Microsoftセキュリティ更新プログラムリリース、FortiOS および FortiProxy CVSS 9.8 Critical、港湾を基幹インフラの対象に、PCI DSS DMARC必須など

Microsoftより 2023 年 7月のセキュリティ更新プログラム (月例)をリリース

既に悪用が確認されている脆弱性が以下の6点となります。

  • CVE-2023-32046 Windows MSHTML プラットフォームの特権の昇格の脆弱性
  • CVE-2023-32049 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性
  • CVE-2023-35311 Microsoft Outlook のセキュリティ機能のバイパスの脆弱性
  • CVE-2023-36874 Windows エラー報告サービスの特権の昇格の脆弱性
  • CVE-2023-36884 Office および Windows における HTML のリモートでコードが実行される脆弱性
  • ADV230001Microsoft 署名済みドライバーが悪用された場合のガイダンス

CVE-2023-36884を悪用したバックドアについて

RomCom と呼ばれるロシアを拠点とするサイバー犯罪グループで、ヨーロッパと北アメリカの国防機関や政府機関に向け、ウクライナ世界会議に関連したフィッシングメールを送付していました。

以下の脆弱性は、CVSS 基本値が 9.8 と高いスコアです。

CVE-2023-35365、CVE-2023-35366、CVE-2023-35367:Windows ルーティングとリモート アクセス サービス (RRAS) のリモートでコードが実行される脆弱性
CVE-2023-32057:Microsoft Message Queuing のリモートでコードが実行される脆弱性

なるべく早く更新することをお勧め致します。

FortiOS および FortiProxy スタックベースオーバーフローの脆弱性 CVE-2023-33308 CVSS 9.8 Critical

SSL ディープパケットインスペクションと並行してプロキシポリシーまたはプロキシモードのファイア ウォールポリシーに到達するパケットを経由して、任意のコードまたはコマンドを実行される可能性があります。

回避策

プロキシ ポリシーまたはプロキシ モードのファイアウォール ポリシーによって使用される SSL 検査プロファイルでの HTTP/2 サポートを無効にします。

早めにアップデートすることをお勧め致します。

参考

PSIRT Advisories | FortiOS/FortiProxy – Proxy mode with deep inspection – Stack-based buffer overflow

custom-deep-inspection profile:
config firewall ssl-ssh-profile
    edit "custom-deep-inspection"
        set supported-alpn http1-1
    next
end

2023年7月14日高市早苗経済安全保障担当大臣記者会見

高市早苗経済安全保障相は14日の記者会見で、名古屋港統一ターミナルシステム(NUTS)の障害を受けて、経済安全保障推進法の基幹インフラの対象事業に追加するかも含め国交相やNISCにて検討していく模様です。

内閣官房 サプライチェーンの強靱化に向けた取組について

PCI DSS v4.0からDMARCは必須要件へ

総務省、警察庁及び経済産業省は、フィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術(DMARC)の導入を要請しております。
これからPCI DSS v4.0 により、カード所有者の機密データを扱う企業には電子メール認証が必要になります。なおDMARC (ドメインベースのメッセージ認証、レポート、および適合性など) 電子メール認証としてPCI DSSに認められており、導入後はポリシー(none,quarantine,reject)を段階的に引き上げる必要があります。

プロは「兵站」を語る

フィージビリティの段階で、ライフサイクルを想定して、ヒトモノカネを構想する事が大切だと思います。特に開発に用いる言語やミドルウェアに責任を持ち10年後も保守できる人を”育てる”発想が必要だと考えます。
それが経営計画に繋がってきます。

ご参考までにゼロトラストの切り口で、兵站(リスクマネジメント・フレームワーク)について語らせて頂きました。

戦略のミスは、戦術でカバーできない。

失敗の本質を見極め、戦略(仕組み)へのアプローチが必要だと感じます。

富士通Japan製コンビニ交付システムの修正プログラム、44団体が未適用

責任は富士通Japanか自治体側なのか…

一方で、個人情報保護委員会は、”デジタル庁が自治体に対して正確なシステムの操作手順を徹底せず、リスク管理や対策を講じていなかった”としております。false dilemmaに陥らないことを願います。

リベンジポルノ疑いで誤認逮捕 20代男性を42日間勾留 大阪府警

誤認逮捕により人生に大きな影響を与えたと思います。このことから大阪府警察サイバー犯罪対策推進本部は、令和5年4月14日にセキュリティアドバイザーを委嘱しておりますので、このような事態について再発防止策が検討されることを願っております。

また、全ての都道府県警に、サイバーセキュリティアドバイザーを採用した方が良いと思います。サイバー犯罪が高度化、巧妙化しているため、意図せず誤認逮捕に巻き込まれることが増えると予測されます。

スタートアップドラマ『トリリオンゲーム』第1話ウォッチパーティー」

「原作・ドラマ監修者の解説付きで見る!スタートアップドラマ『トリリオンゲーム』第1話ウォッチパーティー」に参加しました。

なお、原作漫画からFlatt SecurityがドラマのIT・セキュリティ技術監修を務めており、主人公ハルの相棒・ガクによるハッキングシーンなど、IT・セキュリティに関する演出も見所の1つとなっています。

架空のSecurity Championship 2023ですが、現実に8時間を通して、次々と発生する膨大な量のサイバー攻撃、システム不具合に対し、参加者は自らの技術施策を繰り出すHardening 2023 Generativesがもうすぐ始まります。

AIロボット、「人間に反抗する?」と聞かれ…… 国連のAI会合開催

国連のAI会合、確率的オウム🦜に聞いたところで、彼らは学習データ(LLM)から確率的にもっともらしい回答を出すだけだと思います。

Meet the robots who are making the world a better place

ryuchellさん死去 SNSで誹謗中傷した人がコメント削除の動きに怒りの声

ORICON NewS inc.

競争原理によって、他者との比較でしか自身の価値を見出せなくなると、他者を貶めることに快楽と安心、集団での連帯感を得てしまう。

自分と向き合う勇気を。そして競争原理から共創原理へ 

No Heart No SNS

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ