staff_kk

Oracle Java の脆弱性対策について(CVE-2022-21628等)_IPA

Oracle 社から Java SE に関する脆弱性が公表されています。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。

サポートされている以下の Oracle 製品が対象です。
Oracle Java SE 19
Oracle Java SE 17.0.4.1
Oracle Java SE 11.0.16.1
Oracle Java SE 8 Update 345-perf
Oracle Java SE 8 Update 341

Java のアップデート方法
次のウェブサイトにアクセスし、Java の最新バージョンをインストールしてください。
全オペレーティング・システム用のJavaのダウンロード別ウィンドウで開く
Java Downloads別ウィンドウで開く

なお、Oracle 社より2019年4月16日以降の Java のリリースについて、ライセンスの変更が案内されております。特に商用利用を行う組織においてはライセンス別ウィンドウで開くをご確認の上、ベンダの有償サポートを受ける等の適切な対応をお取りください。なお、IPA ではライセンスの詳細やサポートの内容については把握しておりませんので、Oracle 社の公開している情報をご確認いただくか、もしくは直接 Oracle 社にお問合せください。

https://www.ipa.go.jp/security/ciadr/vul/20221019-jre.html

 

 

 

 

直接侵入に繋がるネットワーク機器の侵害:新たな脆弱性「CVE-2022-40684」に注意_TrendMicro

昨今、ネットワーク機器の侵害からネットワーク内への侵入など深刻な被害に繋がる被害が顕著化しています。特に、VPNなど、外部接点となる機器における脆弱性の存在が狙われている中、ネットワーク機器の脆弱性の最新情報として、Fortinet社は自社のFortiOS、FortiProxy、FortiSwitchManagerにおける認証バイパスの脆弱性(CVE-2022-40684)について、現地時間2022年10月10日に公表しました。Fortinet社によれば既にこの脆弱性を悪用する攻撃の発生が確認されており、国内ではJPCERTコーディネーションセンター(JOCERT/CC)からもこの脆弱性に対する注意喚起が出されています。Fortinet社では既に脆弱性に対処したアップデートを用意しておりますので、対象製品を使用する管理者の方には迅速な対応を推奨します。

今回のCVE-2022-40684脆弱性の悪用により、悪意のある攻撃者は対象機器の管理機能の認証をバイパスして、不正に操作を行える可能性があります。最終的にはネットワークへの侵入などの被害に繋がる危険性があるものと言えます。

Fortinet社は既にこの脆弱性を悪用した攻撃を把握しているとしていますが、詳細については公表していません。同社では利用者の環境で既に脆弱性を悪用した攻撃の兆候が発生していないか、ログの検証を行うことを推奨しています。以前にトレンドマイクロがインシデント対応支援の中で確認したVPN経由の侵入事例では、アップデート前に既に侵害が発生しており、認証情報を窃取されていたため、アップデート後にも被害が継続した例も確認しています。脆弱性アップデートとは別に、侵害発生有無の検証は重要と言えます。

https://www.trendmicro.com/ja_jp/research/22/j/fortinet.html

 

 

 

 

サイバー攻撃に備え 約160の金融機関を対象に訓練始まる_NHK

企業や省庁を狙ったサイバー攻撃に備えるため、金融機関を対象にした訓練が18日から始まりました。

18日から7日間の日程で金融庁が実施する訓練には、銀行や証券会社などおよそ160の金融機関が参加しています。

冒頭で、金融庁サイバーセキュリティ対策企画調整室の齊藤剛室長が「国内外で大規模なサイバー攻撃が発生し手口が巧妙化している。今回の訓練で金融機関全体の対応能力の向上を図りたい」と述べました。

訓練は、顧客情報が流出した場合や、暗号資産が盗まれた場合を想定して行われ、参加者は、それぞれの職場で初動対応や復旧の手順などを確認します。

また、テレワークの環境下で対応に問題がないかも確認することにしています。

https://www3.nhk.or.jp/news/html/20221018/k10013862721000.html

 

 

 

 

パスキーによるパスワードなしのログイン_Google Authentication

パスキーは、安全で簡単なパスワードの置き換えです。パスキーを使用すると、ユーザーは生体認証センサー(指紋認証または顔認証など)、PIN、またはパターンを使用してアプリやウェブサイトにログインできるため、パスワードを覚えたり、管理したりする必要がなくなります。

パスワードと 2 つ目の要素を 1 ステップで置き換えることができます。ユーザー エクスペリエンスは、パスワード フォームへの自動入力のような簡単なものになります。パスキーは、SMS やアプリベースのワンタイム パスワードとは異なり、フィッシング攻撃に対する堅牢な保護を提供します。パスキーは標準化されているため、1 回で実装するだけで、さまざまなブラウザやオペレーティング システムでパスワードレスなエクスペリエンスを実現できます。

パスキーとは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です。パスキーを使用すると、ユーザーは、ユーザー名やパスワードを入力したり、追加の認証要素を入力したりすることなく認証できます。このテクノロジーは、パスワードなどの以前の認証メカニズムを置き換えることを目的としています。

ユーザーがパスキーを使用するサービスにログインする際、ブラウザやオペレーティング システムが適切なパスキーを選択して使用する手助けをします。これは、現在保存されているパスワードの仕組みと似ています。正当な所有者のみがパスキーを使用できるようにするため、システムはデバイスのロックを解除するよう要求します。これは、生体認証センサー(指紋認証または顔認識など)、PIN、またはパターンで実行できます。

https://developers.google.com/identity/passkeys/?hl=ja

 

 

 

 

Australian Insurer Medibank Confirms Ransomware Attack_MEDICAL SECURITY

Medibank, a health insurance company providing services for more than 3.9 million people in Australia, recently confirmed that a ransomware attack was the cause of last week’s cyberattack and interruption of online services.

The company issued an official statement apologizing for the temporary outage and confirming that a ransomware attack had occurred, and informed customers that business as usual had been resumed.

David Koczkar states that although the business was the victim of a ransomware attack, no systems were encrypted. Additionally, even though they are still looking into the incident, there is no proof that the attackers stole any customer data.

According to Bleeping Computer, on October 12th, the company discovered unusual activity on its network and immediately shut down some of its systems, including services geared toward customers, to minimize the risk of data loss in the event of a cyberattack.

On the 14th of October, about 2.8 million emails and SMS were sent out by Medibank to inform its clients of the security breach and to explain the reasons behind the outages.

https://heimdalsecurity.com/blog/australian-insurer-medibank-confirms-ransomware-attack/

 

 

 

 

名和氏が語る、サイバー攻撃激化プロセスを加速させているのは誰か? その要因は?_atmarkIT

いま、サイバー攻撃は高度かつ巧妙化している――。その言葉は聞いたことがあっても、それを「完全に理解した」とまでは言えない方も多いだろう。また、理解していたとしてもコストをかけられない、人員がいない、訓練できないなどの理由で動きが止まっていることも考えられる。しかし、その間、サイバー攻撃者は歩みを止めてはくれない。

 名和氏はこれまで、主に経営層に向け、サイバー攻撃の現状を多数の講演で解説してきた。回を重ねるたびに文字数は減り、図は増え、片仮名が減っていったという。名和氏は講演冒頭で、その経験の中で「厳選された10の項目をピックアップする」と述べる。これらはITに強い人だけではなく、ネットにつながる全ての人に理解を求めるためのものであり、成功した例え話や事例を含めたものだ。本稿では、その10のスライドを中心にレポートする。

https://atmarkit.itmedia.co.jp/ait/articles/2210/19/news004.html

 

 

 

 

日本企業の不正の実態、最も多かったのは着服・横流し_TECH+

KPMG FASはこのほど、 国内の上場企業を対象に実施した企業の不正に関する実態調査の結果をまとめたレポート「Fraud Survey日本企業の不正に関する実態調査2022」を発表した。

調査対象の企業は2022年3月18日時点の全上場企業3,873社であり、回答数は578社。

直近3年間で、上場企業において不正が発生している割合は4社に1社となり、 前回調査と比較して減少した。コロナ禍により出張や会食の場が減り、 旅費や交際の不正使用の機会が減った可能性はある一方で、 コロナ禍により現場に赴いた監査(往査)や現場指導が著しく減ったため、 不正の発見が困難になっているとの意見も少なくないとのことだ。

発生した不正の内容は着服または横流しが最も多く、 前回調査と同様の傾向であることが明らかになった。そのほか、会計不正やキックバックの受領も確認されている。

https://news.mynavi.jp/techplus/article/20221018-2484045/

 

 

 

 

シャドーITを許さない、クラウド利用のセキュリティー問題を防ぐ「CASB」とは_日経XTECH

CASB(Cloud Access Security Broker)は、企業や組織が従業員のクラウドサービスの利用状況を可視化したり、制御したりするサービスである。米ガートナーが2012年に提唱した。クラウドサービスを安全に利用できているかを確認したり、IT部門が管理していないクラウドサービスの無断利用を発見したりできる。

シャドーITの放置は危険
 CASBが登場した背景には、「シャドーIT」がある。シャドーITとは従業員が勝手に利用する、IT部門の管理外にあるシステムのこと。このうちクラウドサービスについては「野良クラウド」とも呼ばれる。

 シャドーITや野良クラウドを放置していると、セキュリティー上の問題が生じかねない(PICT1)。例えば、従業員が野良クラウドに社外秘の情報を保管しているケースだ。従業員の認識不足などで、野良クラウド上の情報に第三者がアクセスできる状態にしてしまう恐れがある。

https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

 

 

 

 

「INTERPOL Digital Security Challenge」に協力しました_サイバーディフェンス研究所

サイバーディフェンス研究所はNECと共同で、INTERPOL Cybercrime Directorateが開催した、INTERPOL Digital Security Challenge(以下、DSC)に協力しました。

第5回目となる本年のDSCは、オンラインと集合型のハイブリッド方式での開催となり、世界35カ国から48人のサイバー犯罪捜査の専門家およびデジタルフォレンジックの専門家が参加しました。

今回のDSCは、現実に活動中のランサムグループを中心とした違法サイト、犯罪グループに対する捜査手法を題材に、各種犯罪インフラの分析、ランサムウェアの解析、ダークウェブ上で匿名化されている違法サイトとその運営者、協力者の追跡手法に関する講義と演習を行いました。

演習の結果、8件のランサムグループサイト、17件の違法サイトの特定に成功し、その情報は、インターポールのインテリジェンスユニットに共有され、その後、加盟国で現実の犯罪捜査に活かされる予定です。

サイバーディフェンス研究所は、巧妙化、悪質化、そしてグローバル化するサイバー犯罪に対処するため世界各国の法執行機関や民間企業と協力し、今後もサイバー空間のセキュリティ向上に貢献できるよう努力し続けます。

https://www.cyberdefense.jp/news/notice/interpol-digital-security-challenge-2022.html

 

 

 

 

若手はメールのBCCに不慣れ?誤送信相次ぐ和歌山県庁、緊急研修_朝日新聞

メールの送り間違いなどで個人情報を流出させる事案が和歌山県庁で相次いでいる問題で、仁坂吉伸知事は17日、「トップとして県民におわびする」と謝罪した。

 県によると、今年度に個人情報が漏れた事案は12日現在で15件(494人分)。2021年度の14件をすでに上回り、記録が残る13年度以降では最多となっている。

 15件の内訳は、メールアドレス設定・送信のミスが8件、郵送・ファクス送信ミス3件、公文書の紛失2件、ホームページの掲載ミス1件、コンピューターウイルス感染1件。発生した月別では、5月に1件、6月と7月は各2件、8月3件、9月5件、10月2件。9月以降、件数が急増している。

 メールによる8件は、いずれもアドレスが他の受信者に見えないBCC欄ではなく、ほかの受信者に見えるTO欄などを使用したケースだった。今月8日に公表された事案では、県海草振興局が土木業者対象の講習会参加予定者131人に対し、9月30日から10月7日にかけて案内・確認のメールを計6回送信した際、BCC欄を使わなかったため、131人全員がすべてのメールアドレスを知ることになった。

https://www.asahi.com/articles/ASQBK74BSQBKPXLB001.html