埼玉県は、人権啓発研修事業の受託業者が、研修申込者の個人情報をインターネット上に誤って公開するミスがあったことを明らかにした。 同県によれば、10月28日19時40分ごろから約50分間、研修参加申込者1人に関する氏名、電話番号、メールアドレス、所属などがインターネット上に公開されたもの。 参加申込システムに不具合があり、受託業者が改修を行ったが、申込者が入力した情報がインターネット上で公開される設定になっていたという。 同県では、対象となる申込者に対し、経緯の説明と謝罪を行うとしている。 （Security NEXT - 2022/10/31 ） ツイート

静岡県伊東市は、同市職員が庁内グループウェアに対して不正アクセスを行ったとして懲戒処分を行った。不正アクセスから1時間ほどで偶然発覚したという。 同市によれば、アクセス権限を持たない職員が、他課のアカウント情報を用いて不正にアクセスし、メールや添付ファイルを閲覧したり、一部ファイルを自身の業務用パソコンに保存していた。 同市では課ごとにアカウントを共有していたが、同職員は他課のIDとパスワードを推測。9月14日に複数回の試行を経たところでパスワードが合致し、同日13時過ぎにログインしていたという。 同市では、監視やログの解析など頻繁に行っているわけではなかったが、同日は別の目的でアクセス状況を確認しており、14時半ごろグループウェアにおける不審なアクセスを偶然発見。ログを調査した結果、不正アクセスと判断し、同日15時半ごろ対象アカウントのパスワードを変更した。 同月16日にはファイルをダウ

情報処理推進機構（IPA）は、セキュリティ教育などに活用できる「情報セキュリティ読本　六訂版」を10月24日に発売する。約4年ぶりの改訂となり、近年見られる脅威やリスクなども取り上げている。 同書は、コンピュータやネットワークの利用者向けにセキュリティに関する基本的な知識を解説した教則本。2018年に刊行した「情報セキュリティ読本 五訂版」から約4年ぶりの改訂となり、環境の変化にあわせて内容を見直した。 具体的には、コロナ禍によるICT環境の変化に対応し、テレワーク環境を狙った攻撃やテレワークの関連機器に関する脆弱性について言及。スマートフォンにおける脅威や、セキュリティ対策の内容を充実させた。 また「ビジネスメール詐欺（BEC）」や「侵入型ランサムウェア攻撃」などの事例を掲載、あわせて「ゼロトラスト」や「サプライチェーン」といった話題もコラムで取り上げている。A5判152ページでISBM

トレンドマイクロのエンドポイント向けセキュリティ対策製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」において複数の脆弱性が明らかとなった。深刻度が「緊急」とされる脆弱性も含まれる。 同社では、両製品にあわせて6件の脆弱性が明らかとなったとしてアドバイザリをリリースしたもの。 脆弱性によって影響は異なるが、今回明らかとなった脆弱性において、強制ブラウジングの脆弱性「CVE-2022-41746」については共通脆弱性評価システム「CVSSv3.0」のベーススコアが「9.1」、深刻度が「緊急」と評価されている。脆弱性の悪用により権限の昇格が可能となり、エージェントのグルーピングを変更することが可能になるという。 また脆弱性対策として提供されている仮想パッチ機能において「TOCTOU（Time-of-check Time-of-use）」の脆弱

東京都目黒区は、個人情報が記載された「一時保育」の登録者名簿を紛失したことを明らかにした。 同区によれば、乳幼児の子どもを持つ区民が、区などが行う講座などに参加する際に、主催者が区民に代わって保育をする「一時保育」の登録者名簿1冊が所在不明となっているもの。 2022年度の一時保育登録者35人分の氏名、電話番号、携帯電話番号、一時保育担当区域、希望勤務曜日および時間、資格の有無などが記載されていた。 同名簿は人権政策課が作成。子育て支援課が管理しており、9月5日に使用しようとしたところ、ファイルの保管場所にないことが判明した。執務室内を探索し、関係職員にも聞き取りを行ったが見つかっていない。 同区では、対象となる登録者に謝罪の書面を送付し、電話であらためて説明を行っている。 （Security NEXT - 2022/10/07 ） ツイート

「Microsoft Exchange Server」にゼロデイ脆弱性が明らかとなった。サイバー攻撃に悪用されたことをきっかけに発見されたもので、マイクロソフトではアップデートの準備を急いでいる。 「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2022-41040」や、「PowerShell」にアクセスできる場合にリモートよりコードの実行が可能となる脆弱性「CVE-2022-41082」が明らかとなったもの。「CVE-2022-41040」を用いることで「CVE-2022-41082」による攻撃が可能になるという。ただし、悪用には認証済みのアクセスが必要。 ベトナムのセキュリティ事業者であるGTSCが、監視対象としていた「Exchange Server」において、「ProxyShell」と同様のフォーマットを用いた未知の脆弱性が悪用されていることを8月初旬に発見。8月

Internet Systems Consortium（ISC）が提供するDNSサーバ「BIND」に複数の脆弱性が明らかとなった。アップデートが提供されている。 バージョンや利用環境によって脆弱性の影響は異なるが、メモリリークが生じる「CVE-2022-2906」「CVE-2022-38177」「CVE-2022-38178」や、特定の設定においてサービス拒否が生じるおそれがある「CVE-2022-3080」など、あわせて6件の脆弱性が判明した。 今回の更新において重要度がもっとも高い「クリティカル（Critical）」とされる脆弱性は含まれておらず、悪用なども確認されていない。 「CVE-2022-2906」「CVE-2022-3080」「CVE-2022-38177」「CVE-2022-38178」の4件については、いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7