BlackBerry Cylance脅威リサーチャーが企業や公共で増加するリスクを調査で明らかに
本発表は、BlackBerry米国本社のプレスリリース抄訳版です。原文はこちらからご覧頂けます。
<https://www.blackberry.com/us/en/company/newsroom/press-releases/2019/research-lifts-the-veil-on-penetration-testing-practices-that-undermine-industry-goals>
BlackBerry Limited (NYSE: BB; TSX: BB)は、米国時間2019年8月7日、BlackBerry(R) Cylance(R)の脅威インテリジェンスチームが、機密性の高いデータを大量に発見したことを調査レポートを通じて発表しました。民間航空交通管制システムに関する機密データが、セミパブリック上のマルウェアリポジトリ上に置かれ公開状態になっている事を発見し、それがペネトレーションテストに起因しているという衝撃的な事実を突き止めました。
BlackBerry Cylance脅威インテリジェンスチームが執筆したレポート「Thin Red Line: ペネトレーションテスト手法の検証レポート(英文レポート)」で、不正の疑いがあるペネトレーションテストの手法と副産物、その結果を明らかにしています。本レポートは、プライバシーと機密性に対する遵守、ならびにヨーロッパの一般データ保護規則(GDPR)などの法規制要件に対する業界のコンプライアンスに関して、重大な疑問を提起しています。
今回、脅威インテリジェンスチームが発見したのは、セキュリティ企業として公に活動をしているブラジルの会社が、実際は標的型攻撃(APT)グループに通じており、機密性の高い航空交通管制のデータ漏えい事件に関係していた事例が含まれています。この発見は、ペネトレーションテストと脅威アクターによる実際の攻撃を区別する境界線があいまいになっていることを示す事例の一つとしてレポートで解説されています。
BlackBerry Cylanceの脅威インテリジェンスディレクターであるKevin Livelliは次のように述べています。「今回の調査結果の多くは不快なものばかりです。しかし、セキュリティ研究者やペネトレーションテスト業者、そしてサービスを利用するお客様全員が、正しい知識を得るための対話を開始できるように、この研究結果を公表しました。我々セキュリティ会社は、サポートを必要としているお客様に責務を果たし、信頼に値する組織であることを説明する必要があります。」
この調査では、小規模で専門的な企業から大企業まで、ペネトレーションテストのサービスを提供している、20社以上の有名企業のペネトレーション技術についても調査した所、セミパブリックのリポジトリ上に多くの顧客データが公開されていることも発見しています。
BlackBerry Cylanceのリサーチ&インテリジェンス部門のバイスプレジデントであるJosh Lemosは次のように述べています。「過去5年の間に世界中で攻撃テストサービスの実施が爆発的に増えました。その弊害として、企業のセキュリティ体制の、実質的な「侵害」に繋がっていることがあります。セキュリティコミュニティとクライアントは、このレポートを読んで、次の点について意識を高めて欲しいと考えています。第一に、レッドチームによるオペレーションが、セキュリティに与える影響について真剣に考えること。次に、データの扱いなどのエンゲージメントの指針の原則について合意すること、最後に、不注意かどうかにかかわらず危険なテストの実施について意識を高めることです。」
調査レポート Thin Red Line: ペネトレーションテスト手法の検証レポート(英文レポート)は こちらからダウンロードできます。
<https://www.cylance.com/ja_jp/blog/jp-report-thin-red-line-penetration-testing-practices-examined.html>
BlackBerryについて
BlackBerry Limited(NYSE:BB、TSX:BB)は、IoT(モノのインターネット)の保護に必要なテクノロジーを企業や政府に、信頼できるセキュリティソフトウェアおよびサービスを提供しています。
カナダ オンタリオ州ウォータールーを拠点とするBlackBerryは、安全性、サイバーセキュリティ、およびデータのプライバシー保護への取り組みを揺るぎないものとし、人工知能、エンドポイントのセキュリティと管理、暗号化、組み込みシステムなどの主要分野でリードしています。
詳細については、www.BlackBerry.comをご覧ください。
BlackBerryおよび関連製品の商標の名称及びロゴマーク等は、米国およびその他の国におけるBlackBerry Limited.の登録商標または商標です。その他の社名、製品名などは、一般に各社の商標または登録商標です。BlackBerryは第三者のいかなる製品またはサービスについて責任を負うものではありません。
###
BlackBerry Cylanceのソーシャルメディア
Facebook:https://www.facebook.com/CylanceJapan/
Twitter:https://twitter.com/CylanceJapan
<本件に関するお客様からの問い合わせ先>
Cylance Japan株式会社
担当:梅内
電話:03-6386-0061
Email: prjapan@cylance.com
本発表は、BlackBerry米国本社のプレスリリース抄訳版です。原文はこちらからご覧頂けます。
<https://www.blackberry.com/us/en/company/newsroom/press-releases/2019/research-lifts-the-veil-on-penetration-testing-practices-that-undermine-industry-goals>
BlackBerry Limited (NYSE: BB; TSX: BB)は、米国時間2019年8月7日、BlackBerry(R) Cylance(R)の脅威インテリジェンスチームが、機密性の高いデータを大量に発見したことを調査レポートを通じて発表しました。民間航空交通管制システムに関する機密データが、セミパブリック上のマルウェアリポジトリ上に置かれ公開状態になっている事を発見し、それがペネトレーションテストに起因しているという衝撃的な事実を突き止めました。
BlackBerry Cylance脅威インテリジェンスチームが執筆したレポート「Thin Red Line: ペネトレーションテスト手法の検証レポート(英文レポート)」で、不正の疑いがあるペネトレーションテストの手法と副産物、その結果を明らかにしています。本レポートは、プライバシーと機密性に対する遵守、ならびにヨーロッパの一般データ保護規則(GDPR)などの法規制要件に対する業界のコンプライアンスに関して、重大な疑問を提起しています。
今回、脅威インテリジェンスチームが発見したのは、セキュリティ企業として公に活動をしているブラジルの会社が、実際は標的型攻撃(APT)グループに通じており、機密性の高い航空交通管制のデータ漏えい事件に関係していた事例が含まれています。この発見は、ペネトレーションテストと脅威アクターによる実際の攻撃を区別する境界線があいまいになっていることを示す事例の一つとしてレポートで解説されています。
BlackBerry Cylanceの脅威インテリジェンスディレクターであるKevin Livelliは次のように述べています。「今回の調査結果の多くは不快なものばかりです。しかし、セキュリティ研究者やペネトレーションテスト業者、そしてサービスを利用するお客様全員が、正しい知識を得るための対話を開始できるように、この研究結果を公表しました。我々セキュリティ会社は、サポートを必要としているお客様に責務を果たし、信頼に値する組織であることを説明する必要があります。」
この調査では、小規模で専門的な企業から大企業まで、ペネトレーションテストのサービスを提供している、20社以上の有名企業のペネトレーション技術についても調査した所、セミパブリックのリポジトリ上に多くの顧客データが公開されていることも発見しています。
BlackBerry Cylanceのリサーチ&インテリジェンス部門のバイスプレジデントであるJosh Lemosは次のように述べています。「過去5年の間に世界中で攻撃テストサービスの実施が爆発的に増えました。その弊害として、企業のセキュリティ体制の、実質的な「侵害」に繋がっていることがあります。セキュリティコミュニティとクライアントは、このレポートを読んで、次の点について意識を高めて欲しいと考えています。第一に、レッドチームによるオペレーションが、セキュリティに与える影響について真剣に考えること。次に、データの扱いなどのエンゲージメントの指針の原則について合意すること、最後に、不注意かどうかにかかわらず危険なテストの実施について意識を高めることです。」
調査レポート Thin Red Line: ペネトレーションテスト手法の検証レポート(英文レポート)は こちらからダウンロードできます。
<https://www.cylance.com/ja_jp/blog/jp-report-thin-red-line-penetration-testing-practices-examined.html>
BlackBerryについて
BlackBerry Limited(NYSE:BB、TSX:BB)は、IoT(モノのインターネット)の保護に必要なテクノロジーを企業や政府に、信頼できるセキュリティソフトウェアおよびサービスを提供しています。
カナダ オンタリオ州ウォータールーを拠点とするBlackBerryは、安全性、サイバーセキュリティ、およびデータのプライバシー保護への取り組みを揺るぎないものとし、人工知能、エンドポイントのセキュリティと管理、暗号化、組み込みシステムなどの主要分野でリードしています。
詳細については、www.BlackBerry.comをご覧ください。
BlackBerryおよび関連製品の商標の名称及びロゴマーク等は、米国およびその他の国におけるBlackBerry Limited.の登録商標または商標です。その他の社名、製品名などは、一般に各社の商標または登録商標です。BlackBerryは第三者のいかなる製品またはサービスについて責任を負うものではありません。
###
BlackBerry Cylanceのソーシャルメディア
Facebook:https://www.facebook.com/CylanceJapan/
Twitter:https://twitter.com/CylanceJapan
<本件に関するお客様からの問い合わせ先>
Cylance Japan株式会社
担当:梅内
電話:03-6386-0061
Email: prjapan@cylance.com