今宵のサイバーセキュリティについて気になること:Microsoftより11月のセキュリティアップデートが公開、CISA 悪用された既知の脆弱性カタログにJuniper Junos OSを追加 など

Microsoftより2023年11月のセキュリティアップデートが公開

  • CVE-2023-36400 CVSS8.8 Windows HMAC Key Derivation の特権の昇格の脆弱性
  • CVE-2023-36397 CVSS9.8 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
  • CVE-2023-36052 CVSS8.6 Azure CLI REST コマンドの情報漏えいの脆弱性

以下の脆弱性は詳細が一般に公開され、悪用されていることを確認しています。

  • CVE-2023-36413
  • CVE-2023-36038
  • CVE-2023-36033
  • CVE-2023-36036
  • CVE-2023-36025

CISA 悪用された既知の脆弱性カタログにJuniper Junos OSの(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)を追加

CISA 悪用された既知の脆弱性カタログはこちらから

  • CVE-2023-47246 SysAid
  • CVE-2023-36844/45 JuniperOS
  • CVE-2023-36846/47/51 JuniperOS

Vulncheckによればshodanで検索すると、日本でも141件該当しています。

FortiSIEM – Report Server における OS コマンドインジェクション CVE-2023-36553 CVSS 9.3 Critical

アップデートがリリースされました。

OSコマンドインジェクション [CWE-78] の無効化が不適切なため、攻撃者がリモートからコマンドを実行できる可能性があります。

影響を受けるバージョン FortiSIEM 5.4, 5.3, 5.2, 5.1, 5.0, 4.10, 4.9, 4.7

Microsoft Purview を使用して AI ファーストの世界におけるデータを保護する

すべての生成 AI アプリケーション (Microsoft Copilots、ChatGPT、Bard、Bing Chat)に対応

  • AIプロンプトにおける機密データの使用状況や、AIと対話するユーザーの総数など、生成型AIアプリの使用状況を包括的に可視化
  • AIプロンプトでのデータ損失を防止し、AI応答を保護するために、リスク生成AIアプリをブロックする機能と、すぐに使用できるカスタマイズ可能なポリシーによる広範な保護
  • ビジネスまたは行動規範の違反を検出し、規制要件を容易に満たすためのコンプライアンス管理

Copilotとの対話は機密ラベルを自動的に継承し、それらが AI によって生成された出力に適用され、データ損失防止、インサイダー リスク管理、適応型保護を行います。

プライバシーマーク審査関連資料の漏えいについて(第2報)

審査員が審査関連資料及び審査員名簿を保管していた個人所有のファイルサーバー(NAS)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていた模様です。

対策:全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、廃棄するよう指示。また、当協会が貸与する十分なセキュリティ対策を施したパソコンのみを用いて審査業務を行う。

余談ですが、私もBYOD(Bring Your Own Device)検討委員会を立ち上げ、導入に向けて半年近く協議をしたことがありますが、セキュリティ対策と運用の難易度が高く、デバイスを会社支給することにしました。

参考:「BYOD」導入検討企業向け情報提供ページ

11月11日 CARDNETセンターの障害について(11/15更新)

CARDNETセンター障害により、11月11日13時23分頃から20時52分頃までの間、クレジットカード等の利用できない状況が発生しました。

<影響>約80万件 ※11月11日13時23分から20時52分の間にCARDNETセンターで取引エラーとなった件数 ※初回の取引がエラーとなった後、繰り返し取引された件数を含みます

全国のJRやコンビニなどで、クレジットカード決済出来ずトラブルが発生した模様

セキュリティ担当者はCISOを目指せ 調査から“もうかる”職業だと判明

一方で、データ漏洩に関して有罪判決を受けたUberの元CISO ジョー・サリバン氏、国外ではセキュリティ対策に法的責任を負うCISO

米国では近年CISOが、株主集団訴訟、株主代表訴訟、さらには刑事訴訟を含む、データセキュリティ事件の訴訟や政府訴訟の標的となっており、責任の重さや求められる能力が異なると感じます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ