【セキュリティ ニュース】Pマーク事業者の個人情報関連事故報告、前年度の約2.3倍に(1ページ目 / 全2ページ):Security NEXT
日本情報経済社会推進協会(JIPDEC)は、2022年度にプライバシーマーク付与事業者から報告があった個人情報関連の事故状況について取りまとめた。報告件数が前年度の約2.3倍へと大幅に増加している。なかでも「不正アクセス」や「マルウェア」に起因する事故が高い増加率を示している。 2022年度におけるPマークの付与事業者は1万7480社。前年度の1万6957社から3%ほど増加した。漏洩や紛失、毀損、不正取得、目的外利用など個人情報に関する事故について報告したPマーク付与事業者は1460社。報告件数は7009件にのぼる。 1045社3048件だった前年度と比較すると事業者数ベースで約1.4倍、事故数ベースで約2.3倍に増加している。ただし、今回より、配達委託先に起因して不可抗力で生じた事故についても含めるよう集計方法が変更されている点に注意が必要となる。 事故の内容としては「漏洩」が5335件
【セキュリティ ニュース】研究者が脆弱性「TunnelCrack」を発表 - 多くのVPNクライアントに影響(1ページ目 / 全5ページ):Security NEXT
通信を保護する「VPN(Virtual Private Network)」に関する脆弱性「TunnelCrack」が発表された。トラフィックが外部に漏洩するおそれがある脆弱性で多くの「VPNクライアント」が影響を受ける。 「TunnelCrack」は、「VPN」に関連する複数の脆弱性を総称したもので、信頼性の低いネットワークへ接続した際、経路などを不正に操作され、トラフィックを傍受されるおそれがある。ニューヨーク大学やルーベンカトリック大学のセキュリティ研究者が論文を公表した。8月11日に「USENIX Security 2023」で発表を予定している。 VPNによるトンネルを確立する前に経路が不正操作されることにより生じる脆弱性で「VPN」の利用当初より存在。「VPN」で使用する暗号プロトコルに関係なく影響を受ける。本来保護されるネットワークトンネルよりトラフィックが流出するおそれがある
【セキュリティ ニュース】5年ぶりに全面改訂、「セキュリティ対応組織の教科書 第3.0版」が公開(1ページ目 / 全1ページ):Security NEXT
日本セキュリティオペレーション事業者協議会(ISOG-J)は、「セキュリティ対応組織の教科書 第3.0版」を公開した。ITU-T勧告の発行を受けて約5年ぶりに全面改訂し、より実用的な内容を目指した。 同資料は、「SOC」や「CSIRT」などセキュリティ対応を行う組織の機能や役割などを取りまとめたもの。国際電気通信連合の電気通信標準化部門における国際標準「ITU-T勧告 X.1060」や国内標準「JT-X1060」で参照されている。 平時の運用からインシデント対応に至るまで、セキュリティ対応組織の方向性を示しており、経営層、管理者、現場実務者など、幅広い立場の読者を想定している。 2016年11月に初版を公開、その後も版を重ねてきたが、2021年10月に「ITU-T勧告 X.1060」が公開されたことにともない、2018年3月にリリースした第2.1版から約5年ぶりとなる改訂を行った。全面的な
【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正(1ページ目 / 全1ページ):Security NEXT
OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。 重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高(High)」と1段引き下げた。 また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見され
【セキュリティ ニュース】国内で約8000台の「FortiOS」管理者ログイン画面が丸見え - 標的となるおそれ(1ページ目 / 全2ページ):Security NEXT
深刻な脆弱性「CVE-2022-40684」が明らかとなり、広く注意喚起が行われているFortinet製品「FortiOS」「FortiProxy」「FortiSwitchManager」だが、「管理者ログイン画面」が公開された状態の機器が多数存在している。脆弱性の影響を受けるか定かではないが、こうした機器に対して脆弱性の探索が行われる可能性は高く、製品の利用者は注意が必要だ。 マクニカが、脆弱性データベース「Shodan」を用いて、脆弱性の影響の受けると見られる関連機器の登録状況について調査し、結果を取りまとめたもの。 具体的には、攻撃を受ける可能性がある機器として管理者用ログイン画面が公開されている機器の状況を調べた。 10月13日の時点でグローバルにおいて19万6668台、日本国内で8161台が「Shodan」に登録されており、国外においても日系企業が利用しているものと見られるものが
【セキュリティ ニュース】「FortiOS」「FortiADC」など複数のFortinet製品に脆弱性(1ページ目 / 全1ページ):Security NEXT
Fortinetは、複数の同社製品向けに脆弱性を修正したセキュリティアップデートをリリースした。 「FortiOS」「FortiProxy」「FortiADC」「FortiMail」では、コマンドラインにおける文字列の処理において脆弱性「CVE-2022-22299」が判明した。認証されたユーザーによってコードやコマンドを実行されるおそれがある。 同社では共通脆弱性評価システム「CVSSv3」のベーススコアを「7.4」、重要度を上から2番目にあたる「高(High)」と評価している。 また「FortiADC」の認証済みユーザーのパスワード変更フォームにおいて、古いパスワードの確認をバイパスできる認証不備の脆弱性「CVE-2022-27484」が明らかとなったほか、「FortiOS」において情報漏洩の脆弱性「CVE-2022-23442」が判明している。 同社では、これら脆弱性を修正するアップ
【セキュリティ ニュース】Skyが脆弱性報奨金制度 - CVSS基本値から金額算出、RCEで最大150万円を加算(1ページ目 / 全1ページ):Security NEXT
IT資産管理製品を展開するSkyは、同社製品やウェブサービスのセキュリティ向上に向けて、バグ報奨金制度をスタートした。 同社製品やサービスに関する脆弱性やセキュリティ上の課題について募集し、報告に対して報奨金を支払う「Sky脆弱性報奨金制度(Sky Bug Bounty Program)」を開始したもの。川口設計が監修を務めている。 「SKYSEA Client View」「SKYDIV Desktop Client」をはじめとするパッケージ製品や、「SKYSEA Client View Cloud」などのクラウドサービス、コーポレートサイト、製品サイトなどを対象に、未知の脆弱性を報告した場合に報奨金を支払う。 同社では制度の開始とあわせて禁止事項を含む規約や、ルールブックを公開した。報奨金のベース金額は、共通脆弱性評価システム「CVSSv3」のベーススコアに応じて算出するしくみで、脆弱性
【セキュリティ ニュース】主要Linuxディストロに脆弱性「PwnKit」 - 実証コードも(1ページ目 / 全2ページ):Security NEXT
主要Linuxディストリビューションをはじめ、UNIX系のOSで広く導入されているコンポーネント「polkit」に権限昇格の脆弱性が明らかとなった。脆弱性を悪用されるとroot権限を取得されるおそれがある。 権限の制御に利用される「PolKit(旧PolicyKit)」の「pkexec」においてメモリ破損が生じ、権限の昇格が可能となる脆弱性「CVE-2021-4034」が明らかとなったもの。 Qualysが11月に発見、報告したもので、「polkit」をもじって別名「PwnKit」と命名した。悪用には攻撃対象機器のローカル権限が必要となるが、root権限を取得されるおそれがある。 同社が検証を行ったところ、デフォルト状態の「Ubuntu」「Debian」「Fedora」「CentOS」においてroot権限を取得できることを確認した。脆弱性は2009年以降存在しており、すべてのバージョンの「
【セキュリティ ニュース】「Samba」に深刻な脆弱性 - リモートよりコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
「Samba」の開発チームは、最新版となる「Samba 4.15.5」「同4.14.12」「同4.13.17」をリリースし、深刻な脆弱性に対処した。早急にアップデートを実施するよう求めている。 今回のアップデートは、3件の脆弱性に対応したセキュリティリリース。「CVE-2021-44142」「CVE-2022-0336」「CVE-2021-44141」を修正した。 「CVE-2021-44142」は、VFSモジュールである「vfs_fruit」を使用している場合に、域外のメモリへアクセスするおそれがある脆弱性。リモートよりroot権限でコードを実行されるおそれがある。 脆弱性の悪用には、拡張ファイル属性の書き込み権限が必要となるが、権限さえあればゲストなど認証なしに攻撃が可能だという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」と評価されている。 一方「CVE-20
【セキュリティ ニュース】複数言語向けの「HTMサニタイザ」に脆弱性 - XSSのおそれ(1ページ目 / 全1ページ):Security NEXT
「OWASP Java HTML Sanitizer」をはじめ、「HTML要素」を除去するために複数言語で利用されている「HTMLサニタイザー」において、適切に処理が行われず、クロスサイトスクリプティング(XSS)が可能となる脆弱性が明らかとなった。 「SELECT」「STYLE」「OPTION」要素を許可している場合に、ポリシーが適切に反映されない脆弱性が明らかとなったもの。 同脆弱性の影響により、スクリプトなどのサニタイズが行われず、クロスサイトスクリプティング(XSS)が可能となるもので、実証コード(PoC)も公開されている。 「OWASP Java HTML Sanitizer」では、「CVE-2021-42575」が採番された。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「ク
【セキュリティ ニュース】「TCP 6379番ポート」宛てのパケットが増加傾向 - JPCERT/CC観測(1ページ目 / 全1ページ):Security NEXT
JPCERTコーディネーションセンターは、2021年第3四半期における攻撃パケットの観測状況を取りまとめた。「TCP 6379番ポート」宛てのパケットが増加傾向にあるという。 同四半期に同センターがグローバルに設置するセンサーで観測した攻撃パケットの状況を取りまとめたもの。「telnet」に用いる「TCP 23番ポート」宛て送信されたパケットが最多だった。NoSQLデータベース「Redis」で使用されている「TCP 6379番ポート」、SSHで使用する「TCP 22番ポート」と続いている。 「TCP 6379番ポート」に対するパケットは、四半期を通じて観測されており、後半に向けて増加傾向が見られた。パケットの8割超は中国より送信されたもので、米国、シンガポール、香港、ロシアなどからのパケットも確認されている。また国内のIPアドレス約20件から送信されたパケットも観測し、IPアドレスの管理者
【セキュリティ ニュース】「送信ドメイン認証」導入マニュアルに第3版 - 「DMARC」導入を解説(1ページ目 / 全1ページ):Security NEXT
迷惑メール対策推進協議会(ASPC)は、「送信ドメイン認証技術導入マニュアル」の第3版を公開した。日本データ通信協会の同協議会ページよりPDFファイルでダウンロードすることができる。 同マニュアルは、なりすましメール対策に有効な送信ドメイン認証技術を解説した資料。メールシステムの概要を説明した上でドメイン認証のしくみや「DNS」におけるレコードの記述方法などを説明している。 今回の導入マニュアルの改訂にあたっては、従来の「SPF(Sender Policy Framework)」「DKIM(DomainKeys Identified Mail)」にくわえて、第2版の発行後に仕様が策定された「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」の解説を追加した。 応用編では「DMARC」を導入することを
【セキュリティ ニュース】次期「サイバーセキュリティ戦略案」を決定 - DXとセキュリティを同時推進(1ページ目 / 全2ページ):Security NEXT
政府は、サイバーセキュリティ戦略本部の第31回会合を開催し、次期「サイバーセキュリティ戦略案」を決定した。 「サイバーセキュリティ戦略」は、サイバーセキュリティ基本法に基づき、政府における今後3年間のサイバーセキュリティ施策に関する目標や実施方針を示したもの。前回2018年7月の決定より3年が経過し、あらたな戦略案を取りまとめた。 2021年度の年次計画となる「サイバーセキュリティ2021案」とあわせて7月から8月にかけてパブリックコメントを実施。115件の意見が寄せられ、これらを踏まえて両案を決定した。近く閣議決定される見通し。 次期「サイバーセキュリティ戦略案」では、これまでと同様、「情報の自由な流通の確保」「法の支配」「開放性」「自律性」「多様な主体の連携」を基本原則としつつ、デジタルトランスフォーメーションとセキュリティの同時推進や、安全保障への対応、安心、安全なサイバー空間の構築
【セキュリティ ニュース】JIPDECとフィ対協、メーラーの「S/MIME」対応状況を調査(1ページ目 / 全2ページ):Security NEXT
日本情報経済社会推進協会(JIPDEC)とフィッシング対策協議会は、メールソフトやメールサービスにおける「S/MIME」の対応状況について調査を実施し、結果を取りまとめた。 メールの改ざん防止や発信者偽装の防止、暗号化などに用いられる「S/MIME」について、「Windows」「iOS」「Android」向けアプリやサービスの対応状況を5月から7月にかけて調査を実施したもの。 具体的には「Outlook」や「Gmail(無料版)」「Yahooo!メール」についてアプリやウェブブラウザ利用時の対応状況のほか、「Thunderbird」や「iOS標準メーラー」など12種類の環境について、「S/MIME」による電子署名や暗号化の送受信対応状況について調べた。 メール受信時における電子署名の検証は、調査対象において「Yahooo!メール」以外の環境ではすべて対応していた。ただし送信可能な環境は半数
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】日能研のウェブサーバに不正アクセス - SQLi攻撃でメルアド流出か(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】ESETのmacOS版に保護機能を無効化できる脆弱性(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】試験の解答用紙ファイル内に前年度の成績情報 - 山形大(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】資源ゴミ保管場所から文書盗難、隣県路上に散乱 - 明日香村(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】顔認証によるショルダーハッキング対策製品、マスク着用に対応(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】通信事業者のフロー情報用いたC2サーバ検知は正当業務 - 総務省がパブコメ(1ページ目 / 全1ページ):Security NEXT