脆弱性と脅威
Rails においてレンダリング処理の不備に起因する遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Web アプリケーションフレームワークである Rails に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。
2020.08.12(水)
Web アプリケーションフレームワークである Rails に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。
7 月は米国を中心に、中国やロシアによるサイバー攻撃のアドバイザリーが複数発表されました。
毎年「夏を告げる男」として鵜飼さんのインタビューを ScanNetSecurity に掲載しているのですが今年はいつもと違う夏になりました。
2020 年 7 月に Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
人間はちっぽけな存在ではあるが、情報セキュリティ分野では AI より優れていると考えている。また、あえて現実世界に姿を現わしたり十分な陽光を浴びようとする人は少数だ。
2020 年 5 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
そう、営業トークに不安を煽られてはいけない。自分で考えるんだ。それは本当に必要な対策か?むしろ大事なことは、基本的な対策でありながら、多くの組織ではできていないここと、パッチ適用とパスワード管理問題だろう。
関東の自治体のサーバで使用されていた、ハードディスクの処分を請け負った企業の従業員が、私益のためにハードディスクを持ち出しネットで不正に転売していたことが 2019 年 12 月に明らかになった。
人間はちっぽけな存在ではあるが、情報セキュリティ分野では AI より優れていると考えている。また、あえて現実世界に姿を現わしたり十分な陽光を浴びようとする人は少数だ。
ガートナー社によると、新型コロナのパンデミック以前にビジネスを行うために構築された機械学習モデルは、経済がロックダウンから立ち直るにつれもはや有効ではなくなり、企業は機械学習と企業データ管理において新たな課題に直面することになるという。
ニューヨーク市議会は圧倒的多数の賛成で警察に監視テクノロジーの使用報告を義務づける法案を可決した。
不運な一人の情報システム担当者が、本人が断じて希望しない方法で、Have I Been Pwned サービス( HIBP )が彼の情報提供への依頼に回答したのを発見した ―― SQL 文を含む侵害報告メールが会社のヘルプデスクシステムをたたきのめした後で。
Web アプリケーションフレームワークである Rails に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。
2020 年 7 月に Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
2020 年 5 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
2020 年 5 月に、Hewlett Packard 社の OSS である LinuxKI に遠隔コード実行につながる脆弱性が報告されています。
![ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]](/imgs/std_l/31879.png)
7 月は米国を中心に、中国やロシアによるサイバー攻撃のアドバイザリーが複数発表されました。
6 月初旬は、5 月末に発表された NTTコミュニケーションズのインシデントの話題で持ちきりでした。
エアギャップ環境に対応したスパイ活動ツールキット「 Ramsay 」が、日本国内で発見された可能性が報告されています。同ツールは、朝鮮半島を拠点とする Darkhotel が利用したとみられ、その対象とみられる政府関連機関やメディアは警戒が必要です。
本アドバイザリーは、主に Hidden Cobra (別名、Lazarus )によるサイバー犯罪に対するものとなります。同グループからと推測されるサイバー攻撃は、日本の金融機関でも確認され始めていますので、本アドバイザリーは対岸の火事ではありません。
そう、営業トークに不安を煽られてはいけない。自分で考えるんだ。それは本当に必要な対策か?むしろ大事なことは、基本的な対策でありながら、多くの組織ではできていないここと、パッチ適用とパスワード管理問題だろう。
こんまりメソッドは5つのステップで考えるそうだ。後半は、前半と重複する話も含まれるけど、順を追っていこう。最後には、ラスボスが待っている。
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
脆弱性診断などの業務委託先は熊野にとって、安く早く高品質なサービスを提供させる「出入業者」ではなく、自分たちが価値を置く文化に同じく価値を置く「同僚でありチームメンバー」なのだろう。
新型コロナウイルス以前の世界に戻ることは決してなく、現在の異常事態が新しい常態になる。早い段階でそう判断した同社は「従業員」「顧客」「会社」のステークホルダー別に with コロナの重点方針と、コロナ後に選ばれる会社になるための事業方針をまとめた。
クラフは、移転および新オフィスの開設について発表した。
SHIFT SECURITYは、SHIFTオンラインセミナーシリーズの第2回として「アフターコロナでセキュリティ業界はこう変わる」を5月22日に開催する。参加費は無料。
クラウドストライク株式会社(CrowdStrike)は7月29日、「脅威インテリジェンス - 2020年上半期の重要な動向」ウェビナーを2020年8月20日に開催すると発表した。
クラウドストライク株式会社は7月13日、ランサムウェアの進化について取り上げるオンラインウェブセミナーを7月29日に開催すると発表した。
グローバルセキュリティエキスパート株式会社(GSX)は7月9日、クラウドストライク株式会社と共催のウェビナー「製造業様向けエンドポイントセキュリティ対策ウェビナー ランサムウェア脅威を正しく理解し、組織が今スグ対策できること」を8月5日に開催すると発表した。
クラウドストライク株式会社は7月13日、同社の脆弱性管理製品「Falcon Spotlight」を取り上げたウェビナーを2020年8月31日まで公開すると発表した。
![ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/31879.png)
ヤフー株式会社は8月6日、同社の各種サービスで使用するYahoo! JAPAN IDの登録情報システムに不具合が発生し、一部ユーザーのID登録情報が、他のID登録情報に誤って反映されたことが判明したと発表した。
和歌山県和歌山市は7月31日、個人情報等に係る部分で不開示としなければならない箇所が判別可能な状態で資料の交付を行ったと発表した。
京都市は7月16日、「中小企業等支援策活用サポートセンター」にて各相談者の情報がインターネット上で閲覧できる状態になっていたことが判明したと発表した。
公正取引委員会は7月21日、Webアンケートで一部の事業者が回答した内容が他の事業者に閲覧可能な状態になっていたことが判明したと発表した。
国立大学法人愛媛大学は7月9日、元職員が卒業生名簿の一部の個人情報を議員事務所・後援会事務所へ提供したことが判明したと発表した。
新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。
大阪府教育委員会は7月10日、同日付で教職員の懲戒処分を行ったと発表した。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月28日、「ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第2四半期(4月~6月)]を発表した。
独立行政法人情報処理推進機構(IPA)は7月28日、7月中旬から攻撃活動が再開した「Emotet」の観測状況について発表した。
独立行政法人情報処理推進機構(IPA)は7月22日、2020年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
独立行政法人情報処理推進機構(IPA)は7月21日、2020年第2四半期(4月~6月)の情報セキュリティ安心相談窓口の相談状況を公開した。
IPAは、「TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~」を公開した。
NICTとIPAは、共同で運営する「暗号技術活用委員会」の2019年度の活動成果として、「TLS暗号設定ガイドライン」第3.0版および「暗号鍵管理システム設計指針 (基本編)」第1版を作成し、公開した。
IPAは、2019年度下半期の「サイバーレスキュー隊(J-CRAT)活動状況」を発表した。
