今宵のサイバーセキュリティについて気になること：CSA Japan SDPWGが「ゼロトラストリソースハブ」を公開、1/25 Azureの障害によりOutlookとTeamsがダウン、Windows 11 署名されていない MSIX パッケージを作成、大規模言語モデルのための電子透かし、データプライバシーの新しいルール、JsonWebToken jwt.verify 関数の脆弱性の取り消し、NSA Romans Scams

Table of Contents

CSA Japan SDPWGが「ゼロトラストリソースハブ」を公開

“多くのセキュリティプロフェッショナルは「Trust But Verify（信頼せよ。されど、検証せよ）」と、「マントラ」のように唱えていますが、実際のところは信頼ばかりでほとんど検証しません。”このような状況から、ジョンキンダーバグが”ゼロトラスト”を提唱しました。

NIST SP800-207 ゼロトラスト・アーキテクチャによれば、ゼロトラストは昔からある「最小権限の原則」を実現するためのアイデア集です。

時代と共に新しいソリューションが生まれ、更に高いレベルで「最小権限の原則」が実現できます。あなたのアイデアを加えて下さい。それが成熟度を高めることに繋がります。

CISA ゼロトラスト成熟度モデル日本語抄訳

つまり、ゼロトラストは道標のように向かうべき方向であって、ゴールではありません。共に歩みましょう！

ご参考までに、CSAジャパンが提供するゼロトラストのリソースハブがあります。新規および最新のゼロトラストコンテンツが掲載されます。

■1/25 Azureの障害によりOutlookとTeamsがダウン

原因はルーターに与えたコマンドが、WAN 内全てのルーターにメッセージが送信され、ルーターが隣接関係と転送テーブルを再計算を始め、その間パケットが転送できなくなるほど強力でした…そのコマンドは実行禁止となりました。

■Windows 11 署名されていない MSIX パッケージを作成

Windows 11 では、テスト用に署名されていない MSIX パッケージを作成できるようになりました。PowerShell 経由でアプリをインストールできます。この機能は、アプリをすばやくテストするためのものです。これを用いてアプリを広く配布しないでください。

セキュリティの文脈でAIを活用

ランダムに選択したトークンをレッドリストとしてChatGPTの文章を判別する「大規模言語モデルのための電子透かし」の論文では、同時に幾つかの電子透かしへの攻撃手法と対策について記載されております。

そして、この度 OpenAI より、AI が書いたテキストと人間が書いたテキストを判別するように訓練されたクラシファイア（classifier）をリリースしました。

データプライバシーの新しいルール

20年にわたりデータコントロールは西部劇のようでしたが、消費者の不信感、政府の動向、顧客獲得競争により、新しい時代が到来しています。

個人データから何らかの価値を生み出す企業は、その入手方法、共有方法、保護方法、そして利益を得る方法を変え、次の3つの基本的なルールに準拠する必要があります。

顧客との信頼関係を維持し、データがどのように利用され、何のメリットがあるのか平易な言葉で説明する
個人の特定ではなく、インサイトを引き出すことを注力する
CIOとCDOは、顧客のメリットのために最大のインサイトを引き出すこと、インサイトを通じて協力すること。

The New Rules of Data Privacy
by Hossein Rahnama and Alex “Sandy” Pentland | Harvard Business Review

JsonWebToken jwt.verify 関数の脆弱性(CVE-2022-23529) CVSS 7.6 取り消しについて

例えば、MITREでは反映されておりますが、取り消しがエコシステム全体に反映されるまでには時間がかかる場合がありますので、ご注意ください。

#CVE-2022-23529 finally got rejected, thanks @github for stepping up and doing so.
Maybe such mal-issues can be prevented by a better review system in the future. https://t.co/PTzWwCDyem #jwt #jsonwebtoken
— Michael Ermer (@MichaelErmer_) January 28, 2023

NSA Romans Scams

バラは赤く、スミレが青いように、ネットで公開されているすべてが本物でないことは、誰もが承知していることです。

しかし、何十年も前の写真で偽装した人物か、あなたの銀行口座から財産を奪おうとするロマンチックな詐欺師かを見分けることはできるでしょうか？

Roses are red, violets are blue, and we all know that not everything – or everyone – online is true.

Romance scams, or #onlinedating scams, are no joke!

Read our #romancescam red flags🚩: https://t.co/vwHmpgsxrM #staysafeonline
— National Cybersecurity Alliance (@StaySafeOnline) February 1, 2023

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示

CSA Japan SDPWGが「ゼロトラスト リソースハブ」を公開