カリフォルニア州の CalPERS と CalSTRS が大規模なデータ侵害に見舞われる: 769,000 人の退職者の個人情報が侵害される
ハッカーは、カリフォルニア州公務員退職金制度(CalPERS)の退職者および受給者約769,000万XNUMX人の個人情報を侵害した。 この侵入は、ベンダーのサイバーセキュリティ システムの欠陥によって引き起こされました。 米国最大の年金制度である CalPERS は、会員の経済的利益を保護し、長期的な安全を維持するために直ちに措置を講じています。
国内第100位の年金制度であるCalSTRSも同じベンダーによる侵害に遭ったが、詳細は明らかにしていない。 どちらのシステムも、法律に従って影響を受ける個人に通知します。 ハッカーらは世界中のさまざまな企業や政府機関を標的にしたと主張しており、約XNUMXの組織が個人データが盗まれたことを認めている。
この侵害は、州職員、政府機関、学校制度、裁判所、カリフォルニア州議会など、さまざまな業界の年金受給者に影響を及ぼします。 CalPERS は、影響を受けた会員に、Experian を通じて XNUMX 年間の無料信用監視および ID 復元サービスを提供しています。
影響を受ける個人への通知が遅いことが批判されている。 ベンダーは 6 月 XNUMX 日にこの侵入を CalPERS に明らかにし、会員アカウントを保護するための迅速な措置を開始しました。 ハッカーは、医療業界で広く使用されているベンダーのデータ転送アプリケーションの欠陥を利用しました。
CalPERS は、自社のシステムは安全であり、退職者の資金も安全であると説明しています。 退職者は、疑わしい行為がないか定期的に自分の口座と信用報告書を監視する必要があります。 個人情報の盗難と詐欺は当局に報告する必要があります。
この妥協を考慮すると、CalPERS や CalSTRS などの機関がデータ セキュリティ プロセスを改善する効果的なソリューションを調査することが重要です。
クライアント認証証明書は、認証プロセスに追加のセキュリティ層を追加することで、このようなデータ侵害を防ぐことができます。
クライアント認証証明書は、システムまたはアプリケーションにアクセスするクライアントまたはユーザーの ID を認証するために使用されます。 これらの証明書を使用することで、サーバーは、システムにアクセスしようとしているクライアントが本物であり、悪意のある攻撃者ではないことを確認できます。 これにより、不正アクセスが防止され、信頼できるクライアントのみがサーバーと通信できるようになります。
このケースでは、ベンダーのサイバーセキュリティ システムの欠陥が原因で侵害が発生しました。 クライアント認証証明書を実装することにより、ベンダーはシステムに厳格な認証要件を強制することができた可能性があります。 これにより、ハッカーが脆弱性を悪用してデータに不正にアクセスすることがより困難になったでしょう。
SSL.com クライアント認証証明書を使ってみましょう!
Vincera Institute はランサムウェア攻撃による潜在的な患者データ侵害に直面: 情報を保護するために緊急の措置を講じる
フィラデルフィアの有名な医療センターであるヴィンセラ研究所は、最近のランサムウェア攻撃について警告を発しました。 現時点では患者データへの不正アクセスや悪用の兆候は見つかっていないが、この攻撃により個人情報や医療情報が危険にさらされる可能性がある。 同研究所は迅速に行動し、システムのセキュリティと患者データの保護に重点を置き、サイバーセキュリティ専門家の協力を得てインシデントを封じ込め、軽減しました。 セキュリティプロセスの改善、厳格な調査と浄化の取り組み、当局との協力などが対策の一つだ。 影響を受けた個人は、金融口座や保険明細書で奇妙な行為がないか確認し、フィッシング行為に警戒し、追加の支援が必要な場合は同研究所のサポートチームに連絡するよう求められている。Vincera Institute などの医療施設は、導入によって利益を得ることができます。 安全な電子メール証明書 データのセキュリティを向上させ、潜在的な攻撃から防御します。 としても知られている S/MIME 証明書、SSL.com の安全な電子メール証明書は、電子メール通信に強力な暗号化と認証を提供し、重要な患者データのセキュリティと整合性を保護します。 医療企業は、これらの証明書を採用することで、電子メール通信チャネルを強化し、患者情報の望ましくないアクセスや傍受の危険を軽減できます。
医療施設は、セキュア電子メール証明書を使用して、患者のプライバシーを保護し、HIPAA などの業界規則を遵守しながら、安全で信頼できる通信フレームワークを作成できます。 医療従事者は、機密電子メールを暗号化し、潜在的な侵害や不正アクセスから保護することで、患者の記録、検査結果、その他の機密情報を自信を持って送信できます。
重要な患者データを保護し、HIPAA 準拠を維持し、組織のサイバーセキュリティ防御を強化するには、SSL.com の安全な電子メール証明書をお試しください。
ここから SSL.com セキュア電子メール証明書を入手してください
ステルス USB スパイ活動: WispRider マルウェアが世界的なサイバー侵入の先鋒となる
中国国家支援の Advanced Persistent Threat (APT) ギャングである Mustang Panda は、USB スティックを介して WispRider と呼ばれる新しいマルウェア バージョンを世界中に拡散させています。 この脅威の世界的な広がりは、欧州の医療施設が感染した USB ドライブを意図せずシステムに挿入し、大規模な感染拡大をもたらしたことで明らかになりました。 WispRider は USB デバイスを介して自己宣伝する能力により、エアギャップのあるシステムさえも破壊できる恐るべき感染キャリアとなります。
高度なバックドア ペイロードである WispRider は、恐ろしいほど洗練されています。 このウイルスは、ウイルス対策ソフトウェアによる検出を回避し、感染したマシンに無害な USB メモリが接続されているときにファイルを変更できるようにする新しい特性によって強化されました。 この変更により、サムドライブ上に隠しフォルダーが作成され、ユーザーがクリックする可能性が最も高い通常のファイルとして感染が隠蔽されます。
この独創的で目立たないマルウェア配布手法は、特に USB スティックが広く使用されていることを考えると、厄介です。 このマルウェアがエアギャップのあるコンピュータに侵入する能力があるということは、このマルウェアが高度なセキュリティ状況に侵入する可能性があることを示唆しており、懸念をさらに増大させるだけです。 特定のウイルス対策ソリューションの効果的な回避とセキュリティ ソフトウェア コンポーネントの悪用は、強力で高度な防御メカニズムの重要な必要性を浮き彫りにしています。
クラウド サービスを使用すると、ユーザーはインターネット接続のある任意のデバイスから認証資格情報とファイルにアクセスできます。 この柔軟性によりシームレスなアクセスが可能になり、物理的な USB トークンを持ち運ぶ必要がなくなります。
クラウド サービスは、追加の物理トークンを必要とせずに、多数のユーザーに対応できるように簡単に拡張することもできます。 これは、ユーザー ベースが拡大している組織や、分散した従業員のアクセスを管理する必要がある組織にとって特に有益です。 ユーザーの追加または削除は、USB トークンの配布や収集を必要とせずに一元的に行うことができます。
第三に、クラウド サービス プロバイダーは、ユーザー データを保護するためにセキュリティ対策に多額の投資を行っています。 暗号化やその他の高度なセキュリティ メカニズムを採用して機密情報を保護します。 一方、USB トークンは、適切に保護されていない場合、物理的な盗難、紛失、または不正アクセスの影響を受ける可能性があります。
上で述べたクラウド サービスの利点は、 SSL.com の eSigner クラウド コード署名サービス。 eSigner を使用すると、ユーザーは、USB トークン、HSM、またはその他の特殊なハードウェアを必要とせず、どこからでもグローバルに信頼できるデジタル署名とタイムスタンプをソフトウェア コードに簡単に追加できます。 eSigner に登録されたコード署名証明書は、開発者を認証し、ソフトウェア コードの整合性を検証することで WispRider のような危険から保護し、エンドユーザー エクスペリエンスに信頼性の層を効果的に追加します。 開発者は、コードにデジタル シールを適用することで、署名されてからコードが変更されていないことをユーザーに保証できます。 これは、WispRider などの一見無害なアプリケーション内に埋め込まれた危険なペイロードの防止に役立つ可能性があります。
悪意のある攻撃者がシステムとデータのセキュリティを危険にさらさないようにしてください。 SSL.com の eSigner に登録されたコード署名証明書を使用すると、ソフトウェアの整合性を保証できます。
ビデオベースの暗号キーの盗難: ハッカーが遠隔から電源 LED を悪用
研究者らは、パワー LED のビデオ録画を使用して、スマート カードや携帯電話に含まれる秘密暗号キーを取得する新しい攻撃方法を開発しました。 この攻撃は、暗号操作の実行中にデバイスから漏洩する物理的影響であるサイド チャネルを利用します。 攻撃者は、消費電力、音、電磁放射、操作タイミングなどの特性を監視することで、秘密鍵を回復するのに十分な情報を入手できます。 新しい攻撃手法では、セキュリティ カメラや iPhone を使用してカード リーダーやスマートフォンが起動されたことを示す電源 LED が記録されます。 ビデオベースの攻撃は、特殊な機器を必要とせず、ターゲットのデバイスに物理的に近づく必要がないため、サイドチャネルを悪用する非侵入的で遠隔的な方法です。このような攻撃を防ぐには、モノのインターネット (IoT) デバイスを保護する必要があります。 SSL /TLS 証明書 クライアントとサーバー間に安全な暗号化された接続を確立するために使用できます。 スマート カードまたは携帯電話とサーバー間で送信されるデータを暗号化することで、電力消費や電磁放射などのサイド チャネルの監視に依存する攻撃手法が無効になります。 暗号化によりデータが保護され、攻撃者によって簡単に傍受または解読されることがなくなります。
クライアント デバイスがサーバーに接続すると、サーバーの SSL/TLS 証明書。 この認証プロセスは、攻撃者がクライアントとサーバー間の通信を傍受し、正規のサーバーを装う中間者攻撃を防ぐのに役立ちます。 サーバーが本物で信頼できるものであることを確認することで、ビデオベースの攻撃アプローチの犠牲になるリスクが軽減されます。
SSLを使用する/TLS 証明書を使用して、発展する脅威に対する IoT デバイスのセキュリティを強化します。
SSL.com のお知らせ
従業員の電子メール署名証明書と暗号化証明書の検証と発行を自動化する
一括登録 で利用できるようになりました 個人ID+組織 S/MIME 証明書 (IV+OV とも呼ばれます) S/MIME)、及び NAESB証明書 SSL.com 一括注文ツールを通じて。 個人ID+組織の一括登録 S/MIME NAESB 証明書には追加の要件があります。 Enterprise PKI (EPKI) 合意。 アン・EPKI この契約により、組織の XNUMX 人の認定代表者が、他のメンバー向けにこれら XNUMX 種類の証明書を大量に注文、検証、発行、取り消しできるようになり、組織のデータおよび通信システムのセキュリティ保護の迅速化が可能になります。