パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2022年6月のセキュリティ人気記事トップ10
15710090 story
プライバシ

尼崎全市民の個人情報USBメモリが流出。設定されたパスワードの桁数を会見で公表→発見される 180

ストーリー by nagazou
やらかし 部門より

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている(神戸新聞NEXTNHK日経新聞TBS NEWS DIG)。

ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ(ITmedia)。

この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、

先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。

といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと(FNNプライムオンライン[動画])。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている(FNNプライムオンライン)。

追記:尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明(読売テレビニュースYahoo!ニュース)。

15706157 story
お金

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 116

ストーリー by nagazou
防御力ゼロ 部門より
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース有識者会議調査報告書[PDF]日経クロステック)。

過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。

あるAnonymous Coward 曰く、

「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」

主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

15713958 story
ビジネス

尼崎市の個人情報USBメモリ流出事件、紛失したのは再々委託先の社員だった 110

ストーリー by nagazou
子・孫・ひ孫 部門より
話題の尽きない尼崎市のUSBメモリ紛失問題で、実際にUSBメモリを紛失していたのは市から業務を受託した情報システム会社「BIPROG(旧日本ユニシス)」の協力会社ではなく、その協力会社のさらに依託先の企業の社員であったことが分かった。BIPROGと市が交わした契約書では業務を再委託する場合、市の許可を得る必要があったが、この件では協力会社が無許可で再委託をおこなっていたという。BIPROGYは会見で「協力会社から聞き取る中で認識を誤った」と話しているとのこと(日経クロステック読売新聞朝日新聞)。

あるAnonymous Coward 曰く、

>尼崎市 → BIPROGY(旧日本ユニシス)に業務委託 → アイフロントに契約違反の業務委託 → さらに別の会社に契約違反の再々委託

という図式であったことが判明したという。多重下請けなIT業界人の多いスラド諸氏には普通のことかもしれないが、世間一般的にはアウトである。

15711916 story
Windows

Windows 8.1 の延長サポート終了まで 200 日 42

ストーリー by headless
Windows 10のサポート終了まで約3年3か月3週間 部門より
Microsoft がサポートドキュメントなどでの告知を開始しているが、Windows 8.1 の延長サポート終了まで 200 日となった (Microsoft のサポート記事Microsoft コミュニティでの告知Neowin の記事ZDNet の記事)。

Windows 8.1 のサポートは 2023 年 1 月 10 日 (日本時間 11 日) の月例更新を最後に終了し、以降は更新プログラムが提供されなくなる。Windows 7 の時とは異なり、拡張セキュリティ更新プログラム (ESU) も提供されない。StatCounter の 5 月分 Windows バージョン別シェアデータで Windows 8.1 は 3.06 % となっており、数千万台の Windows 8.1 マシンが存在する計算になるが、企業ユーザーは大幅に少ないとみられる。

それでも ZDNet によると、7 月には Windows 7 と同様のサポート終了に向けた通知の開始が予定されているそうだ。事実とすれば Windows 7 と比べて大幅に遅い通知開始となる。スラドの皆さんの周囲に Windows 8.1 は残っているだろうか。
15705153 story
ビジネス

コンサル会社がイオンの秘密情報をセブン&アイHDの会議で提出、雑誌にも掲載されてしまう 72

ストーリー by nagazou
大失態 部門より
あるAnonymous Coward 曰く、

イオンでコンサル契約の元に仕事した際のDX戦略に関する内部資料を、競合企業のセブン&アイHDでの会議の際に、イオンの社名すらも付いたまま会議資料として出してしまったという。この資料はさらに雑誌「週刊ダイヤモンド」にて『特集 セブン DX敗戦』の中で一般公開もされてしまった。競合他社にそのまま資料を持っていくのは、さすがに杜撰過ぎるだろう…(イオンリリース[PDF]ITmediaJ-CAST ニュース)。

15703860 story
Firefox

Mozilla 曰く、最もプライベートでセキュアなメジャーブラウザーは Firefox 47

ストーリー by headless
自信 部門より
Mozilla は 14 日、Firefox の Total Cookie Protection デフォルト有効化を全世界でロールアウトすると発表した (The Mozilla Blog の記事Neowin の記事Softpedia の記事Android Police の記事)。

Firefox 86 で利用可能になった Total Cookie Protection はサイトごとに独立した「クッキージャー」に cookie を格納し、クロスサイト cookie によるユーザー追跡からの保護を強化する仕組みだ。これにより、Firefox は Windows と Mac、Linux で利用可能な最もプライベートでセキュアなメジャーブラウザーになるという。Total Cookie Protection は既にプライベートブラウジングモードで有効化されており、通常ブラウジングモードでも Firefox の設定画面で「プライバシーとセキュリティ→強化型トラッキング防止機能」に「厳格」を選べば手動でも有効化できるが、今後は「標準」を選択した場合にも有効化されていくとのことだ (Firefox ヘルプ)。
15700132 story
変なモノ

楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因? 47

ストーリー by nagazou
Googleの審査もザルだなあ 部門より
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。

またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出しているものの(その1その2)、現時点ではトップページから分かりやすい場所には警告にリンクが張られていないようだ。楽天はウォレットのような一部を除いて2段階認証がないことから、フィッシング詐欺に遭いやすいのではといった指摘もあった。なお同様の指摘はかなり前からあったようだ(ゼロからBLOG)。

nemui4 曰く、

一休.comでも同様のサイトが発生しているらしい。

15698892 story
ニュース

ウクライナの鉄道、広軌から標準軌へ改軌を進める構想 84

ストーリー by nagazou
ロシアが乗り入れできないようにする狙いもあるのか 部門より
maia 曰く、

ウクライナが鉄道の軌間を広軌1520mmから標準軌1435mmへ改軌を段階的に進める方針を表明した(まいどなニュース鉄道プレスネット)。1520mmは旧ソ連圏の軌間だが、ポーランド、ハンガリー、ルーマニアといった旧東欧を含め、EUの大部分は1435mmで、ウクライナとの直通列車は国境で台車交換していた。改軌は以前から検討課題で、2021年2月にウクライナ国内に標準軌の高速鉄道(250km/h)を2000km整備する構想を発表している。しかし全国の改軌には少なくとも1000億米ドルかかる。また貨車の幅と軸重が重厚長大?なので、車両の交換も必要となる。

15701125 story
AMD

x86 CPUに新たなサイドチャネル脆弱性「Hertzbleed」が見つかる。リモートでも攻撃可能 45

ストーリー by nagazou
今回そこまで深刻ではないそうです 部門より
テキサス大学やイリノイ大学らの研究チームは14日、最新のx86プロセッサに新たなサイドチャネル攻撃が可能な脆弱性「Hertzbleed Attack」があったと発表した。研究チームはHertzbleed Attackを用いることで、対象となるCPUの暗号化を突破できると主張しているそうだ(Hertzbleed Attack窓の杜GIGAZINE)。

この攻撃は周波数を動的に変更して消費電力を削減するIntelの「Turbo Boost」やAMDの「Precision Boost」といった周波数スケーリング技術と単純電力解析のサイドチャネル攻撃を組み合わせて実現しているようだ。周波数スケーリング技術に存在する「計算処理の実行時間が消費電力に依存する」という特徴を悪用したという。研究チームはこの脆弱性を用いて、実際に暗号アルゴリズム「SIKE」の暗号化キーをリモート取得することに成功したとしている。

影響を受けるCPUに関してはIntel製プロセッサに関してはすべてで、同社は開発者向けにHertzbleed Attackの対策ガイダンスを公開している。脆弱性の深刻度はCVSSのベーススコアで「6.3」(Medium)となっている(Frequency Throttling Side Channel Guidance)。AMD製プロセッサに関しても、Ryzen ThreadripperやRyzen 2000シリーズ以降のCPUといった比較的新しいものに関してはほぼすべてに影響があるようだ(Frequency Scaling Timing Power Side-Channels)。

ただ研究者らが提案した緩和策が、CloudflareやMicrosoftによって展開されているとのことで、深刻な問題にはならない模様。
15688567 story
情報漏洩

約半数の組織がサイバーセキュリティ侵害を想定した運用をしていないという調査結果 54

ストーリー by headless
余裕 部門より
Illumio の調査によると、ゼロトラストの考えが大半の組織に広がる一方で、実際にサイバーセキュリティ侵害を想定した運用をしていないという組織が半数近くに上るそうだ (BetaNews の記事Illumio のブログ記事プレスリリース日本語抄訳)。

調査は北米・欧州・日本を含むアジア太平洋地域の 1,000 組織を対象に行われたもので、90 % の回答者がゼロトラストを組織でのサイバーセキュリティ三大優先課題の一つであるとし、33 % は最大優先課題だと回答したという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 47 % に上ったとのこと。

一方、日本の回答者は 83 % がゼロトラストをサイバーセキュリティ三大優先課題の一つに挙げており、セキュリティ予算の平均約 31 % がゼロトラストへの取り組みに当てているという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 53 % に上る(PDF)。

これに対し、シンガポールの回答者ではサイバーセキュリティ侵害を想定していないという回答は 38 % にとどまり、日本は大幅に遅れをとっているとのこと。スラドの皆さんのところではいかがだろうか。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...