大阪急性期・総合医療センター システム障害
大阪市住吉区にある総合病院「大阪急性期・総合医療センター」で、10月31日にシステム障害が起こり、緊急手術以外のすべての診察や診療をストップしている模様です。
患者に関わるシステム障害について、原因究明が急がれます。
OpenSSL 3.0.7 がリリース
Punycodeデコード関数における2つのバッファオーバーフローを修正しました。
- cve-2022-3602 重要度Critical → HIGHへ格下げ
- cve-2022-3786 重要度HIGHです。
バッファオーバーランは、X.509証明書の検証、特に名前制約のチェックで発生する可能性があります。 TLSクライアントでは、これは悪意のあるサーバに接続することによって引き起こされる可能性があります。 TLSサーバーの場合、サーバーがクライアント認証を要求し、悪意のあるクライアントが接続すると、これが引き起こされる可能性があります。
攻撃者は、悪意のある電子メールアドレスを細工して、オーバーフローさせることができます。これによりサービス拒否を引き起こす可能性があります。
Censys OpenSSL の脆弱なバージョンの特定
Openssl >=3.0.0 の上位 20 か国 3位の日本 552件でした。スマートなダッシュボードで特定できます!
https://censys.io/critical-vulnerability-in-openssl/
オランダ国立サイバーセキュリティセンター OpenSSL 脆弱性の影響を受ける (影響を受けない) ソフトウェアの概要
ベンダー、製品、バージョン、OpenSSL バージョン状態といった項目が一覧にまとめられております。
https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
ランサムウェア事件における払っていないはずの身代金について
ランサムウェア事件における払っていないはずの身代金について、悲しい事件です。このような汚れ役をIT業者がやってしまう構造と、身代金を支払ったことについて、組織の不正を未然に防止する内部告発制度も機能しない社会の脆弱性が垣間見えました。
https://news.yahoo.co.jp/byline/yamadatoshihiro/20221101-00321712
重要インフラの経営責任について考えさせられます。
関する取り組み
https://www.nisc.go.jp/pdf/council/cs/ciip/dai29/29shiryou08.pdf
R4.10.28 衆議院内閣委員会
平将明 氏より、R4.10.28 衆議院内閣委員会で、後藤 経済財政政策担当大臣、谷 国家公安委員長に質問をしました。
内容は、サイバーセキュリティの司令塔機能、ディスインフォメーション対策、ファイブ・アイズの加入に向けた法整備などです。
