セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE（Customer Premises Equipment：カスタマ構内設備）で広く利用されており、Arris製の複数のルータモデルに使われるファームウェアに含まれているという。 Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine muhttpd(mu HTTP deamon)は、ANSI Cで開発されたシンプルなWebサーバ

ゼロデイ脆弱性にはどのような対抗手段があるのか、Googleはこう考える：その場しのぎの修正で終わらせない Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。 Googleの脆弱（ぜいじゃく）性調査専門チーム「Project Zero」は2022年6月30日（米国時間）、2022年6月に開催された「FIRST」カンファレンスで行った講演「0-day In-the-Wild Exploitation in 2022...so far」の概要を公開した。 2022年の年初から2022年6月15日までに検出、公開されたゼロデイ脆弱性は18件に達した。これらを分析したところ、少なくとも9件は、過去にパッチが公開された脆弱性の亜種だと分かった。20

サイバー攻撃者が狙う穴を、防御側はふさぐよう努力する。するとサイバー攻撃者も工夫に工夫を重ね、新たな攻撃手法を使い出し、かつての常識はいつの間にか非常識に変化する――そういった“いたちごっこ”が、サイバーセキュリティの世界では繰り返されている。この歴史を読み解くと、見えてくるものもあるかもしれない。 「Webアプリケーションセキュリティのバイブル」ともいえる“徳丸本”こと『体系的に学ぶ 安全なWebアプリケーションの作り方』（SBクリエイティブ）の筆者、徳丸氏が、クレジットカード情報の漏えい対策、そしてマルウェア対策のこれまでの歴史から、この“いたちごっこ”を総括した。私たちが進むべき次の一歩を考えるためのセッションとなった。 セキュリティはいたちごっこの連続 徳丸氏は、「いたちごっこ」の事例として昨今も報道が絶えることのない「クレジットカード情報漏えい」を取り上げる。クレジットカード情報

企業向け研修サービス「サイバックスUniv.」のサーバに保存していた約25万人分の個人情報がGoogleで検索できる状態になっていた件を巡り、提供元のリスクモンスターは7月5日、原因はネットワークの設定ミスだったと発表した。過去にサーバをAWS移行した際、設定変更があったところ、チェック体制に不備がありミスにつながったという。 情報がGoogleで検索可能になっていたサーバは、サイバックスUniv.のサブシステム（システムの一部を構成する小規模なシステム、または予備や代替のシステム）の運用に使っていたもの。リスクモンスターによれば、サブシステムが抱える個人情報の洗い出しが不十分だった他、当時のサーバ移行が同社にとって初めて、独自にシステムをクラウド化する案件で、セキュリティの見直しが徹底できていなかったという。 リスクモンスターは対策として、サーバの設定変更のテスト体制を強化。外部の診断サ

杏林大学医学部付属病院（東京都三鷹市）は6月30日、同院の医師が患者の個人情報入りUSBメモリを紛失したと発表した。紛失したUSBメモリはパスワードロックなどがされておらず、30日時点でUSBメモリは発見できていない。個人情報の漏えいなどの事実は確認していないとしている。 【訂正履歴：2022年7月1日午後2時40分　当初、記事タイトルを「院内持ち出し」としておりましたが、「院外持ち出し」の誤りでした。お詫びして訂正いたします。】 紛失が発覚したのは6月19日。診療上のデータを院外に持ち出すのは禁止されていたが、データの判読に長時間を要することから、該当の医師は院外にUSBメモリを持ち出した。医師の帰宅後、患者27人の氏名やID番号、終夜睡眠ポリグラフ検査データ、睡眠時の状態を記録した動画が入ったUSBメモリを紛失していることに気付いたという。 同院は「この動画は赤外線を通して撮影している

ちょっと待った！　個人向けMicrosoft DefenderアプリはMicrosoft 365製品ファミリー向けではありません、Windows標準のDefenderも置き換えません：その知識、ホントに正しい？ Windowsにまつわる都市伝説（213） 既にIT系メディアのニュースでご存じかもしれませんが、Microsoftは2022年6月中旬に、クロスデバイス対応の個人向けアプリおよびサービスである「Microsoft Defender for individuals（個人向けMicrosoft Defender）」の提供を開始しました。自分も利用できると誤ってインストール、さらには無駄に購入してしまわないように、想定される勘違いをリストアップしてみました。

「もしも〜だったら」を確認するパスワード保護Excelファイル (俗に言う暗号化Excelファイル) のパスワードをcrackする難易度ってどれくらいだろうか？ と、ある事案 (参考リンク1) からの連想で急に確認したくなった。もちろん、事案のプレスリリースで述べられている「暗号化処理」が、Excelの機能を使ってExcelファイルをファイルレベルで保護する手法 (参考リンク2) なのか、それ以外の別の手法なのかは現時点で明らかになっていないので、これは「もしも前者だったら」の一種の私的な実証実験である。 実験の際には自分に条件を課し、手元のUbuntu環境にはもちろん純正のMicrosoft Excelは無いので、一連の内容をコマンドライン (CLI) のみでやってみようと考えた。 1. Secure Spreadsheetでパスワード保護Excelファイルを作成参考リンク3によると、次

大阪府門真市は6月27日、マイナンバーカード申請サポート会場で、市民1人の顔写真が記録されたSDカードを紛失したと報告した。SDカード内のデータは1度撮影するごとに毎回消去しており、他の市民の画像は入っていないという。 紛失したのは18日。マイナンバーカード申請サポート会場では、申請書作成のために来場者の顔写真を撮影し、その場で印刷するが、紛失時は撮影後に来場者への説明を優先。委託先の従事者が印刷のためカメラからSDカードを取り出そうとしたがカメラの中に入っていなかったという。周囲の捜索や従事者の手荷物検査などを行ったが発見はできなかった。 SDカードに保存されていたデータは来場者1人の顔写真のみで、本人には紛失について説明済み。紛失による被害の発生は確認していない。 門真市は再発防止に向け、委託先事業者に運用の見直しや研修の実施など個人情報管理の徹底を求めるとしている。 記憶媒体の紛失は

北海道をこよなく愛するピーターです。 本日2022/6/24㈮のホットニュースは尼崎市が全市民約46万人の個人情報が入ったUSBを紛失するです。 そして見つかりました。 新情報はこれから出てくるとは思いますが、「パスワードに関する情報(ヒント) は漏らしてはいけない」 のいい教材になったと思います。 そこで今回はパスワードを破るにはどれだけの時間がかかるかを、条件別に求めてみました。 ざっと計算しただけなので、抜け漏れはあります。 もしそもそもの計算式が違うよ等あればご指摘いただけると幸いです。 候補となる文字列と計算時間 候補となる文字列 パスワードに使用できる文字列は以下が考えられます。 ・アルファベット ・数字 ・特殊文字 これらをコードで確認しました。 結果は以下の通りです。1文字につき94個の選択肢があります。 したがってパスワードの桁数をnとすると、94^n通りのパターンが想定

委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」

兵庫県尼崎市は6月23日、臨時特別給付金の支給事務にあたっていた委託先「BIPROGY関西支社」（大阪市）の関係社員が、全市民46万人分の個人情報が入ったUSBメモリを紛失したとして謝罪した。USBメモリにはパスワードと暗号化をかけており、23日時点で情報の漏えいは確認されていないとしている。 関係社員は21日、臨時特別給付金コールセンターで行われたデータ移管作業の際に、必要なデータをUSBメモリに保存し、カバンに入れて持ち出した。移管作業の完了後、同関係社員はUSBメモリを持ったまま飲食店で食事や飲酒をし、帰宅後にカバンの紛失に気付いた。 同関係社員は22日にカバンを捜索したものの見つからなかったため、警察署に遺失物届を提出。同日午後3時45分ごろにBIPROGYを通して市に報告した。 USBメモリには全市民の住民基本台帳データ46万517件、住民税に関する情報36万573件、生活保護や

ランサムウエア（身代金要求型ウイルス）攻撃の被害を2021年10月に受けた徳島県のつるぎ町立半田病院は、経緯などをまとめた有識者会議による調査報告書を22年6月7日に町議会に提示、16日に一般公開した。報告書で批判されたIT（情報技術）企業は「見解が異なる」と主張する。取材を進めると、システム開発・運用の根深い問題が見えてきた。ランサムウエアの感染経路は米フォーティネット製のVPN（仮想私設網

アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス　オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22

豪Atlassianは6月2日（米西海岸時間）、同社のコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかったと発表した。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。 CVE識別番号はCVE-2022-26134。Atlassianによると、ユーザー企業側のサーバで同サービスをホストする「Confluence Server」のバージョン 7.18.0で脆弱性の悪用を確認した他、IaaS上で管理するための「Confluence Data Center」バージョン7.4.0以降にも影響があるとしている。 修正プログラムは未公開だが、ユーザー側でできる一時的な対応として同社は、（1）Confluence ServerやConfluence Data Centerのインスタンスをインター

岩手県釜石市は5月26日、住民基本台帳に記載された市民の個人情報を違法に取得・漏えいしたとして、40代の職員2人を懲戒免職処分にし、住民基本台帳法違反で岩手県警に告訴したと発表した。 2人は2015年以降約7年間にわたり、市民の住所や氏名などのデータ入りExcelファイルをメールに添付し、私有アドレスに送信するといった手口で、数万件の情報を繰り返し流出させていたという。流出情報の一部には、市民の収入額や被災住所、マイナンバーも含まれていた。 2021年9月に内部告発があり、調査したことろ判明した。 処分を受けたのは、総務企画部の40代の女性係長と、建設部の40代の男性主査。 一例として女性係長は、15年2月に、市民1万9600人分の住所、氏名、生年月日、収入額などのデータ入りExcelファイルを、メールに添付して私有アドレスに送信。17年8月には、市民3200人分の住所、氏名、生年月日など

2022年5月24日（米国時間）、SANS ISCのフォーラムでPython向けライブラリの1つ（その後PHP向けライブラリでも判明）が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日～5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ