staff_kk

Oracle Java の脆弱性対策について(CVE-2022-21628等)_IPA

Oracle 社から Java SE に関する脆弱性が公表されています。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。

サポートされている以下の Oracle 製品が対象です。
Oracle Java SE 19
Oracle Java SE 17.0.4.1
Oracle Java SE 11.0.16.1
Oracle Java SE 8 Update 345-perf
Oracle Java SE 8 Update 341

Java のアップデート方法
次のウェブサイトにアクセスし、Java の最新バージョンをインストールしてください。
全オペレーティング・システム用のJavaのダウンロード別ウィンドウで開く
Java Downloads別ウィンドウで開く

なお、Oracle 社より2019年4月16日以降の Java のリリースについて、ライセンスの変更が案内されております。特に商用利用を行う組織においてはライセンス別ウィンドウで開くをご確認の上、ベンダの有償サポートを受ける等の適切な対応をお取りください。なお、IPA ではライセンスの詳細やサポートの内容については把握しておりませんので、Oracle 社の公開している情報をご確認いただくか、もしくは直接 Oracle 社にお問合せください。

https://www.ipa.go.jp/security/ciadr/vul/20221019-jre.html

 

 

 

 

直接侵入に繋がるネットワーク機器の侵害:新たな脆弱性「CVE-2022-40684」に注意_TrendMicro

昨今、ネットワーク機器の侵害からネットワーク内への侵入など深刻な被害に繋がる被害が顕著化しています。特に、VPNなど、外部接点となる機器における脆弱性の存在が狙われている中、ネットワーク機器の脆弱性の最新情報として、Fortinet社は自社のFortiOS、FortiProxy、FortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)について、現地時間2022年10月10日に公表しました。Fortinet社によれば既にこの脆弱性を悪用する攻撃の発生が確認されており、国内ではJPCERTコーディネーションセンター(JOCERT/CC)からもこの脆弱性に対する注意喚起が出されています。Fortinet社では既に脆弱性に対処したアップデートを用意しておりますので、対象製品を使用する管理者の方には迅速な対応を推奨します。

今回のCVE-2022-40684脆弱性の悪用により、悪意のある攻撃者は対象機器の管理機能の認証をバイパスして、不正に操作を行える可能性があります。最終的にはネットワークへの侵入などの被害に繋がる危険性があるものと言えます。

Fortinet社は既にこの脆弱性を悪用した攻撃を把握しているとしていますが、詳細については公表していません。同社では利用者の環境で既に脆弱性を悪用した攻撃の兆候が発生していないか、ログの検証を行うことを推奨しています。以前にトレンドマイクロがインシデント対応支援の中で確認したVPN経由の侵入事例では、アップデート前に既に侵害が発生しており、認証情報を窃取されていたため、アップデート後にも被害が継続した例も確認しています。脆弱性アップデートとは別に、侵害発生有無の検証は重要と言えます。

https://www.trendmicro.com/ja_jp/research/22/j/fortinet.html

 

 

 

 

サイバー攻撃に備え 約160の金融機関を対象に訓練始まる_NHK

企業や省庁を狙ったサイバー攻撃に備えるため、金融機関を対象にした訓練が18日から始まりました。

18日から7日間の日程で金融庁が実施する訓練には、銀行や証券会社などおよそ160の金融機関が参加しています。

冒頭で、金融庁サイバーセキュリティ対策企画調整室の齊藤剛室長が「国内外で大規模なサイバー攻撃が発生し手口が巧妙化している。今回の訓練で金融機関全体の対応能力の向上を図りたい」と述べました。

訓練は、顧客情報が流出した場合や、暗号資産が盗まれた場合を想定して行われ、参加者は、それぞれの職場で初動対応や復旧の手順などを確認します。

また、テレワークの環境下で対応に問題がないかも確認することにしています。

https://www3.nhk.or.jp/news/html/20221018/k10013862721000.html

 

 

 

 

パスキーによるパスワードなしのログイン_Google Authentication

パスキーは、安全で簡単なパスワードの置き換えです。パスキーを使用すると、ユーザーは生体認証センサー(指紋認証または顔認証など)、PIN、またはパターンを使用してアプリやウェブサイトにログインできるため、パスワードを覚えたり、管理したりする必要がなくなります。

パスワードと 2 つ目の要素を 1 ステップで置き換えることができます。ユーザー エクスペリエンスは、パスワード フォームへの自動入力のような簡単なものになります。パスキーは、SMS やアプリベースのワンタイム パスワードとは異なり、フィッシング攻撃に対する堅牢な保護を提供します。パスキーは標準化されているため、1 回で実装するだけで、さまざまなブラウザやオペレーティング システムでパスワードレスなエクスペリエンスを実現できます。

パスキーとは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です。パスキーを使用すると、ユーザーは、ユーザー名やパスワードを入力したり、追加の認証要素を入力したりすることなく認証できます。このテクノロジーは、パスワードなどの以前の認証メカニズムを置き換えることを目的としています。

ユーザーがパスキーを使用するサービスにログインする際、ブラウザやオペレーティング システムが適切なパスキーを選択して使用する手助けをします。これは、現在保存されているパスワードの仕組みと似ています。正当な所有者のみがパスキーを使用できるようにするため、システムはデバイスのロックを解除するよう要求します。これは、生体認証センサー(指紋認証または顔認識など)、PIN、またはパターンで実行できます。

https://developers.google.com/identity/passkeys/?hl=ja

 

 

 

 

Australian Insurer Medibank Confirms Ransomware Attack_MEDICAL SECURITY

Medibank, a health insurance company providing services for more than 3.9 million people in Australia, recently confirmed that a ransomware attack was the cause of last week’s cyberattack and interruption of online services.

The company issued an official statement apologizing for the temporary outage and confirming that a ransomware attack had occurred, and informed customers that business as usual had been resumed.

David Koczkar states that although the business was the victim of a ransomware attack, no systems were encrypted. Additionally, even though they are still looking into the incident, there is no proof that the attackers stole any customer data.

According to Bleeping Computer, on October 12th, the company discovered unusual activity on its network and immediately shut down some of its systems, including services geared toward customers, to minimize the risk of data loss in the event of a cyberattack.

On the 14th of October, about 2.8 million emails and SMS were sent out by Medibank to inform its clients of the security breach and to explain the reasons behind the outages.

https://heimdalsecurity.com/blog/australian-insurer-medibank-confirms-ransomware-attack/

 

 

 

 

名和氏が語る、サイバー攻撃激化プロセスを加速させているのは誰か? その要因は?_atmarkIT

いま、サイバー攻撃は高度かつ巧妙化している――。その言葉は聞いたことがあっても、それを「完全に理解した」とまでは言えない方も多いだろう。また、理解していたとしてもコストをかけられない、人員がいない、訓練できないなどの理由で動きが止まっていることも考えられる。しかし、その間、サイバー攻撃者は歩みを止めてはくれない。

 名和氏はこれまで、主に経営層に向け、サイバー攻撃の現状を多数の講演で解説してきた。回を重ねるたびに文字数は減り、図は増え、片仮名が減っていったという。名和氏は講演冒頭で、その経験の中で「厳選された10の項目をピックアップする」と述べる。これらはITに強い人だけではなく、ネットにつながる全ての人に理解を求めるためのものであり、成功した例え話や事例を含めたものだ。本稿では、その10のスライドを中心にレポートする。

https://atmarkit.itmedia.co.jp/ait/articles/2210/19/news004.html

 

 

 

 

日本企業の不正の実態、最も多かったのは着服・横流し_TECH+

KPMG FASはこのほど、 国内の上場企業を対象に実施した企業の不正に関する実態調査の結果をまとめたレポート「Fraud Survey日本企業の不正に関する実態調査2022」を発表した。

調査対象の企業は2022年3月18日時点の全上場企業3,873社であり、回答数は578社。

直近3年間で、上場企業において不正が発生している割合は4社に1社となり、 前回調査と比較して減少した。コロナ禍により出張や会食の場が減り、 旅費や交際の不正使用の機会が減った可能性はある一方で、 コロナ禍により現場に赴いた監査(往査)や現場指導が著しく減ったため、 不正の発見が困難になっているとの意見も少なくないとのことだ。

発生した不正の内容は着服または横流しが最も多く、 前回調査と同様の傾向であることが明らかになった。そのほか、会計不正やキックバックの受領も確認されている。

https://news.mynavi.jp/techplus/article/20221018-2484045/

 

 

 

 

シャドーITを許さない、クラウド利用のセキュリティー問題を防ぐ「CASB」とは_日経XTECH

CASB(Cloud Access Security Broker)は、企業や組織が従業員のクラウドサービスの利用状況を可視化したり、制御したりするサービスである。米ガートナーが2012年に提唱した。クラウドサービスを安全に利用できているかを確認したり、IT部門が管理していないクラウドサービスの無断利用を発見したりできる。

シャドーITの放置は危険
 CASBが登場した背景には、「シャドーIT」がある。シャドーITとは従業員が勝手に利用する、IT部門の管理外にあるシステムのこと。このうちクラウドサービスについては「野良クラウド」とも呼ばれる。

 シャドーITや野良クラウドを放置していると、セキュリティー上の問題が生じかねない(PICT1)。例えば、従業員が野良クラウドに社外秘の情報を保管しているケースだ。従業員の認識不足などで、野良クラウド上の情報に第三者がアクセスできる状態にしてしまう恐れがある。

https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

 

 

 

 

「INTERPOL Digital Security Challenge」に協力しました_サイバーディフェンス研究所

サイバーディフェンス研究所はNECと共同で、INTERPOL Cybercrime Directorateが開催した、INTERPOL Digital Security Challenge(以下、DSC)に協力しました。

第5回目となる本年のDSCは、オンラインと集合型のハイブリッド方式での開催となり、世界35カ国から48人のサイバー犯罪捜査の専門家およびデジタルフォレンジックの専門家が参加しました。

今回のDSCは、現実に活動中のランサムグループを中心とした違法サイト、犯罪グループに対する捜査手法を題材に、各種犯罪インフラの分析、ランサムウェアの解析、ダークウェブ上で匿名化されている違法サイトとその運営者、協力者の追跡手法に関する講義と演習を行いました。

演習の結果、8件のランサムグループサイト、17件の違法サイトの特定に成功し、その情報は、インターポールのインテリジェンスユニットに共有され、その後、加盟国で現実の犯罪捜査に活かされる予定です。

サイバーディフェンス研究所は、巧妙化、悪質化、そしてグローバル化するサイバー犯罪に対処するため世界各国の法執行機関や民間企業と協力し、今後もサイバー空間のセキュリティ向上に貢献できるよう努力し続けます。

https://www.cyberdefense.jp/news/notice/interpol-digital-security-challenge-2022.html

 

 

 

 

若手はメールのBCCに不慣れ?誤送信相次ぐ和歌山県庁、緊急研修_朝日新聞

メールの送り間違いなどで個人情報を流出させる事案が和歌山県庁で相次いでいる問題で、仁坂吉伸知事は17日、「トップとして県民におわびする」と謝罪した。

 県によると、今年度に個人情報が漏れた事案は12日現在で15件(494人分)。2021年度の14件をすでに上回り、記録が残る13年度以降では最多となっている。

 15件の内訳は、メールアドレス設定・送信のミスが8件、郵送・ファクス送信ミス3件、公文書の紛失2件、ホームページの掲載ミス1件、コンピューターウイルス感染1件。発生した月別では、5月に1件、6月と7月は各2件、8月3件、9月5件、10月2件。9月以降、件数が急増している。

 メールによる8件は、いずれもアドレスが他の受信者に見えないBCC欄ではなく、ほかの受信者に見えるTO欄などを使用したケースだった。今月8日に公表された事案では、県海草振興局が土木業者対象の講習会参加予定者131人に対し、9月30日から10月7日にかけて案内・確認のメールを計6回送信した際、BCC欄を使わなかったため、131人全員がすべてのメールアドレスを知ることになった。

https://www.asahi.com/articles/ASQBK74BSQBKPXLB001.html

 

 

 

 

サイバー保険、企業が保険会社から加入を拒否される「不備」とは_atmarkIT

BlackBerryはサイバー保険に関する調査結果を発表した。それによると調査対象となった企業の45%が、サイバー脅威に対する保険に加入していないことが分かった。一方、「加入しようとしたが保険会社から拒否される」ケースがあることも分かった。

BlackBerry Japanは2022年10月13日、サイバー保険(サイバー脅威に対する保険)に関する調査結果を発表した。調査は米国とカナダの企業に所属するITおよびサイバーセキュリティの意思決定者を対象に実施し、450人から有効回答を得た。

60%の企業が「サイバー保険に入っていない取引先との契約を見直す」

 調査結果によると、調査対象企業の45%がサイバー保険に加入していないことが分かった。加入している企業でも、補償額が60万ドル(BlackBerryが算出した、2021年のランサムウェアによる要求額の中央値)を超えているのは19%にとどまっていた。

https://atmarkit.itmedia.co.jp/ait/articles/2210/14/news041.html#utm_term=share_sp

 

 

 

 

メモリー上に直接マルウェアを展開する攻撃を発見–家庭用PCが標的_ZDNet Japan

大企業を標的にしたランサムウェア攻撃が報じられている昨今だが、ホームユーザーを標的にし、「Windows 10」やウイルス対策ソフトウェアのアップデートと称してランサムウェアを仕掛ける攻撃も依然として続いている。今回新たに、巧妙な手法を用いて検出を免れつつ、ファイルを暗号化し、数千ドル(数十万円)規模の身代金を要求するキャンペーンが確認されたという。

HP Wolf Securityが米国時間10月13日に詳細を明らかにした、ランサムウェアの「Magniber」を展開するこのキャンペーンは、企業を標的にして多額の身代金を要求する攻撃とは異なり、個人ユーザーに比較的少額の身代金を要求することに注力しているという点で、2022年の傾向からは外れている。

このキャンペーンはさまざまな点で、個人のコンピューターのファイルを暗号化していた初期のランサムウェアキャンペーンへの回帰だと言える。とは言うものの、特にホームユーザーにとっては検出が困難な先進的テクニックが用いられている。

その攻撃チェーンは、ユーザーが攻撃者の支配下にあるウェブサイトにアクセスするところから始まる。こうしたウェブサイトは正規のウェブサイトやサービスであるかのように偽装されており、被害者はさまざまな経路を通じてアクセスするよう仕向けられている。

https://japan.zdnet.com/article/35194695/

 

 

 

 

Windows共通ログファイルシステムの脆弱性、Windows 10と11で特権昇格確認_Texh+

Zscalerは10月14日(米国時間)、「Technical Analysis of Windows CLFS Zero-Day Vulnerability CVE-2022-37969 – Part 1: Root Cause Analysis」において、Windows共通ログファイルシステム(CLFS: Common Log File System)ドライバに存在した特権昇格の脆弱性に関する詳細な分析結果を伝えた。

2022年9月にこのゼロディ脆弱性が確認されており、Microsoftに報告されている。また、この脆弱性を修正するセキュリティパッチはすでに公開されている(参考「Windowsのゼロデイ脆弱性修正するセキュリティパッチが公開、Windows 7も対象 | TECH+(テックプラス)」)。

Windows共通ログファイルシステムは、高パフォーマンスのトランザクションログを構築するためにカーネルモードおよびユーザモードの両方で動作するアプリケーションに使用されている汎用ログサブシステムで、「CLFS.sys」ドライバで実装されている。このドライバに特権昇格のゼロディ脆弱性「CVE-2022-37969」があり、悪用に成功した攻撃者はSYSTEM権限を獲得する可能性があるとされている。

https://news.mynavi.jp/techplus/article/20221017-2482294/

 

 

 

 

セキュリティの脅威は対策の隙間から侵入する–セキュアワークスのトーマスCEO_ZDNet Japan

セキュアワークスは、拡張型の脅威検知および対応(XDR)プラットフォーム「Taegis」を日本市場で提供すると発表した。主力のセキュリティ監視センター(SOC)によるマネージドセキュリティサービス(MSS)やセキュリティコンサルティングサービスと並ぶソリューションに位置付ける。Taegis発表に合せて来日した米SecureWorks社長兼最高経営責任者(CEO)のWendy K. Thomas氏に、セキュリティ市場の動向や同社の経営戦略を聞いた。

XDRは、IT環境に侵入するサイバー攻撃などの脅威を網羅的に監視し、脅威の検知とその対応を行うソリューションになる。これまで監視対象をPCやサーバーなどのエンドポイントを中心とする「EDR」やネットワーク環境を中心とする「NDR」が市場に提供されているが、脅威はさまざまな部分から到来するため、現在ではセキュリティベンダー各社がEDRやNDRを含めたXDRにソリューションを進化させる動きを見せる。

同社は、今回のTaegisを海外市場より3年ほど遅れて日本市場に展開する。Thomas氏は、「グローバルでは早期に投入したが、これは試行的なもので、顧客のフィードバックを重ねて開発を進めてきた。日本市場では成熟度を高めて投入し、日本のお客さまやパートナーにきちんとした形でご提供する体制を確立した上での展開になる」と話す。

https://japan.zdnet.com/article/35194459/

 

 

 

 

CVE-2022-0030 PAN-OS: Authentication Bypass in Web Interface

Description
An authentication bypass vulnerability in the Palo Alto Networks PAN-OS 8.1 web interface allows a network-based attacker with specific knowledge of the target firewall or Panorama appliance to impersonate an existing PAN-OS administrator and perform privileged actions.

Severity:HIGH
CVSSv3.1 Base Score:8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

Exploitation Status
Palo Alto Networks is not aware of any malicious exploitation of this issue.

Weakness Type
CWE-290 Authentication Bypass by Spoofing

Solution
This issue is fixed in PAN-OS 8.1.24 and all later PAN-OS versions.

Please note that PAN-OS 8.1 has reached its software end-of-life (EoL) and is supported only on PA-200, PA-500, and PA-5000 Series firewalls and on M-100 appliances and only until each of their respective hardware EoL dates: https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware-end-of-life-dates.html.

Workarounds and Mitigations
Customers with a Threat Prevention subscription can block known attacks for this vulnerability by enabling Threat ID 92720 (Applications and Threats content update 8630-7638).

To exploit this issue, the attacker must have network access to the PAN-OS web interface. You can mitigate the impact of this issue by following best practices for securing the PAN-OS web interface. Please review the Best Practices for Securing Administrative Access in the PAN-OS technical documentation at https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices.

https://security.paloaltonetworks.com/CVE-2022-0030

 

 

 

 

米CISA、レッドチーム演習の可視化ツールを公開 – 意思決定など支援_Security Next

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、レッドチームの活動を可視化し、意思決定などをサポートするオープンソースツール「RedEye」をリリースした。GitHubより入手できる。

同ツールは、同庁と米エネルギー省パシフィック・ノースウェスト国立研究所が共同で開発したオープンソースのソフトウェア。

レッドチームの活動によって侵害がどのように発生するか、複雑なデータをわかりやすく可視化するもので、評価や意思決定などを支援する。

具体的には、「Cobalt Strike」によるログを読み込み、侵入テストの攻撃経路や侵入されたホストなどグラフィカルに表示。活動にタグやコメントを追加でき、調査結果やフローを関係者で共有して評価を行ったり、意思決定などに活用できるとしている。

ログのアップロードやプレゼンテーションの作成が行えるレッドチームモードにくわえて、読み取り専用のブルーチームモードも用意した。「Windows」や「macOS」「Linux」に対応しており、GitHubよりダウンロードすることができる。

https://www.security-next.com/140603

 

 

 

 

英NCSC、サプライチェーンのセキュリティ強化に向けたガイダンスを発表_Gigazine

英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は現地時間10月12日、企業に対して自社のサプライチェーンを攻撃から守るための新たなガイダンスを公開した。

NCSCによると、これは最近のサプライチェーン攻撃の増加を受けてのことであり、企業は自己防衛に向けてより一層の取り組みを必要としているという。

 近年注目されたケースとしては、SolarWindsのソフトウェアビルドシステムに対する2020年の攻撃や、ソフトウェアベンダーKaseyaの顧客に対する2021年のランサムウェア攻撃、ウクライナの会計プログラムを介した2017年の「NotPetya」攻撃などが挙げられる。また、Joe Biden米大統領が同国のサイバーセキュリティ対策の強化を目指す大統領令の起草を指示したのは、SolarWinds製品の一件が起きた直後のことだった。

 NCSCは2021年2月に「パイプラインの防衛」に関する文書を公開し、組織や開発者らに対してソフトウェア開発をCI/CD(継続的インテグレーション/継続的デリバリー)によって自動化するよう強く促していた。

 また、NCSCの最高責任者は2021年10月に、ランサムウェアが最も差し迫った脅威だとする一方で、サプライチェーンの脅威は何年も続くだろうと警告していた。

https://japan.zdnet.com/article/35194704/

 

 

 

 

「Microsoft Office 365」の暗号化メールに内容を特定されうる危険性、Microsoftは対応予定なし_Gigazine

「Microsoft Office 365」は、組織内外の人と安全にメールのやりとりをするため、暗号化されたメールの送受信が可能です。しかし、肝心の暗号化は、電子コードブック(ECB)モードという、安全ではない動作を利用しています。この問題について指摘があったにもかかわらず、Microsoftは「脆弱(ぜいじゃく)性ではない」として対応しないことを明言しています。

「Microsoft Office 365」の問題を明らかにしたのはセキュリティ企業・WithSecureの研究所です。

WithSecure Labsによると、「Microsoft Office 365」で暗号化メッセージの送受信を行う「Microsoft Office 365 Message Encryption(OME)」はECBモードの動作により暗号化を行っているのですが、ECBモードはメッセージの特定の構造情報が漏れてしまうため、悪意ある第三者がメッセージの内容を特定できる可能性があるとのこと。

一例としてWithSecure Labsが示した、OMEによる暗号化メールから抽出した画像。

https://gigazine.net/news/20221017-microsoft-office-365-message-encryption-insecure-mode/

 

 

 

 

Microsoftの古いドライバーリストのせいで何百万台ものWindows PCが何年もの間マルウェア攻撃にさらされていたことが発覚_Gigazine

MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。

Windowsの更新プログラムを経由したブロックリスト更新が適切に機能していなかったことで、ユーザーは「BYOVD」と呼ばれる攻撃に対して脆弱になったり、脆弱なドライバをインストールできてしまったりしたと指摘されています。

ドライバはOSがプリンター・グラフィックカード・ウェブカメラなどの外部デバイスやハードウェアと通信するために使用するファイル。ドライバはデバイスのOSまたはカーネルコアにアクセスできるため、Microsoftはすべてのドライバ提供者に対して「ドライバがデジタル署名されていること」を要求しており、これをもってユーザーに「ドライバが安全に使用できること」を保証しています。しかし、デジタル署名された既存のドライバにセキュリティホールがある場合、ハッカーはこれを悪用してWindowsに直接アクセスできるようになってしまいます。

この脆弱性により、2022年8月にはハッカーがオーバークロックユーティリティである「MSI AfterBurner」のドライバに「BlackByte」と呼ばれるランサムウェアをインストールして配布するという事態が発生しました。また、基本プレイ無料の人気ゲーム「原神」にインストールされているアンチチートドライバの脆弱性を悪用するというケースも報告されています。さらに、北朝鮮のハッキンググループである「Lazarus」が、2021年にオランダの航空宇宙関連の従業員やベルギーの政治ジャーナリストに対して、BYOVD攻撃を仕掛けていたことがセキュリティ企業のESETにより報告されています。

https://gigazine.net/news/20221017-microsoft-driver-list-malware-attacks/

 

 

 

 

ヤフコメ投稿、携帯番号の登録を義務化…誹謗中傷の不適切投稿を防止_読売新聞

ヤフーは18日、ニュース配信サービス「ヤフーニュース」のコメント欄に書き込む利用者に対し、11月中旬から携帯電話番号の登録を義務化すると発表した。 誹謗ひぼう 中傷などの不適切な投稿を防ぐ狙いがある。

コメント欄への投稿には携帯電話の番号を登録したヤフーの利用者IDが必要となる。ヤフーは2018年から不適切な投稿を繰り返すIDに対し、投稿を停止する措置をとっている。しかし、停止された利用者が携帯番号を登録していない別のIDを使って再び不適切な投稿をするケースもあり、今回の措置に踏み切った。

https://www.yomiuri.co.jp/economy/20221018-OYT1T50238/