脆弱性と脅威
ここが変だよ日本のセキュリティ 第43回 「パスワード管理は続くよ、どこまでも(パスつづ)」(後編)
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
2020.10.27(火)
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
2020 年 7 月に、UNIX 系 OS である FreeBSD に、管理者権限の奪取が可能となる脆弱性が報告されています。
マイクロソフトのGitホスティングサービス「GitHub」の競合サービスである「GitLab」が顧客のホストするソフトウェアプロジェクトのセキュリティについて2回目のテストを実施、そして不備を発見した。
測定結果の内容については賛否両論あるかと思いますが、日本のトップ 10 へのランクインは思いのほか高評価です。測定項目は「Surveillance」「Defense」「Information Control」「Intelligence」「Commercial」「Offense」「Norms」の 7 つです。
東京証券取引所(東証)は、木曜日の大半がオフラインとなり、これまでで最長の停止となった。
2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。
Interop2020で、ATT&CKフレームワークの概要とこれを2015年の年金機構のインシデント(124万件以上の個人情報が流出したとされる)にあてはめるとどうなるかを考察したセッションが行われた。その内容を紹介する。
前回の大統領選挙ではクリントン陣営にロシアからの選挙介入があったとされ、今回の選挙でも他国からの介入や選挙妨害が予想されている。しかし、選挙へのサイバー攻撃の狙いは、特定候補や政党を当選させる工作だけではないという。
マイクロソフトのGitホスティングサービス「GitHub」の競合サービスである「GitLab」が顧客のホストするソフトウェアプロジェクトのセキュリティについて2回目のテストを実施、そして不備を発見した。
東京証券取引所(東証)は、木曜日の大半がオフラインとなり、これまでで最長の停止となった。
サイバーセキュリティのトレーニング機関 SANS Institute の職員の電子メールアカウントが不正アクセスされ 28,000 件の個人情報が失われた。
人間はちっぽけな存在ではあるが、情報セキュリティ分野では AI より優れていると考えている。また、あえて現実世界に姿を現わしたり十分な陽光を浴びようとする人は少数だ。
2020 年 7 月に、UNIX 系 OS である FreeBSD に、管理者権限の奪取が可能となる脆弱性が報告されています。
2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。
2020 年 6 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
2020 年 8 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
![日本トップ10入り、ハーバード大学 世界各国のサイバーパワーをランク付け ほか [Scan PREMIUM Monthly Executive Summary]](/imgs/std_l/32337.png)
測定結果の内容については賛否両論あるかと思いますが、日本のトップ 10 へのランクインは思いのほか高評価です。測定項目は「Surveillance」「Defense」「Information Control」「Intelligence」「Commercial」「Offense」「Norms」の 7 つです。
インシデントは、Maze ランサムウェアの被害が話題となりました。業務関連データの暗号化に加え、社外秘情報などの一般公開は、新型コロナウイルスの売上減への更なる追い討ちとなりかねません。
7 月は米国を中心に、中国やロシアによるサイバー攻撃のアドバイザリーが複数発表されました。
6 月初旬は、5 月末に発表された NTTコミュニケーションズのインシデントの話題で持ちきりでした。
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
今回のコラムでは、社内のOAの一般利用者のパスワードを想定することにした。IDの持ち主はIT音痴なオッサンや、スマホしか使ったことのない新入社員も含める。企業のセキュリティ管理者の悩みどころだ。
そう、営業トークに不安を煽られてはいけない。自分で考えるんだ。それは本当に必要な対策か?むしろ大事なことは、基本的な対策でありながら、多くの組織ではできていないここと、パッチ適用とパスワード管理問題だろう。
こんまりメソッドは5つのステップで考えるそうだ。後半は、前半と重複する話も含まれるけど、順を追っていこう。最後には、ラスボスが待っている。
来週10月7日水曜日から3日間にわたって開催される総合セキュリティカンファレンス Security Days Fall 2020は、東京駅至近のJPタワーホール&カンファレンスの4階で、充分な感染予防対策実施のもと、リアルイベントとして開催される。
脆弱性診断などの業務委託先は熊野にとって、安く早く高品質なサービスを提供させる「出入業者」ではなく、自分たちが価値を置く文化に同じく価値を置く「同僚でありチームメンバー」なのだろう。
新型コロナウイルス以前の世界に戻ることは決してなく、現在の異常事態が新しい常態になる。早い段階でそう判断した同社は「従業員」「顧客」「会社」のステークホルダー別に with コロナの重点方針と、コロナ後に選ばれる会社になるための事業方針をまとめた。
クラフは、移転および新オフィスの開設について発表した。
この報告書の真の価値は、ニュース等で断片的に知っていたランサムウェアに関する情報がつなぎ合わせられ、サイバー犯罪産業としてのランサムウェアの全体像を俯瞰する視点が得られるところにあるといえる。
マクニカネットワークス株式会社は10月7日、米国Splunk社のSplunk Enterpriseを活用した「Splunk×CrowdStrike Falcon Insight,Macnica Original App」を開発したと発表した。
Fal.Con 2020は年1回開催する、クラウドストライク のコーポレートイベントです。2020年10月15日に開催(米国時間、日本では10月27日14時半より開催)する、第4回 CrowdStrike Cybersecurity Conferenceについて共有したいと思います。
通常フォレンジックサービス企業が行うのは、侵害経緯や事後対策案等を記した報告書提出までである。はじめてインシデントに遭遇した企業はそこではじめて、フォレンジック調査会社が端末等の復旧まで行ってはくれないことに気づくこともある。
大阪市は10月23日、大阪市福祉局にて郵便物を発送する際に使用する「大阪市役所郵便物発送請求券料金後納郵便物差出票の裏面に個人情報が印刷されていたことが判明したと発表した。
株式会社エポック社は10月20日、同社が10月14日に公表した同社運営の「シルバニアファミリーオンラインショップ」での個人情報流出について調査結果を発表した。
新潟県は10月16日、「『入札情報サービス』への掲載に関する不適正事案に係る全庁調査の結果について(第3報・最終報)」の調査過程で、入札情報以外に誤って個人情報が含まれた事案が確認されたため同様の事案有無に係わる全庁調査を行い、その結果を発表した。
株式会社エポック社は10月14日、同社が運営する「シルバニアファミリーオンラインショップ」について個人情報流出のお詫びとオンラインショップの停止を発表した。
ペットフード及びペット用品の販売を行う25Holdings Pte.Ltd.は9月25日、同社のWebサイトからサンプル申込みフォームを利用した一部顧客の個人情報が閲覧可能な状態であったことが判明したと発表した。
医療法人クレモナ会ティーエムクリニックは10月5日、加須市騎西保健センターで9月30日に実施した骨密度測定で受診した住民の骨密度測定データが保存されたUSBメモリを紛失したと発表した。
note株式会社は9月30日、8月14日に公表した、同社が運営するメディアプラットフォームnoteにて記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた件について、その後の対応と安全性確保のための施策、再発防止策について発表した。
独立行政法人情報処理推進機構(IPA)は10月21日、「情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]」を発表した。
独立行政法人情報処理推進機構(IPA)は9月14日、Microsoft Office 2010のサポート終了に伴う注意喚起を発表した。
独立行政法人情報処理推進機構(IPA)は9月2日、7月中旬から攻撃活動が再開した「Emotet」について、相談が急増したパスワード付きZIPファイルを使った攻撃の例を発表した。
