要約:大阪近郊の尼崎市で働く日本人請負業者が、同市の住民46万人の個人データが入ったUSBドライブを紛失したと報じられている。
尼崎西宮芦屋港にある尼崎閘門
身元不明の男性は、パンデミック補助金の支給に携わる市の請負業者で、今週初めの夜の街歩きの際に、すべての記録が入ったドライブをバッグに入れて持っていったという。
男性がどれだけ楽しい時間を過ごしたかは不明だが、最終的に路上で意識を失ったと、尼崎市からの事故報告書を詳しく報じた日本のニュースメディアNHKが、彼を雇った会社が述べたと報じた。会社は新聞に対し、男性が目を覚ましたとき、バッグがなくなっていることに気づいたと述べた。
事件報告書によれば、メモリースティックには氏名、生年月日、住所、納税の詳細、銀行情報、社会保障記録などが含まれていたが、これらはすべて非常にプライベートな情報であり、盗まれた場合には危険となる可能性がある。
尼崎市当局は、USBメモリのデータは暗号化されていたと述べ、行政に対する市民の信頼を損なったことについて謝罪した。
しかし、すべての心配は杞憂に終わりました。警察が現場を捜索した結果、バッグとUSBメモリが発見されました。尼崎市当局は、誰かが情報にアクセスしようとした形跡はないと述べています。
CISAがアドバイザーの勧告を要求、Log4jはまだ存在すると警告
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は今週、第3回サイバーセキュリティ諮問委員会を開催し、プログラムとポリシーに関する一連の勧告を作成した。
6 か月に及ぶ予測を経て、6 つの小委員会に分かれて会合したマスターカード、アップル、ワシントン大学などの組織のアドバイザーが出した推奨事項の概要は次のとおりです。
- CISAは、民間部門と競争するために、人材獲得プロセスを改善し、強力な労働力の育成を優先する必要がある。
- CISAに新しい最高人事責任者を設置する
- CISAは、サイバー攻撃を受けた中小企業に緊急通報回線を提供する全国規模の「311」プログラムを立ち上げるべきである。
- CISAは、NGO、他の政府機関、民間パートナーと連携して、「パスワード以上のもの」MFAキャンペーンを拡大する必要がある。
- CISAは、米国連邦政府と協力するすべての企業が2025年までにMFAを完全に導入できるように、必要なすべての措置を講じるべきである。
- インシデント報告と脆弱性報告のプロセスを合理化する
- 脆弱性の疑いのある情報の受付を処理するための中央プラットフォームを確立する
- セキュリティ研究者、機関、ベンダー間のコミュニケーションを改善する
- アメリカ社会における誤情報、偽情報、誤情報のリスクに対処する
推奨事項のうち、More Than a Password キャンペーンの拡大と SMB 311 ラインの確立という 2 つは、複数の小委員会によって言及されました。
CISAのジェン・イースターリー局長は、次回の会議ではサイバーリスクに対する国家警戒システムの構築戦略に焦点が当てられるだろうと述べた。
CISAは今週、Log4Shellが依然として存在し、積極的に悪用されていることを警告するサイバーセキュリティアラートを発表しました。CISAは米国沿岸警備隊サイバーコマンドと共同で、ハッカーや国家支援型APTグループが、パッチが適用されていないデバイス上で依然としてLog4Shellを悪用しているという勧告を発表しました。
CISAは、報告した情報は2件の関連事件から得られたものだと述べた。沿岸警備隊がどのように関与したかは現時点では不明である。
Chromeアドオンはブラウザの指紋認証に使用できる
現代のプライバシー ソフトウェアは、ブラウザー フィンガープリンティングの手法の多くを無効化していますが、ブラウザーが拡張機能を処理する方法に固有の問題と思われる Chrome のこの問題を無効化するのは難しいでしょう。
- ダークウェブでは246億組の認証情報が販売されている
- コスタリカ政府、再びランサムウェアに襲われる
- ランサムウェア攻撃で米国の郡が1977年に逆戻り
- コンティ:コスタリカのハクトクラシーの支配者はロシアに支援されているのか?
ブラウザフィンガープリンティングとは、セッションによって残された情報を収集し、ブラウザやその利用者を特定することです。これらの情報は、広告の表示やオンライン体験のカスタマイズに十分な情報です。GitHubでz0cccという名前で活動するセキュリティ研究者によると、Chrome拡張機能の場合、どのブラウザでもこの組み合わせで簡単にユーザーを特定できるとのことです。
Chrome は、どの Web ページでも表示できる Web アクセス可能なリソース ファイルに拡張機能のリストを保存します。z0ccc は、1,000 を超える Chrome ブラウザ拡張機能をスキャンし、別のユーザーがまったく同じ拡張機能を使用している可能性をパーセンテージで返すデモ Web サイトを構築することができました。
このハッキングの場合、同じアドオンセットを使用している Chrome ユーザーはわずか 0.003 パーセントであり、拡張機能のフィンガープリントが他の訪問者のプールから識別される可能性がかなり高いことを意味します。
オンラインでブラウザフィンガープリンティングから安全な場所などないのではないかと懸念する人々に対し、z0ccc 氏は、Firefox はブラウザインスタンスごとに固有の拡張機能 ID を使用しているため、同じ方法でフィンガープリンティングを行うことはできないと述べています。ただし、Microsoft Edge には脆弱性があります。
スマートジャグジーはユーザーデータに関してはそれほどスマートではない
Jacuzzi SmartTub を設定しようとしていたセキュリティ研究者が、世界中のホットタブ所有者の個人情報にアクセスできてしまう、簡単に悪用できる欠陥を発見しました。
SmartTubは、他のIoT製品と同様に、ユーザーがアプリを使って外出先から家電を制御できる製品です。JacuzziのSmartTubシステムのバグは、ホワイトラベルのAuth0ログインページを使用するWebポータルに起因しています。
「モバイルアプリの代わりになるウェブサイトだと思って、自分の情報を入力しました。すると、権限がないという画面が表示されました。そのメッセージが表示される直前に、画面にヘッダーと表が一瞬表示されました…それがユーザーデータが入力されている管理パネルだと知って驚きました」と、イートン・ワークスという名の研究者は語った。
イートン氏が管理パネルに侵入するのに必要だったのは、ウェブデバッグツール「Fiddler」を使ってHTTPレスポンスを傍受・改変し、管理者権限を取得することだけでした。「管理パネルに侵入すると、アクセスが許可されるデータの量は驚くほどでした」とイートン氏は叫びました。
各浴槽の詳細、所有者の氏名とメールアドレス、販売店の所在地などが、世界中の顧客から閲覧可能だった。イートン氏は、変更内容が保存されるかどうかは確認しなかったものの、必要に応じてあらゆるデータを編集できるようだったと述べた。
ジャグジー社もイートン氏の調査結果について、彼と話し合うことにあまり乗り気ではなかった。「Auth0が介入するまで、対話は成立しませんでした。その後も、ジャグジー社/SmartTub社とのコミュニケーションは最終的に完全に途絶え、報告された問題すべてに対処したという正式な結論や承認は得られませんでした」とイートン氏は報告している。
イートン氏は、管理パネルはオフラインになっており、ウェブ経由ではアクセスできないと付け加えた。イートン氏は、報告書では触れられていないジャグジーに関するその他のセキュリティ上の懸念も抱えており、ジャグジーメーカーと協議して支援を受ける用意があると述べている。
Mitel VoIPゼロデイ脆弱性が実際に悪用されていることが判明
CrowdStrike のセキュリティ研究者は、Mitel VoIP アプライアンスにランサムウェア攻撃を仕掛けるために積極的に悪用されている脆弱性を発見しました。
この新たなエクスプロイトは、CrowdStrikeが顧客へのランサムウェア攻撃失敗の調査中に発見しました。「特定された悪意のあるアクティビティはすべて、ネットワーク境界に設置されたLinuxベースのMitel VoIPアプライアンスの内部IPアドレスから発信されていました」とCrowdStrikeは述べています。
攻撃者が VoIP アプライアンスにアクセスするために必要なのは、一対の GET 要求を送信することだけでした。1 つは悪意のあるアドレスへのトラフィックをマスクするためのもので、もう 1 つは GET 要求を攻撃者が制御するインフラストラクチャに向けるコマンドを挿入するためのものです。
CrowdStrikeは、ランサムウェアが実行される前に攻撃を阻止し、Mitelが問題に対処するパッチをリリースしたと述べた。CrowdStrikeは、この脆弱性自体について、Mitel VoIPデバイスのようなエッジアプライアンスではセキュリティやエンドポイント検出のオプションが極めて限られているため、タイムリーなパッチ適用が不可欠であると述べた。
さらに、CrowdStrike は、境界デバイスから重要な資産を分離し、ネットワークをセグメント化し、最新の資産インベントリを維持し、サービス アカウントを制限し、特に重要な資産へのアクセスに対して MFA を要求するなど、セキュリティのベスト プラクティスを重視しています。®
