gmailをgmaiと誤入力して新入生135人の個人情報が流出。京都市立芸術大 58
ストーリー by nagazou
ぐまい 部門より
ぐまい 部門より
アナウンス:スラドとOSDNは受け入れ先を募集中です。
2021年4月のセキュリティ人気記事トップ10
タスク管理ツール「Trello」を公開設定で使っている企業が多数見つかり漏洩騒ぎに 76
ストーリー by nagazou
Oh!人事 部門より
Oh!人事 部門より
あるAnonymous Coward 曰く、
4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ(ITmedia、Twitterのまとめ)。
「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで(デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる)、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。
採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 73
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
IPA(独立行政法人情報処理推進機構)とJPCERT/CCは9日、NEC製無線LANルータ「Aterm」の一部機種に複数の脆弱性があるとする報告を行った。情報の詳細は脆弱性情報サイト「JVN」にて公開されている(JVN、JVNその2、ケータイ Watch、マイナビニュース)。
報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング(CVE-2021-20680)とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション(CVE-2014-8361)の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。
報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング(CVE-2021-20680)とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション(CVE-2014-8361)の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。
在宅勤務PCの監視アプリが登場。URL閲覧時間や自動スクリーンショット機能付き 88
ストーリー by nagazou
私物PCに入れるのはちょっと 部門より
私物PCに入れるのはちょっと 部門より
在宅勤務を監視するためのアプリ「ManicTime Pro」がライフボードから発売されたそうだ(PR TIMES、PC Watch)。
ManicTime Proでは、PCを利用した作業時間や使用したアプリの種類、編集したファイルやURLごとに見ていた時間、各作業時のスクリーンショットなどを自動で保存し、結果をグラフやレポートとして確認できる。またレポーティング機能を利用して、週報や月報といった業務報告書の作成にも利用できるとしている。
なお以前炎上し、削除されることとなったMicrosoft 365の生産性スコア機能(productivity score)のように自動でレポートを送信する機能は持っていないが、リリースによれば、サーバーに転送する機能も別途リリースされる予定があるとしている。
ManicTime Proでは、PCを利用した作業時間や使用したアプリの種類、編集したファイルやURLごとに見ていた時間、各作業時のスクリーンショットなどを自動で保存し、結果をグラフやレポートとして確認できる。またレポーティング機能を利用して、週報や月報といった業務報告書の作成にも利用できるとしている。
なお以前炎上し、削除されることとなったMicrosoft 365の生産性スコア機能(productivity score)のように自動でレポートを送信する機能は持っていないが、リリースによれば、サーバーに転送する機能も別途リリースされる予定があるとしている。
楽天グループ、日米両政府の監視対象になる 75
ストーリー by nagazou
日本郵政との提携も問題に? 部門より
日本郵政との提携も問題に? 部門より
楽天グループが日米政府の監視対象となったそうだ。理由としては安全保障の観点から。同グループは3月に中国のIT大手テンセントから出資をされている点。楽天は株式の3.65%にあたる650億円余りの出資をテンセントから受けている(共同通信、NHK)。
報道によれば、日米の顧客情報がテンセントを通じて漏れることを警戒しての措置であるという。日本政府が外国為替法に基づいて楽天から定期的に聞き取りし、安全保障の観点から問題がないか調査するとしている。外国為替法では、国の安全保障に重要な企業が株式の1%以上を取得する場合、事前に政府の届け出が必要となるという。なお、今回の投資に関しては事前の届け出はなかったとしている。
LINE WORKS利用時の誤操作で顧客160人がつながってしまうトラブル、トークルーム削除機能は提供されず 39
ストーリー by nagazou
誤操作 部門より
誤操作 部門より
富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した(富士薬品、Security NEXT)。
顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。
顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。
犬や猫に対するマイクロチップ埋め込み義務が22年6月から施行。飼い主情報変更が求められる 90
ストーリー by nagazou
チップ埋め込みは有料? 部門より
チップ埋め込みは有料? 部門より
2019年6月に国会で改正動物愛護法(「動物の愛護及び管理に関する法律等の一部を改正する法律」)が成立した。この法律では犬や猫に対して、飼い主などの情報を付与したマイクロチップ埋め込みの義務付けが求められる。合わせて環境省は8日、指定登録機関に関する省令の公布を行った。2021年6月1日から犬や猫に飼い主情報を記録したマイクロチップの装着が求められる(環境省、読売新聞)。
具体的には、犬猫の繁殖業者等に識別番号が記録されたマイクロチップの装着・登録が求められるほか、登録された猫を所有した場合も情報の登録や変更届出を義務付けている。読売新聞によると、このマイクロチップは直径約2ミリ、長さ約8~10ミリほどで、犬猫の背中付近に埋め込むという。識別番号は環境省のデータベースで管理されており、専用リーダーで読み込むことで飼い主情報が把握できるとのこと。
具体的には、犬猫の繁殖業者等に識別番号が記録されたマイクロチップの装着・登録が求められるほか、登録された猫を所有した場合も情報の登録や変更届出を義務付けている。読売新聞によると、このマイクロチップは直径約2ミリ、長さ約8~10ミリほどで、犬猫の背中付近に埋め込むという。識別番号は環境省のデータベースで管理されており、専用リーダーで読み込むことで飼い主情報が把握できるとのこと。
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 58
ストーリー by headless
自動 部門より
自動 部門より
MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップ、 On MSFTの記事、 BleepingComputerの記事)。
詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。
現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。
現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 61
ストーリー by nagazou
現役と思われる機種も多いので確認を 部門より
現役と思われる機種も多いので確認を 部門より
あるAnonymous Coward 曰く、
バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。
JPCERTによると
CVE-2021-3511:第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512:第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716:第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。
基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。
JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
Microsoft、5月10日からSHA-2アルゴリズムへ全面移行 40
ストーリー by headless
移行 部門より
移行 部門より
Microsoftは14日、SHA-2アルゴリズムへの全面移行計画を発表した(Windows IT Pro Blogの記事、 KB5003341)。
太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。
SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。
影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。
太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。
SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。
影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。