サイバーセキュリティ ニュースのまとめ 2023 年 XNUMX 月

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

パスワードのリサイクルによる PayPal アカウントの侵害

19 年 2023 月 35,000 日、Paypal はデータ侵害通知を送信し、2022 年 XNUMX 月にアカウントが侵害されたことを約 XNUMX 人のユーザーに通知しました。

Paypal は、これらのアカウントが Credential Stuffing を通じてハッカーの標的になったと説明しました。これは、さまざまな Web サイトから漏洩したユーザー名とパスワードを使用して、標的のアカウントにアクセスしようとする攻撃です。

多くの場合、資格情報の漏えいは、再利用されたユーザー名とパスワードが原因です。 Paypal は、データ侵害はシステムの障害によって引き起こされたものではないと主張しました。 

ハッカーが侵害できた個人情報には、アカウント所有者の氏名、社会保障番号、生年月日、住所が含まれていました。 Paypal によると、攻撃者は不正な取引を行うことができず、影響を受けたアカウントに対してパスワードのリセットが行われました。

SSL.comの要点: 調査 Google と Harris Poll が実施した調査では、53% が複数のアカウントで同じパスワードを使用していることがわかり、13% がアカウント全体で同じパスワードを使用していました。 これらのデータを組み合わせると、65% の人がパスワードを再利用することがわかります。 

さまざまなアカウントの長いパスワードを覚えて入力する負担を避けたい人にとって、パスワード マネージャーは優れたソリューションです。同期機能とパスワード生成機能により、さまざまなアカウントに簡単にアクセスできるからです。 

SSL.com クライアント認証証明書 また、機密性の高いサイトやアプリケーションへのアクセスを制限することで、パスワードだけでは提供できない追加のセキュリティ レイヤーを提供することもできます。 検証済みの個人であるあなただけがオンライン アカウントにアクセスできるようにすることで、悪意のある攻撃者からオンライン アカウントを保護します。 こちらをクリックしてください SSL.com クライアント認証証明書の詳細については、

イランとロシアのハッカーが政治家とジャーナリストを標的にしていることを発見

英国の政治家とジャーナリストは、イランを拠点とする TA453 とロシアを拠点とする Seaborgium という 2022 つのハッキング グループによるフィッシング攻撃の標的にされたと報告されています。 453 年、シーボーギウムは米国の XNUMX つの核研究所を攻撃していることが判明しました。 TAXNUMX は以前に監視されており、アメリカの政治家を標的にしている可能性があることが判明しました。

英国のサイバー セキュリティ センター (NCSC) は、潜在的なターゲットに対して、オンライン アカウントの情報を盗むために使用される悪意のあるリンクに引っかからないよう警告しました。

ハッカーは、ターゲットの連絡先の偽のソーシャル メディア プロファイルを作成し、悪意のあるコードを含む Zoom ミーティング リンクの形で、偽の会議やイベントの招待状を何度も共有することがわかっています。 偽のリンクにより、ハッカーは被害者の電子メール アカウントの資格情報を盗むことができます。 侵入すると、彼らはメーリング リストのデータと連絡先リストをスニッフィングしていることが検出され、これらをさらにフィッシング キャンペーンに使用します。

ハッカーはまた、標的をさらにだますために、権威ある組織を装った Web サイトを設定しています。 興味深いことに、彼らは公式の仕事用アカウントではなく、個人のメール アカウントを使用しています。 個人アカウントは、多要素認証が少ない可能性が高いだけでなく、被害者が通信する際の注意力を低下させる可能性もあります。

SSL.comの要点: 不審な「差出人」アドレスに注意する: パスワードや個人情報に関する公式メールは、個人アカウントではなく、公式メール アドレスから送信されます。 送信者が会社に関連付けられた電子メール アドレスを持っていない場合は、信じないでください。

個人および組織の電子メール通信を保護する SSL.com S/MIME 証明書: SSL.comの S/MIME 証明書は、改ざん防止のデジタル署名で電子メールを暗号化することで、安心感を与えます。 メールの送信者と受信者の両方が持っている場合 S/MIME XNUMX 人だけがメッセージの内容を表示できます。 電子メールの連絡先に、 S/MIME 証明書があれば、電子メールがハッカーからではなく、本当に彼らから送信されたものであることが保証されます。 こちらをクリックしてください SSL.comの詳細については S/MIME 証明書。

Black Kite が発見した、医療業界で最も一般的なサードパーティの侵害の被害者

この 2023 年のサードパーティ データ侵害レポート Black Kite による調査では、ヘルスケア業界が 2022 年に最も多くのサードパーティによる侵害を受けたことが明らかになりました。その割合は 34% に達し、1 年と比較して 2021% 増加しています。 

Black Kite は、ヘルスケア業界が常に脆弱な立場に置かれている理由を次のように説明しています。

「予算の不足、患者と病院のシステム間で個人データをリモートで共有すること、時代遅れのソフトウェアはすべて、ハッカーが健康関連の機密データに侵入してアクセスする手段を示しています。 そのため、今年もまた、最も影響を受けたセクターはヘルスケアでした。」

このレポートは、2022 年にヘルスケア企業に対するいくつかの注目を集めたサイバーセキュリティ攻撃の直後に発表されました。 CommonSpirit 病院に対するランサムウェア攻撃により、2 万人以上の個人情報が侵害されました。 多国籍ヘルスケア サービス企業である Tenet Healthcare に対する攻撃により、複数の病院がオフラインになり、スタッフは紙とカルテの使用を余儀なくされました。 

病院は通常、IT 予算の中でサイバーセキュリティを優先しません。 の中に 2021 年 HIMSS ヘルスケア サイバーセキュリティ調査、病院は IT 支出の 6% 以下しかサイバーセキュリティに割り当てていないことがわかりました。

SSL.comの要点: 病院が何年にもわたって犯してきた主な過ちの 2020 つは、時代遅れで脆弱なオペレーティング システムで最先端のハイテク ソフトウェアを実行することです。 83 年 7 月、Fortune は、「マンモグラフィー装置から MRI 装置まで、インターネットに接続された医用画像装置の XNUMX% が脆弱である」と報告しました。 なぜ? Microsoft は、多くのマシンが実行されている Windows XNUMX オペレーティング システムのサポートを終了したためです。 ある専門家は、セキュリティのギャップを、家の側面にある「永久に壊れた窓」を持ち、泥棒が入ってこないように願っていることに例えました.

覚えておいてください: 最も脆弱なソフトウェアとしてのみ安全です。 世界中の数百万ドルの機器をすべて手に入れることができ、フィッシング攻撃のような基本的なもので、悪者に患者のデータの鍵を与えたり、すべてを人質にしてかなりのペニーを人質にするランサムウェア攻撃につながる可能性があります. サイバーセキュリティへの投資は、組織が重要な資産を保護し、クライアントにサービスを提供できるようにするために大いに役立ちます。 

さらに、 SSL.com クライアント認証証明書 パスワードだけでは提供できない追加のセキュリティ層を提供することで、組織の重要なシステムを容易に保護できます。 検証済みの個人または組織のみがアクセスを許可されるようにすることで、機密データとデジタル資産をハッカーから保護します。 こちらをクリックしてください SSL.com クライアント認証証明書の詳細については、

米国政府の飛行禁止リストがハッキング フォーラムで流出

大規模なデータ侵害で、1.5 万人を超えるテロ容疑者の完全な名前、可能性のある別名、生年月日を含む米国の飛行禁止リストがハッキング フォーラムに流出しました。 

機密情報を漏らしたスイスのハッカー、マイア放火犯罪によると、彼女は、オハイオ州の航空会社 CommuteAir が所有する AWS サーバーで、セキュリティ保護されていない飛行禁止リストを発見しました。 

CommuteAir によると、侵害されたサーバーは、ハッカーから連絡を受けた後、オフラインにされました。 2022 年 XNUMX 月には、航空会社が保有する別の個人識別情報 (PII) もハッキングされました。 侵害された情報には、名前、生年月日、社会保障番号の一部が含まれていました。  

飛行禁止リストは通常​​、公開されておらず、米国運輸保安局 (TSA) や国防総省などの関連政府機関によって厳密に保持されており、参考のために民間航空会社と調整されています。 このようなリストの機密性を考えると、米国政府が民間組織と共有するデータを安全に保管できるようにする方法が疑問視されています.

SSL.comの要点: この事例は、政府機関がサイバーセキュリティ企業と協力して、民間組織と共有する機密データを安全に保つ必要があることを示しています。 専門的なニーズを満たす必要がある場合、ソリューションは専門知識に基づいている必要があります。 私たちに向かう PKI および政府のデジタル証明書 政府機関がサイバーセキュリティを強化するのをどのように支援するかについての詳細を学ぶための記事。

また、私たちの クライアント認証証明書 パスワードだけでは提供できない追加のセキュリティ層を提供することで、組織の重要なシステムとサーバーを簡単に保護できます。 検証済みの個人または組織のみがそれらへのアクセスを許可されるようにすることで、機密データとデジタル資産を悪意のあるアクターから保護します。 SSL.com クライアント認証証明書の詳細については、 このページ.

OVおよびIVコード署名の主要なストレージ要件が変化しています

CA/Browser Forum は、ほとんどのメンバーからの意見を取り入れて、OV & IV コード署名キー ストレージ要件を変更しています。 変更日は 2023 年 6 月 1 日. OV & IV コード署名証明書は、 ユビコ USB トークンまたは SSL.com eSigner クラウド署名サービス経由で利用可能。 

< p style=”text-align: justify;”>この変更に関する追加情報は、  CA/ブラウザ フォーラムの Web サイト。 詳細については、こちらをご覧ください SSL.com eSigner クラウド コード署名ソリューション: https://www.ssl.com/esigner/.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。