パスワードを忘れた? アカウント作成
16488658 story
ソフトウェア

英環境・食料・農村地域省、使用アプリの30%がサポート切れでも発生する問題には対応できる 7

ストーリー by headless
問題 部門より
英環境・食料・農村地域省 (Defra) では使用するアプリケーションの 30 % がサポート切れとなっているが、発生する問題には対応できると考えているそうだ (The Register の記事)。

英会計検査院 (NAO) が昨年 12 月に公表した報告書 (PDF) によれば、Defra は最もレガシーシステムの問題に直面している英政府機関の一つであり、サポート切れのアプリケーションも 7 月時点で 30 % にのぼる。この問題について議会で答弁した Defra 事務次官の Tamara Finkelstein 氏によれば、直接サポートが受けられるアプリケーションが 20 %、ベンダーによる延長サポートを受けているアプリケーションが 50 % だという。残りの 30 % はサポートを延長することができないと説明していることから、直接サポートが無料サポート、延長サポートが有償サポートを指すとみられる。

そのため、サポート切れのアプリケーションに対しては監視の目を光らせ、問題発生時にはサポートを提供可能な他のサプライヤーに手助けしてもらえるよう手配してあるそうだ。同省では多数の傘下機関を引き継いでおり、同省で把握していないため、NAO の調査結果以上に問題が大きい可能性もあるとのこと。Defra のデジタル・情報責任者 Chris Howes 氏によれば、アプリケーションの問題発生時に対応するのは内部の技術班と Capgemini や IBM を含むサービスプロバイダーだという。「ハイパーケア」の一環として、追加でサービスの定期的な監視も行う。

根本的な解決にはアプリケーションのアップグレードが必要となり、そのための予算割り当ても受けているが、予算が足りるかどうかはまた別の話とのことだ。
16488507 story
マイクロソフト

Microsoft、インターネットから取得した Excel の XLL アドインをブロックへ 16

ストーリー by headless
阻止 部門より
Microsoft が Microsoft 365 のロードマップを更新し、Excel でインターネットから取得した XLL アドインを 3 月からブロックする計画を示している (ロードマップThe Register の記事)。

XLL は C API を使用する高パフォーマンスな Excel アドインで、一種の Excel 専用 DLL と位置付けられる。Microsoft では最近数か月間のマルウェア攻撃増加をブロック開始の理由として挙げている。Cisco Talos によると XLL アドインを使用した攻撃は 2017 年には確認されており、散発的な発生にとどまっていたが、2021 年末から急増していたそうだ。
16488070 story
セキュリティ

米国家安全保障局、IPv6 セキュリティガイダンスを公開 31

ストーリー by headless
移行 部門より
米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している (プレスリリースガイダンス: PDFThe Register の記事)。

ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。
  • プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する
  • 必要な場合を除いてトンネリングを避ける
  • デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装
  • 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする
  • すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける

このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。

16483238 story
アメリカ合衆国

米航空会社のサーバーからテロリストデータベースが流出した可能性 23

ストーリー by nagazou
やばすぎ 部門より
Daily Dotなどの報道によると、スイスのハッカー「maia arson crimew」氏は最近、あるセキュリティ保護されていないサーバーを発見したそうだ。このサーバーの中には、米国政府のテロリスト審査用データベースと飛行禁止者リスト、これに関連する何十万人もの個人のIDが含まれていたそうだ(maia blogDaily Dot)。

maia arson crimew氏によって発見されたこのサーバーは、米航空会社CommuteAirが運営していたものでネット上に公開されたままになっていたという。このサーバーには約1000人のCommuteAirの従業員の個人情報を含む、膨大な量の企業データがあったとしている。

同氏がこのサーバーを分析した結果、「NoFly.csv」という名前のテキストファイルが発見された。これが前述のテロリスト審査用データベースなどだったようだ。このリストには全部で150万件以上の項目があり、名前や生年月日、複数の偽名も含まれていた。中には最近釈放されたロシアの武器商人Viktor Boutを含む著名人が含まれていたとされる。曰く、彼には16もの偽名の候補があったそうだ。ことの経緯に関しては発見者であるmaia arson crimew氏のブログに記載されている。

【修正しました】
米国の国営航空会社としていた部分を「米航空会社」に修正させていただきました[1月27日8時 nagazou]。
16483142 story
SNS

強盗グループ、指示出しにTelegramなどを常用 24

ストーリー by nagazou
WhatsAppかTelegramか 部門より
東京都で90歳女性の殺害が起きるなど被害が広がっている強盗事件で、逮捕された主犯の男が指示に通信アプリ「Telegram」を使っている可能性が指摘されている。グループはSNS上の「闇バイト」募集で実行役を集めているとされ、こうした募集に応じた相手に対しては暗号化技術により匿名性が高いTelegramを用いて連絡を取っていたそうだ(毎日新聞日刊スポーツ)。

Telegramにはサーバーを通さず、ユーザー間通信でメッセージを送ることができるほか、設定した時間が経過すると、メッセージが消える機能も備わっている。Telegramを用いて指示を出す手法は強盗グループの間では一般的であるとされている。警視庁などの解析によると、今回の事件ではルフィと名乗る人物からTelegram経由で強盗の日時や場所、手順などの指示を受けていたケースが複数確認されたとしている。
16474819 story
変なモノ

マイナンバーカードに別人の顔写真、市が誤交付 45

ストーリー by nagazou
データの管理方法がまずいのでは 部門より
先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという(朝日新聞読売新聞)。

nemui4 曰く、

税務署に続いてマイナカードで取り違え事案

 市は「チェック体制の強化を図り、再発防止に努める」としている。

「間違えないように確認する」チェック体制ではない事をいのります。
そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。

16474781 story
バグ

Java SEに脆弱性。IPAとJPCERT/CCは修正パッチの早期適用を呼び掛け 24

ストーリー by nagazou
早期 部門より
情報処理推進機構(IPA)とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している(IPAJPCERT/CCOracle Critical Patch Update Advisory - January 2023ITmedia)。
16473949 story
ネットワーク

Wi-Fi機器をスリープさせないことでバッテリー残量を急速に低下させる攻撃 17

ストーリー by nagazou
眠らない、眠ら~せない 部門より
米スタンフォード大学、米UCLA、カナダのウォータールー大学の研究者が発表した論文によると、Wi-Fi機器に偽のデータパケットを継続的に送信することで、機器のバッテリーの電気を急速に低下させる攻撃が可能になるという。この研究は、IEEE 802.11規格に存在する二つの脆弱性を活用して攻撃をおこなった(ITmedia)。

一つ目の脆弱性は、応答すべきでないときに応答する仕様。ネットワーク外の不正なWi-Fiデバイスから受信した偽のパケットに対しても、ACK(Acknowledgment、受信完了通知)で応答を返してしまうこと。二つ目はWi-Fi無線が起動してはいけない時に起動している仕組み。

Wi-Fi機器の大半では、節電のためのスリープモードを搭載しているが、Wi-Fi機器は定期的に起動して、関連するアクセスポイントから送信されるビーコンフレームを受信する仕組みになっている。しかし、これらのビーコンフレームは暗号化されておらず、ビーコンフレームを偽造して送信することで、外部からターゲットのWi-Fi機器を常に起動させておくことができるのだという。

研究チームが攻撃距離を調べる実験を行った結果、100m以内の距離でも、ほぼ全てのターゲットデバイスが応答、150m離れた場所でも73%という高い応答率だったことが分かったとしている。
16471634 story
マイクロソフト

Microsoft、サポート診断ツールの廃止を計画か 4

ストーリー by nagazou
根本的対策 部門より
headless 曰く、

Microsoft は 2025 年までに Microsoft サポート診断ツール (MSDT) を廃止する計画のようだ (Neowin の記事Rafael Rivera 氏のツイート)。

この情報は Microsoftが 12 日に DevチャネルでリリースしたWindows 11 Insider Preview ビルド25276に含まれており、ViVeTool のようなツールで構成 ID「42606374」を有効化すれば MSDT のダイアログボックスに追加で表示されるようになる。追加内容は日本語化されておらず、日本語環境でも英文で「Microsoft Support Diagnostic Tool (MSDT) will be retired by 2025. Learn more.」と表示される。「Learn more」のリンク先は現在のところ一般公開されていないようだ。

MSDT ではたびたび脆弱性が見つかっているが、Microsoft がセキュリティに関する問題だとすぐには認めず修正に時間がかかってきた。そのため、廃止になればセキュリティが向上するとの見方も出ている。

16470254 story
英国

英 Royal Mail、サイバーインシデントで国外あての物品が発送できなくなる 13

ストーリー by headless
印刷 部門より
英国の郵便サービス Royal Mail が輸出業務に問題が生じていることを明らかにし、問題が解決するまで国外あての物品を送らないよう呼びかけている (Royal Mail のツイートThe Telegraph の記事Sky News の記事Cyber Security Hub の記事)。

本件を Royal Mail では「サイバー インシデント」と呼んでいるが、The Telegraph によるとランサムウェアの被害にあったようだ。このランサムウェアは LockBit Black と呼ばれるもので、Royal Mail が国際小包の税関ラベルを印刷するコンピューターに感染したのだという。北アイルランドの Royal Mail ディストリビューションセンターではプリンターがランサムノートを大量に印刷し始めたとも報じられている。The Telegraph が入手したランサムノートには「LockBit Black Ransomware」と記載されている。

Royal Mail ではランサムウェア被害に関する質問への回答を拒否し、顧客には問題解決に取り組む間一時的に輸出品を送らないよう要請していると回答するにとどまったという。国家サイバーセキュリティセンター (NCSC) は本インシデントを認識し、国家犯罪対策庁とともに調査を進めているとのみ説明する声明を出している。

なお、Royal Mail では現在ロックバンド Iron Maiden の記念切手を発売しており、公式サイトはこちらがトップになっている。
16465186 story
ニュース

昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 15

ストーリー by nagazou
どこまで戻せたんだろう 部門より
昨年10月にサイバー攻撃を受け、電子カルテが閲覧できなくなったことから一時診療を取りやめていた「大阪急性期・総合医療センター」のシステムが復旧したそうだ。同院では外来診療や手術を中止するなどの問題が起きていた。その後、国の支援チームなどが復旧作業に協力。1月4日から全ての診療科の外来で新規患者の受け付けを再開。画像診断や生理検査などに関するシステムも復旧したという。1月11日からは従来どおりの診療体制に戻っているようだ(TBS NEWS DIG)。
16443527 story
お金

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案 35

ストーリー by nagazou
いくらなんでもザルすぎる 部門より
さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている(さわださんのツイートその2その3)。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい?

16443567 story
Windows

Windows 8.1 サポート終了、Windows 7 ESU 終了 31

ストーリー by nagazou
ラスト 部門より
headless 曰く、

Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。

これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。

一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

16434048 story
Windows

Windows Server 2012/2012 R2は10月で延長サポート終了 9

ストーリー by nagazou
終了 部門より
headless 曰く、

10 月 10 日の Windows Server 2012 / 2012 R2 延長サポート終了に向け、顧客がとるべき対策をMicrosoftがまとめている (Microsoft Learn の記事Softpedia の記事On MSFT の記事)。

Windows Server 2012 / 2012 R2 では延長サポート終了後、有償で拡張セキュリティ更新プログラム (ESU) が 3 年間提供される。ただし、Azure に移行すれば ESU を無償で受け取ることができる。オンプレミスの場合は ESU を購入するか、Windows Server 2022 にアップグレードするかの選択となる。Azure に移行する場合もオンプレミスのまま利用する場合も ESU の提供は 2026 年 10 月 13 日で終わるため、3 年以内にアップグレードが必要だ。

16427776 story
情報漏洩

Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した? 41

ストーリー by headless
確認 部門より
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事The Verge の記事Ghacks の記事Have I Been Pwned の流出サイト情報Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...