサイバーセキュリティ規制動向に関するレポートです。 ゾマーは、開催予定のInfosecurity Europe 2025カンファレンスでスピーカーパネルに参加し、欧州で今後予定されている法令および施行済みの法令の一群と、それが英国およびEU拠点の企業にとって何を意味するのかを評価します。 「迫り来る法制の津波を明確化」と題されたセッションは、6月4日（水）13:55（英国夏時間）に開催されます。ゾマーと共に登壇するのは、Clifford Chanceのグローバル・テック・グループ共同議長であるジョナサン・キューリーです。 サイバーセキュリティおよびレジリエンス法案：NIS2に対する英国の対応 Infosecurityの取材に対しゾマーは、サイバーセキュリティおよびレジリエンス法案は、2024年7月に発表され、新たな労働党政権の発足を告げる国王演説の一環として示されたもので、EUのNIS2に対する英国の対応と見なすことができると述べました。 現時点では法案の詳細は乏しいものの、ゾマーは英国の組織は、いかなる遵守（コンプライアンス）または執行の期限よりも前に、「サイバーセキュリティプログラムに求められる変更について考え始めるべきだ」と述べました。 例えば、アナリストは、この法案によりNIS1と比べて対象となるセクターや英国経済の領域が拡大し、マネージドサービスプロバイダー（MSP）、重要サプライヤー、さらに容量1MW以上（またはエンタープライズデータセンターでは10MW以上）のデータセンターが含まれる可能性があると見込んでいる、と彼女は述べました。 法案に関する2025年4月の更新情報で、英国政府は、同法案が英国の1000組織に適用される見込みであると述べました。 また彼女は、この法案が技術要件およびセキュリティ要件の更新を導入し、重大な影響を及ぼし得るインシデントの捕捉や報告期限の更新を含め、インシデント報告を改善するはずだとも示唆しました。 さらに彼女は次のように付け加えました。「法案が議会に提出されるまでは、どのような詳細が盛り込まれるかは分かりません。ただし、セキュリティ要件がサイバー評価フレームワーク（CAF）の規定を反映するだろうというのは、十分根拠のある推測です。CAFや他の標準・ガイダンスへの参照を含めるのか、それとも一次法（基本法）としてどこまで詳細に規定するのかについては、引き続き議論があります。」 加えて、この法案は英国の担当大臣（Secretary of State）により大きな権限を付与するはずです。 「詳細はまだ待たれるところですが、組織のサイバーレジリエンスのアプローチ、対策、プログラムに対して、より直接的な介入が行われる前兆となる可能性があります」とゾマーは示しました。 最後に彼女は、対象となる組織は、脅威状況の可視性を高めることを目指す英国政府からのものを含め、情報共有の改善から恩恵を受け得るとも考えています。 今後の法制に備えたい英国のあらゆる組織に対し、政府の計画と意図の良い概要が含まれているとして、英国科学・技術・イノベーション省（DSIT）のポリシーステートメントを読むことを彼女は推奨しました。 「DSITは、提案の最終的な詳細を詰めている最中であり、年内、おそらく秋に、法案を議会に提出する意向だと理解しています」と彼女は付け加えました。 国境をまたぐセキュリティ要件の重複と衝突の可能性 ゾマーはInfosecurityに対し、特に英国とEUの双方で事業を行う組織にとって、国境を越えて相反する要件に直面する可能性があるため、コンプライアンスに関して多くの疑問が未解決のままだと語りました。 NIS2と英国のサイバーセキュリティおよびレジリエンス法案の適用範囲の相違の可能性（例：マネージドサービスプロバイダー） NIS2とサイバーセキュリティおよびレジリエンス法案のセキュリティ要件の相違の可能性（例：対象事業体におけるサイバーインシデント報告のタイムライン） サイバーセキュリティおよびレジリエンス法案における金融セクター向けの特定規定の可能性（DORAの規定との衝突の可能性につながる） NIS2とサイバーセキュリティおよびレジリエンス法案の間で起こり得る衝突について、ゾマーは次のように述べました。「対象となる組織、特に国境をまたいで事業を行う組織は、コンプライアンス対応を可能な限り効率化するため、2つの規制体制間の調和と整合を求める主張をすでに行っています。」 Infosecurity Europeでサイバー規制動向をさらに学ぶ サイバーセキュリティ規制コンプライアンスの複雑化は、今回のInfosecurity Europeの主要テーマとなります。参加登録はこちらから行い、サイバー政策の専門家から最新動向を確認してください。 全プログラムはこちらで閲覧できます。 2025年のイベントはInfosecurity Europeの30th周年を記念し、2025年6月3日～5日にロンドンのExCelで開催されます。 翻訳元:

#Infosec2025: NCC Groupの専門家が英国企業にサイバーセキュリティおよびレジリエンス法案への備えを警告

欧州の組織は、EUと英国の双方から押し寄せるサイバーセキュリティ関連法制の波に直面しようとしています。 EUでは、技術関連法制のロードマップは比較的明確で、更新版ネットワーク・情報システム指令（NIS2）、デジタル運用レジリエンス法（DORA）、サイバーレジリエンス法（CRA）、AI法など、関連する規則・法律の大半はすでに採択されています。…

#Infosec2025: VEC攻撃、エンゲージメントを促すうえで驚くほど効果的 Abnormal AIによる新たな調査によると、ベンダー・メール侵害（VEC）攻撃はますます効果を高めており、エンゲージメント率は「憂慮すべきほど高い」という。 Infosecurity Europe 2025の期間中に公表されたこの調査では、EMEA地域においてVECメッセージがビジネスメール侵害（BEC）を上回ったことが明らかになった。 EMEAでは、VECメッセージに対する第2段階のエンゲージメント率が47.3%で、BECのエンゲージメントを90%上回った。さらに、再エンゲージメントはBECの2倍以上だった。 エンゲージメントとは、最初のメールを読んだ受信者が行うフォローアップ行動を指し、返信やメッセージの転送などが含まれる。 また報告書は、EMEAの組織は全地域の中でVECの報告率が最も低く、0.2%だったことも示した。対照的に、BECの報告率は4.2%で最も高かった。 また、BECに対する第2段階のエンゲージメント率も最も低く（24.7%）だった。 VECとBECはいずれも、見慣れた身元を悪用して従業員をだまし、偽の請求書の支払いをさせたり、不正な電信送金を開始させたりする点で共通している。 しかしBECと異なり、VEC攻撃ではなりすまされる人物は、パートナーやサプライヤーなどの外部の第三者である。 BECでは、攻撃者は通常、CEOなど経営陣の上級メンバーになりすます。 EMEAと比べると、APAC（40.2%）および北米（44.4%）ではVECのエンゲージメント率がわずかに低かった。世界平均は44%だった。 しかし、これら2地域はBEC攻撃に対してははるかに関与しやすかった。 研究者らは、この傾向は、より階層的な職場の力学といった文化的要因の結果である可能性があると述べた。つまり、権威に基づく要求（BECの特徴）に従業員が応じる可能性が高いということだ。 地域別のVECおよびBECエンゲージメント。出典：Abnormal AI 12か月の観測期間にわたり、攻撃者はVECを通じて3億ドルを盗もうと試みた。 研究者らは、この結果は、特に既知のベンダーから来たように見えるメールの場合、従業員が正当なメッセージと攻撃を区別するのにしばしば苦労していることを示していると述べた。 Abnormal AIのCIOであるマイク・ブリットン氏は次のようにコメントした。「VECの件数はフィッシングやランサムウェアより少ないものの、その成功率と潜在的な金銭的影響ははるかに大きい。特に、武器化されたAIによって、攻撃者が信頼されたベンダーになりすますことがこれまで以上に容易になっている。」 同氏はさらにこう付け加えた。「高額な人的ミスを防ぐために、組織は事後対応的なトレーニングにとどまらず、脅威が受信箱に届く前に遮断する先回りの防御を採用しなければならない。」 この調査を実施するにあたり、研究者らは、読まれた攻撃のみを用いてデータを標準化し、件数を変数から除外することで、インシデント頻度ではなくユーザー行動に基づいて結論を導けるようにした。 業界および組織による差異 Abnormalの報告書は、VECのエンゲージメント率が組織規模の拡大とともに上昇することを明らかにした。 従業員数が5万人以上の最大規模の組織では、72.3%のケースで追加の行動が取られていた。 対照的に、従業員500～1000人の組織では、エンゲージメント率は24.2%だった。 大規模組織がVEC攻撃により脆弱である理由の一つは、利用するサードパーティベンダーの数が多いことかもしれない。つまり、第三者からのメール連絡を受け取ることに慣れているため、なりすましを検知しにくくなる。 組織規模別のVECエンゲージメント。出典：Abnormal AI VECのエンゲージメント率が最も高かった業界は通信で、71.3%だった。 研究者らは、通信企業はサービス提供のために、ベンダー、再販業者、インフラ提供者、テクノロジーパートナーからなる複雑なネットワークに依存していると指摘した。 さらに、通常は地理的に分散した大規模チームを抱えている。 これにより、社内チームと外部パートナー間の調整において、メールがとりわけ重要なチャネルとなる環境が生まれる。 次いでVECのエンゲージメント率が高かった業界は、エネルギー・公益事業（56.2%）、ホスピタリティ（55.6%）、持株会社（53.6%）、建設／エンジニアリング（53.5%）だった。 翻訳元:

#Infosec2025: VEC攻撃、エンゲージメントを促すうえで驚くほど効果的

Abnormal AIによる新たな調査によると、ベンダー・メール侵害（VEC）攻撃はますます効果を高めており、エンゲージメント率は「憂慮すべきほど高い」という。 Infosecurity Europe 2025の期間中に公表されたこの調査では、EMEA地域においてVECメッセージがビジネスメール侵害（BEC）を上回ったことが明らかになった。…

#Infosec2025: 量子移行を容易にするため、ベンダーにより多くを求めよ――専門家 本日開催されたInfosecurity Europeの初日、パネルディスカッションでは、暗号学的に意味のある量子コンピューター（CRQC）の実用化までの時間が迫る中で、政府および組織が直面する課題について議論が交わされた。 これらのマシンは非対称暗号を破る能力を持ち、その結果、世界の多くが依存している金融取引、機密データ、セキュアな通信が露呈することになる。 パネルは、これは解決可能な問題ではあるものの、多くの組織、とりわけサプライチェーンのパートナーにおいて、依然として十分に深刻に受け止められていないと主張した。特に長期間保管する必要がある秘密情報については、耐量子暗号（PQC）への移行に向けた取り組みを今すぐ開始する必要があるという。 「長期間にわたる秘密情報があるなら、今すぐ本気で考えるべきです。あるいは何年も前から考えていて、計画を持っているべきでした」とLastwallのCEO、Karl Holmqvist氏は述べた。「『それは後で対処する』と言う人に出会うのは、やや懸念があります」 量子の脅威についてさらに読む: 量子コンピューティングがセキュリティをどう変えるか Santanderのサイバーセキュリティ研究グローバル責任者であるDan Cuthbert氏は、移行を支援してもらうために、CISOはベンダーにより多くを求めるべきだと主張した。 「外部のベンダーすべてに対して、PQCへの準備状況がどうなっているかを尋ねてください」と彼は聴衆に促した。「顧客として、これらのベンダーに『ロードマップは？』『いつ実現するのか？』『PQCに対応できているのか？』と問い始める必要があります。私たちは製品主導なのだから、コストは彼らに負担させるのです」 LastwallのHolmqvist氏はさらに踏み込み、顧客は、ソフトウェア部品表（SBOM）を求めるのと同様に、ベンダーに暗号部品表（CBOM）を要求すべきだと主張した。 「［こう伝えるのです：］あなたの製品スタックで使われている暗号の一覧を見せてください」と彼は促した。「そして『まだなら、いつ準備できるのか？』と尋ねるのです」 IBMのクラウド・リスクおよびコントロールのリーダーであるAnne Leslie氏は、サプライチェーンや業界において、かつての競合相手同士が「集団的な行動を通じて、各社が個別に持つ知見を補強する」ために協力し始めていると指摘した。 彼女はさらにこう付け加えた。「実務家として前進の糸口がつかめずに苦労しているなら、大きな前進を遂げているこうしたグループに加わってください」 Leslie氏はまた、規制がCISOにとって、取締役会レベルで投資の必要性を訴える助けになり得ると主張し、NIS2とDORAはいずれも、準拠する組織に対して、脅威の進化に合わせて暗号を継続的に維持・強化することを求めていると述べた。 「人々はそこに注意を払っていませんが、確かに書かれています。少なくとも取締役会メンバーは注意を払うべきです」と彼女は付け加えた。「場合によっては、規制は実際に味方になり得ます」 次に何が起こるのか？ CISOが耐量子コンピューティングのプロジェクトのための資金確保に成功した場合、最初に着手すべき最善のことは、企業の「クラウンジュエル」（最重要資産）がどこにあり、何であるかを理解することだと、LastwallのHolmqvist氏は述べた 「人々は本当に厳しく見直して、『もし失われたら当社が沈む情報は何か？』と問う必要があります。驚くほど多くの企業が、明確なリストを実際には持っていません」と彼は主張した。 第2段階は、トラフィックフローの分析やベンダーへのCBOM要求を含め、組織内で暗号がどのように使われているかを監査することだと、SantanderのCuthbert氏は主張した。 翻訳元:

#Infosec2025: 量子移行を容易にするため、ベンダーにより多くを求めよ――専門家

本日開催されたInfosecurity Europeの初日、パネルディスカッションでは、暗号学的に意味のある量子コンピューター（CRQC）の実用化までの時間が迫る中で、政府および組織が直面する課題について議論が交わされた。 これらのマシンは非対称暗号を破る能力を持ち、その結果、世界の多くが依存している金融取引、機密データ、セキュアな通信が露呈することになる。…

#Infosec2025 クラウドネイティブ技術が新たなセキュリティ手法を促す クラウドネイティブ技術への移行は、企業がアプリケーションを開発し、セキュリティを管理する方法を変えつつある。 Infosecurity Europe 2025の登壇者によれば、モダンなアーキテクチャにより、企業は物理的なインフラなしで、より小規模なIT・セキュリティチームでも運用できるようになっている。同時に、クラウドネイティブ技術は企業の柔軟性を高め、優秀な開発者を惹きつけ、定着させやすくした。 ジョナサン・リーは、アプリを通じて貯蓄・投資サービスを提供する英国拠点のフィンテック企業Moneyboxのエンジニアリング・ディレクターだ。Moneyboxは150万人の顧客を抱え、独自の投資プラットフォーム「Sycamore」を運用している。 サーバーなし、すべてクラウド リーによれば、Moneyboxには「サーバーがない」。同社はクラウドインフラ上で完全に稼働しており、主にMicrosoft Azureを利用し、接続性とセキュリティのためにCloudflareを併用している。 「目標は、インフラの複雑さを、その分野で最も優れた企業にアウトソースすることでした」と彼は参加者に語った。 「それが、その技術を作り上げた人たちなのです。」 これにより、Moneyboxはスリムに立ち上げ、スリムなままでいられた。 「常に安全で信頼性の高い、世界トップクラスの技術があります。それを非常に小さなインフラチームで実現できました」とリーは述べた。 「事業開始から最初の6年間、Moneyboxにはインフラエンジニアが一人もおらず、開発者が必要なIT資産をクラウドから直接呼び出せました。」 「3つ目の利点は、巨大なリスク源を排除できたことです」と彼は続けた。 「リスクとコストを排除し、私たちには適用されないツール群が大量にあります。」 クラウド専用であることは、従業員の働き方の柔軟性も支える。これは、CloudflareのWARPを用いて、オフィスでも在宅でもモバイルワークでも、一貫した安全な接続性を提供することにも及ぶ。 「私たちはハイブリッドで、英国と欧州で在宅勤務している人がいます」とリーは述べた。 「自宅でもオフィスでも、接続に対して同じアプローチを取っています。」 中核原則としての自動化 Vodafoneでは、クラウドネイティブ運用により、通信事業者の開発チームはインフラ管理ではなく、顧客向けサービスの提供に集中できる。 最高クラウド製品責任者のアルフィー・ディーンは、これを通信アプリケーションのフルスタックを稼働させられる社内の「telecoms-as-a-service（通信のサービス化）」だと説明する。これにはサーバー、ゲートウェイ、さらにはKubernetesクラスターまで含まれる。 目標は、可能な限り自動化することだと彼は言う。 「自動化は中核原則です」とディーンは述べた。 「手作業の設定や統合から離れ、クラウドへのデプロイへと、すべてを“左にシフト”したかったのです。」 Vodafoneは、Terraformを管理ツールとして用い、インフラストラクチャ・アズ・コード（IaC）で技術プラットフォームを運用している。これは生産性だけでなく、セキュリティ面でも利点がある。 「標準テンプレートを作成し、それがセキュリティとポリシーの観点から“ゴールデンパス”を生み出します」とディーンは述べた。 これにより、Vodafone環境にデプロイされる新しいインフラが、同社の標準を満たすことが保証される。 「環境にデプロイするにはコードを使わなければなりません」と彼は付け加えた。 より低レベルのアーキテクチャには一部限定的な例外があるものの、IaCによる標準化は開発者の負荷を軽減し、Webアプリケーションファイアウォールのようなセキュリティ上重要な機能に加え、データベースやコンテンツ配信ネットワークも標準化する。 継続的な攻撃の標的 クラウドネイティブ技術を用いてセキュリティを組み込むことに加え、パネリストたちは、日々の運用を守るためにクラウドリソースをどのように活用しているかも示した。 CloudflareのEMEAフィールドCTOであるクリスチャン・ライリーによれば、同社は世界のインターネットトラフィックの20%と、毎秒約7,000万件のHTTPリクエストを処理している。これにより、インターネットがどのように動いているか、そして潜在的な脅威についての貴重な洞察とインテリジェンスが得られる。 「そのトラフィックの半分以上は、従来のWebサービスではなく、いまやAPI宛てです」とライリーは述べた。 「脅威に関する興味深い情報が多く見えますし、金融サービスは世界的に最も攻撃されている業界です。」 Moneyboxのリーは、自社の運用がパスワードスプレー（パスワードスタッフィング）を含む「継続的な攻撃」を受けていたことを認めた。 「顧客からの人気が高まるにつれて、攻撃者からの人気も高まりました」と彼は述べた。 同社は、異なるIPアドレスで動作するボットネットから「数億回の攻撃」に直面した。これはレート制限のような従来の防御策を逼迫させた。 同社は、IPアドレスに依存するのではなく、攻撃者を発生源で「フィンガープリント」するCloudflareの技術へ移行することで、この脅威に対抗できた。 「そのフィンガープリントがあれば、レート制限をかけられます」とリーは説明した。 「スイッチを切り替えるようなもので、一晩で巨大な問題が完全に何でもない状態になりました。」 #Infosec2025の関連記事を読む：#Infosec2025：エージェンティックAIのセキュリティリスクへの懸念が高まる ただしパネルは、セキュリティ脅威は今後も進化し続ける点で一致した。とりわけAIの存在がその要因となる。AIは利点をもたらす一方で、独自の問題も抱える。 「AIでは、それを製品やサービスにどう適用し、プラットフォーム上でAI機能を有効化するかが重要です」とVodafoneのディーンは述べた。 「私たちはAIと戦うためにAIを使っています。開発者が大規模に自動化できるよう、LLMと統合する能力を構築しています。」 ディーンは、Vodafoneはセキュリティを含む技術ベンダーの選定において、今後も自動化の成熟度を基準にしていくと付け加えた。 翻訳元:

#Infosec2025 クラウドネイティブ技術が新たなセキュリティ手法を促す

クラウドネイティブ技術への移行は、企業がアプリケーションを開発し、セキュリティを管理する方法を変えつつある。 Infosecurity Europe 2025の登壇者によれば、モダンなアーキテクチャにより、企業は物理的なインフラなしで、より小規模なIT・セキュリティチームでも運用できるようになっている。同時に、クラウドネイティブ技術は企業の柔軟性を高め、優秀な開発者を惹きつけ、定着させやすくした。…

#Infosec2025: 影響を与えるには相手を知れ――CISOが同業者に語る CISOらのパネルは、混沌としたサイバー環境をリスク管理で抑え込むことに成功するには、セキュリティリーダーが対象者に合わせてメッセージを絞り込み、適応させなければならないと主張した。 Infosecurity Europe最終日、LexisNexisとRX Globalのセキュリティ責任者たちは、CISOがビジネスの推進役であり、経営層に対するリスクの「翻訳者」でもあるという重要な役割について議論した。 この役割は、AI主導の脅威、内部者リスク、増大するビジネス要求、急速に進化する技術が拡大する環境において、いっそう重要性を増している。 「話す相手に合わせてメッセージを変えていることを確認しなければなりません。リスクオーナーに話すのと、ビジネスリーダーに話すのとでは違ってきます」と、LexisNexis Reed TechnologyのCISO、Maritsa Santiagoは説明した。 「相手が最も受け取りやすい形は何でしょうか。より定性的な情報のほうがよいのか、定量的な情報のほうがよいのか。私たちは、[…] 個々の対象者に合わせて […] 立ち返ることを、もっと上手くならなければなりません。そうすることで、メッセージが確実に届き、聞き入れられるようになります。」 CISOのスキルについて詳しく読む: CISOs Dramatically Increase Boardroom Influence but Still Lack Soft Skills LexisNexis Legal & ProfessionalのCISO、Jeff Jenkinsは、F1のたとえを用いて同じメッセージを強調した。 「F1ビジネスでリスク担当者が『いつもクラッシュしているから、もっとゆっくり走るべきだ』と言っている場面を想像できます。間違った相手に、間違ったタイミングで、間違ったメッセージを伝えているのです」と彼は述べた。 「そうではなく、『どうすれば、より速く走って、もっと勝てるように支援できるか？』であるべきです。対象者を本当に理解しなければなりません。なぜなら、異なる2つの状況で答えが同じになることは決してないからです。」 ElsevierのCISO、John Kellyは、ビジネスの言語を理解することが重要だと付け加えた。 「長年にわたり、私たちは（本来はビジネス側を学ぶべきだったのに）[ビジネスに]サイバーの言語や定量化の側面を教えようとしてきました」と彼は述べた。 Santiagoはまた、コミュニケーションの重要性に加え、CISOの役割におけるデータドリブンな側面に根差すことの重要性も挙げた。 「売り込まなければなりません――影響力を発揮する力は非常に大きい。しかし、求めていることを裏付けるデータを生み出せるだけのスキルセットが、その背後になければなりません」と彼女は述べた。 CISOをビジネスに組み込む 適切な対象者に適切な言葉を使うことは、セキュリティ意識の高い文化を築くうえでも不可欠だとSantiagoは述べた。 「組織全体でセキュリティ意識を高めることは極めて重要です。特に […] 私たち全員が日々フィッシングメールの攻撃を受けている状況では、無知のレベルで生きることはできません」と彼女は説明した。 「私たちが継続してできることの一つは、セキュリティの重要性と、それがなぜ彼らにとって重要であるべきかをビジネスに教育することです。個々人に引き戻して伝えられれば […] 彼らが視野を広げる助けになります。」 組織にとって前向きなリスク管理の成果をもたらすために、CISOはビジネスとの従来のサイロを可能な限り打ち破るべきだと、RX GlobalのCISOであるDes Massicottは述べた。 「私たちは自分たちを別の存在として捉えるべきではありません。そうしてしまうと、常に断絶が生まれます。『シフトレフト』とは、セキュリティチャンピオンからGRC［ガバナンス、リスク、コンプライアンス］、運用まで、あらゆるものを意味します」と彼は述べた。 「私たちは、日々の事業運営の中にできる限り入り込むよう努めるべきです。今日のリーダーは、サイバーインシデントを経験してきた背景を持つため、おそらくその点により強くコミットしています。」 Information Security ForumでCISOのリサーチおよびアドバイザリーを率いるPaul Wattsも同意した。 「私が聞いている助言はこうです。実務家でありながらビジネスの現場で時間を過ごさず、ビジネスを学ばず、ビジネスの声に耳を傾けないなら、混沌とした環境でリスクに対処することは決してできません。なぜなら、あなた自身がその混沌の中に座っているからです。」 翻訳元:

#Infosec2025: 影響を与えるには相手を知れ――CISOが同業者に語る

CISOらのパネルは、混沌としたサイバー環境をリスク管理で抑え込むことに成功するには、セキュリティリーダーが対象者に合わせてメッセージを絞り込み、適応させなければならないと主張した。 Infosecurity Europe最終日、LexisNexisとRX Globalのセキュリティ責任者たちは、CISOがビジネスの推進役であり、経営層に対するリスクの「翻訳者」でもあるという重要な役割について議論した。…

#Infosec2025: CISOが知っておくべきサイバー動向トップ6 今年のInfosecurity Europe 2025では、業界の専門家が一堂に会し、この分野における最新のトレンド、課題、成功事例について議論しました。 以下は、展示会場で専門家と交わした会話の中から、Infosecurity Magazineが特に顕著だと感じた6つの主要トレンドです。 大きな技術的進歩がある一方で、人の行動やアイデンティティ管理といった基本に引き続き注力する必要性が大きなテーマとなりました。 セキュリティリーダーはこれらのトレンドを把握し、自社の戦略がこれらの領域を十分に優先できているかを検討する必要があります。 攻撃者が電話を使って攻撃を開始 ソーシャルエンジニアリングの手口は進化を続けており、脅威アクターは攻撃の起点として、電話を単独で、あるいはメールと組み合わせて用いる方向へと移行しています。 これらは、被害者の認証情報を入手し、標的組織のネットワークへの初期アクセスを得ることを目的としています。 Fleet MortgagesのTechnology & Security DirectorであるErhan Temurkan氏は、Infosecurityに対し、従業員にパスワードのリセットを求めるIT部門を装ったなりすまし電話を特に懸念していると語りました。 こうした詐欺は、ディープフェイク技術の向上によってさらに深刻化しており、詐欺師の声がチーム内の知人とまったく同じに聞こえるようになっています。 このような悪意ある電話は、従来のメールによるフィッシングメッセージと比べて、着信自体を止めるのが困難です。 「フィッシングメールの侵入を止めるためにメールゲートウェイを置くことはできますが、電話は正当な顧客をブロックしたくないので、遮断できることはあまりありません」とTemurkan氏は説明しました。 組織がこうしたメールベースの詐欺を軽減するには、追加の防御層、つまり実質的に自社独自の多要素認証（MFA）を実装することが不可欠です。 Temurkan氏は、社内の個人間で事前に取り決めたフレーズやパスコードなどが考えられると述べました。 アイデンティティは引き続き重要な戦場 調査によれば、認証情報の侵害は、攻撃者が組織に侵入する主要な手段であり続けています。 Infosecurity Europe期間中に公開されたRapid7の調査では、2025年第1四半期の侵害の56%が、多要素認証（MFA）が導入されていない有効なアカウント認証情報の窃取に起因していることが示されました。 Rapid7でEMEA地域のCTOを務めるThom Langford氏は次のように指摘しました。「結局はいつも基本に行き着きます。初期アクセスはユーザー名とパスワードへの攻撃であることが多い。彼らは実に単純に、人をだましてそれを渡させるのです」 これはクラウドで特に一般的な手法です。DarktraceのDirector of ProductであるDr Beverly McCann氏は次のように説明しました。「組織への非常に良い侵入口は、SaaSアカウントを侵害し、権限を昇格させて管理者ロールに到達することです。そうすると機密データにアクセスできるようになります」 この環境では、MFAを導入するだけでなく、それが適切な種類のMFAであることを確実にすることも重要です。 Temurkan氏は、攻撃者が盗んだ情報を利用してSMSベースの二要素認証（2FA）コードを傍受できるSIMスワップ攻撃の増加を懸念していると述べました。 「それは、組織がSMS 2FAから脱却する必要性をさらに高めるだけです。何もないよりはましですが、SIMスワップが増えている中では、そこは実際のギャップになります」とTemurkan氏はコメントしました。 最も強力でフィッシング耐性のあるMFA技術は、Fast IDentity Online（FIDO）標準プロトコルを使用します。これらの選択肢には、生体認証や物理的なセキュリティキーが含まれ、近年は入手しやすくなり、統合も容易になっています。 サイバーセキュリティを「摩擦のない」ものにする必要性 サイバーセキュリティ対策が真に効果を発揮するためには、従業員の業務に悪影響を与えないことが必要です。そうでなければ、実践されにくくなります。 Langford氏は次のように述べました。「セキュリティにおける最大の課題は、私たちが導入するあらゆる防御策が従業員の摩擦を増やしてしまうことだと思います。これは問題です」 したがって、セキュリティリーダーが意思決定を行う際には、ユーザー体験が重要な考慮事項となるべきです。 特にアイデンティティ領域では、生体認証やシングルサインオンなどのパスワードレス認証方式によって、その機会があります。 「追加のコントロールを導入し続けたいのであれば、セキュリティ業界として、セキュリティと使いやすさのバランスを取ることを引き続き容易にしていく必要があります」とTemurkan氏は述べました。 「セキュリティにおける最大の課題は、私たちが導入するあらゆる防御策が従業員の摩擦を増やしてしまうことだと思います」

#Infosec2025: CISOが知っておくべきサイバー動向トップ6

今年のInfosecurity Europe 2025では、業界の専門家が一堂に会し、この分野における最新のトレンド、課題、成功事例について議論しました。 以下は、展示会場で専門家と交わした会話の中から、Infosecurity Magazineが特に顕著だと感じた6つの主要トレンドです。 大きな技術的進歩がある一方で、人の行動やアイデンティティ管理といった基本に引き続き注力する必要性が大きなテーマとなりました。…

5/5 Monitor for powershell.exe with a command line containing select -Skip targeting .srt files. That’s a 100% indicator of this campaign.

#CyberSecurity #AgentTesla #BlueTeam #Malware #Torrent #SOC #Infosec2025

The "AI Pivot" is exhausting, but it’s the new baseline. If you’re a SOC Analyst in 2025, you’re also an AI Security Engineer.
Stay vigilant. The payload is in the weights. 🛡️
#CyberSecurity #SOCLife #BlueTeam #AISecurity #PickleScan #InfoSec2025 #MachineLearning

An alarming beheading from cybernetics 🥶, leaving us to pick up the pieces c70 years on. But the perceived healing is sought in AI (alleged intelligence*) 😢. It's veritable homeopathy... 🙈

*Or when productised: 'algorithm included'... 🙊
@spcoulson.bsky.social (after #infosec2025)

#Infosec2025: Device Theft Causes More Data Loss Than Ransomware Stolen devices are a bigger cause of data loss than stolen credentials or ransomware, according to a new Blancco study

#Infosec2025: El robo de dispositivos provoca más pérdida de datos que el ransomware. (Inglés)

Fuente: Infosecurity Magazine (@InfosecurityMag)
Vía: Raúl León (@rleon_mx)

🎙️ Just dropped: From Vulnerability to Visibility

@todb.hugesuccess.org shares how runZero takes an attacker’s view of IT, OT & IoT environments—treating them like a black box to uncover hidden risks.

🎧 Full episode: www.runzero.com/resources/fr...

Recorded at #Infosec2025 with @itspmagazine.com

Maturity ≠ Capability.”

On #Infosec2025, our client @mindgard.ai says startups are outpacing legacy vendors in AI security, with faster, sharper, more adaptable tools.

📖 Read more by Stephen Pritchard in InfosecurityMag👇
bit.ly/4mR6dNt

#Infosec2025: Know Your Audience to Make an Impact, CISOs Warn A panel of CISOs at Infosecurity Europe urged their peers to use risk management and clear communication to tame a chaotic cyber landscape

#Infosec2025: Know Your Audience to Make an Impact, CISOs Tell Their Peers

#Infosec2025: Cybersecurity Lessons From Maersk’s Former CISO 2017 ransomware attack on shipping company A P Moller Maersk marked a turning point for the cybersecurity industry, according to its former CISO Adam Banks

#Infosec2025: Cybersecurity Lessons From Maersk’s Former CISO

#Infosec2025: Top Six Cyber Trends CISOs Need to Know Experts at Infosecurity Europe 2025 highlighted a range of major industry trends, from advanced social engineering techniques to vulnerability exploits

#Infosec2025: Top Six Cyber Trends CISOs Need to Know

Majority of Compromises Caused by Stolen Credentials, No MFA Rapid7 found that 56% of all compromises in Q1 2025 resulted from the theft of valid account credentials with no MFA in place

#Infosec2025: Majority of Compromises Caused by Stolen Credentials, No MFA

thats a wrap from #infosec2025, the premiere #cybersecurity gathering - Laurence the Lion bouldered through the halls and met a few contacts. here's to the next cyber event which we can hopefully pitch @wearelocka.com at.

Introducing LOCKA: The Wearable Security Device That Locks Your Computer When You Walk Away - SME BUSINESS NEWS In an era when a single unlocked computer can lead to catastrophic data breaches, London-based...

Introducing LOCKA: The Wearable Security Device That Locks Your Computer When You Walk Away

#infosec2025 #cybersecurity

smebusinessnews.co.uk/2025/05/22/i...