- 企業のソースコード内に秘密が隠されていると考えると、パニックが広がる。
- この秘密は、不正な侵入やデータ侵害、評判の損害の可能性を招く力を持っている。
- 秘密を理解することは重要だが、適切な対応策を考えるためには文脈が必要。
- 文脈を持たないシークレットスキャナーは適切な対応策を提供することができない。
- シークレットの文脈を認識し、適切な対応策を取るための重要な要素を理解する必要がある。

(1) 企業のセキュリティ戦略では、文脈を持つことが重要。
- 秘密の重要性に基づいて分類を行い、対応策を優先する。
- 暴露の範囲と潜在的な影響を把握する。
- 暴露の根本原因を特定し、将来の攻撃を防ぐ。

(2) シークレットの充実化
- シークレットには重要なメタデータが含まれており、それらを活用することができる。
- シークレットのセキュリティとコンプライアンスの状況を示す秘密系図を作成することができる。

(3) 対策と予防
- 暴露されたシークレットに対応するための対策を速やかに取る。
- 将来の暴露を防ぐためのポリシーやプロセスを実装する。
- シークレットの監視と監査を定期的に行う。

(4) テクノロジーの活用
- 自動化を取り入れてシークレットの管理プロセスを効率化する。
- 文脈を提供することができるプラットフォームを活用する。
- 既存のツールやワークフローとの簡単な連携が可能なテクノロジーを選ぶ。

(5) セキュリティポストの最適化のために文脈を重視する。
- 文脈を持つことで、修復や予防のための情報を提供するためのテクノロジーを活用する。

以上が、暴露されたシークレットに取り組むための方法である。

脆弱性

CVE	なし
影響を受ける製品	Orange Spain
脆弱性サマリ	Orange SpainのRIPEアカウントがハッキングされ、BGPトラフィックが乗っ取られた
重大度	不明
RCE	無
攻撃観測	有
PoC公開	不明

脆弱性

CVE	CVE-2023-39336
影響を受ける製品	Endpoint Manager (EPM) solution
脆弱性サマリ	SQLインジェクションによる任意のSQLクエリの実行と結果の取得が可能
重大度	9.6（CVSSスコア）
RCE	有
攻撃観測	不明
PoC公開	不明

被害状況

事件発生日	2023年5月以降
被害者名	Kyivstar（キエフスター）
被害サマリ	ロシアのサイバースパイ集団SandwormによるKyivstarのシステムへの侵入により、数百万人の顧客のモバイルとインターネットサービスへのアクセスが遮断された。
被害額	(予想)

攻撃者

攻撃者名	Solntsepyok（ソールンツェピーク）
攻撃手法サマリ	[攻撃手法の1行サマリ|不明]
マルウェア	[不明]
脆弱性	[不明]

被害状況

事件発生日	2023年10月
被害者名	不明
被害サマリ	Bandookと呼ばれる新しいリモートアクセストロイの変種が、フィッシング攻撃を通じてWindowsマシンに侵入するために広まっている。マルウェアはPDFファイルを介して配布され、パスワードで保護された.7zアーカイブにリンクが埋め込まれている。被害者がPDFファイルのパスワードでマルウェアを抽出すると、マルウェアは自身のペイロードをmsinfo32.exeにインジェクションする。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	フィッシング攻撃を使用してBandookマルウェアを広める
マルウェア	Bandook
脆弱性	不明

脆弱性

CVE	CVE-2023-39366
影響を受ける製品	Ivanti Endpoint Management software (EPM)
脆弱性サマリー	Ivanti EPMのクリティカルなリモートコード実行（RCE）脆弱性。不正な認証を行わない攻撃者が登録済みのデバイスやコアサーバーを乗っ取る可能性がある。
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明

被害状況

事件発生日	2023年12月
被害者名	Kyivstar (ウクライナの最大の通信サービスプロバイダー)
被害サマリ	ロシアのハッカー集団によるサイバー攻撃により、Kyivstarのコアネットワーク上のすべてのシステムが破壊され、同社のモバイルとデータサービスが停止し、約2500万人のモバイルと家庭用インターネットのユーザーがインターネット接続できなくなった。
被害額	不明（予想）

攻撃者

攻撃者名	ロシアのハッカー（特定の集団は不明）
攻撃手法サマリ	攻撃者はKyivstarのネットワークに長期間にわたって侵入し、仮想サーバーとコンピュータを破壊した。攻撃は数ヶ月にわたって慎重に計画されたものであった。
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	2024年1月4日
被害者名	政府やビジネスのアカウント
被害サマリ	ハッカーにより、政府やビジネスのオンラインプロフィールが乗っ取られ、暗号通貨の詐欺目的で使用されていた。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	政府とビジネスのオンラインプロフィールを乗っ取り、暗号通貨の詐欺目的で使用する。
マルウェア	不明
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	Zeppelin ransomware
脆弱性サマリ	Zeppelin ransomwareのソースコードがハッキングフォーラムで500ドルで売られている
重大度	なし
RCE	不明
攻撃観測	不明
PoC公開	なし

- U.S. Federal Trade Commission (FTC)が、AI対応の声のクローニングを検出するためのアイデアを募集する「Voice Cloning Challenge」を開始
- 優勝者には$25,000の賞金が贈られる
- 声のクローニング技術は、個人化テキスト読み上げサービスや障害者支援ツールなど、正当な目的に使用されるが、悪意のある行為にも利用される可能性がある
- 声のクローニング技術を悪用することで、詐欺行為や社会工作、その他の音声ベースの詐欺行為が行われる可能性がある
- 提案は10日間受け付けられ、提案は実用的な実現可能性、企業の説明責任への影響、消費者への負担、分野の急速な技術進歩に対する耐久性に基づいて審査される。