OpenSSL 3.0.7 CRITICAL relese
2014年の”Heartbleed“以来のCriticalな CVE を修正するため、 OpenSSL 3.0.7 アップデートは2022年11月1日 22:00(火)~2022年11月2日 2:00(水)に公開されます。なお OpenSSL 3.0 より前のバージョンには影響しません。
SHEINの運営会社ZoeTopがニューヨーク州から190 万ドルの罰金
ファッションサイトとして急成長を遂げた SHEIN の運営会社 ZoeTopがセキュリティインシデントを適切に処理しなかったとして、ニューヨーク州から 190 万ドルの罰金を科されました。
2018年6月ZoeTop 社はデータ侵害が発生し、3,900 万の SHEIN アカウントと 700 万の 「ロムウェ」 アカウントが盗まれております。
SHEINは私の娘も利用しており、個人情報の管理について不透明な部分が多く、未だに日本国内において公式のアナウンスなどは確認できておりません。このような外資系企業のデューデリジェンスを確保する必要性が高まると考えます。
BlueBleed(Azure BLOBストレージへの匿名パブリック読み取り設定)
SOCRadar によるとマイクロソフトが所有する機密情報を含む2.4TBのデータが公開されていることを発見し、111カ国、65,000社以上に関連する、335,000以上の電子メール、133,000のプロジェクト、548,000のユーザーデータが含まれている模様です。
Microsoftによれば、SOCRadar のセキュリティ研究者は、2022 年 9 月 24 日に、Microsoft エンドポイントの構成ミスについて Microsoft へ通知しており、すぐにエンドポイントを保護し、アクセスに適切な認証を要求するようにしました。調査の結果、顧客のアカウントやシステムが侵害された兆候は見られず、該当のお客様には直接お知らせしている模様
対策:昨今の情勢から、Azure BLOBストレージへの匿名パブリック読み取りについて設定の確認をお勧めいたします。
BlueBleed(マイクロソフトのデータ侵害通知を受け取る方法)
データ侵害通知に関する情報を集約し、通知を表示/受信するためのマイクロソフトポータル設定方法をまとめました。