Meety個人情報漏洩の可能性について
個人情報漏洩の可能性があるため、 事業主体(meety)は個人情報保護委員会へ通知することをお勧めいたします。
Meety脆弱性 2022-11
https://gist.github.com/mala/39650fd9cb41bf58d305a8b311b31ff1
なお事業主体が特定業種に届出されている場合は、こちらもご参考にして下さい。
電気通信事業における個人情報保護に関するガイドライン
当該事態が生じた旨を個人情報保護委員会に報告しなければなりません。ただし委託を受けた場合、この限りではないため、必ずしも宛先が個人情報保護委員会ではない場合があります。
Twitter セキュリティ防御力に懸念
Twitter社は、最高プライバシー責任者、最高コンプライアンス責任者、最高情報セキュリティ責任者の相次いで離脱しました。即座に影響が出ることはないと思いますが、セキュリティ防御力の低下が懸念されております。
「ツイッターのDMを今すぐ削除せよ」セキュリティ専門家警告https://forbesjapan.com/articles/detail/52115
なりすましを防ぐトラストアンカーの整備を
なりすましを防ぐには、本人を証明する共有基盤として、トラストアンカーの整備が急務です。
もはやサイバー空間は私達の生活と一体化しており、セキュリティとプライバシーに関わる「リスク」が急速に増大しております。さらに、歴史や国民性、産業競争力、政治体制などに影響を及ぼしかねないことから、国民との対話によって形作るもの(人間中心の Society5.0 )だと考えます。
なお「マイナンバー制度及び国と地方のデジタル基盤抜本改善 WG」の 検討を踏まえ、マイナンバーカードの電子署名機能が「トラストアンカー のアンカー」としての役割を担うこととなります。
総務省 データ戦略タスクフォース 第一次とりまとめ
デジタル庁 トータルデザイン実現に向けた公共 サービスメッシュ等の検討について
個人識別
個人から提示された識別情報(ID)を用いてデータ
ベースの検索を行い、該当するIDが存在することを確認する(「1対nの照合」を行う)こと
個人識別符号に関する政令の方向性についてhttps://www.ppc.go.jp/files/pdf/280412_siryou2-1.pdf
本人認証
「個人識別」によって区別された個人について、当該個人本人だけが備えているとして登録された情報 (「認証情報」)と照合し、当該個人が確かに本人であることを確認する(「1対1の照合」を行う)こと
多要素認証
- 知識情報 本人しか知らない情報を持っていること
- 所持情報 本人しか持ち得ない情報が記録された媒体 を持っていること
- 身体・行動情報 本人の身体・行動が持つ固有情報の差
VMware Workspace ONE Assist |Critical な脆弱性 CVSS 9.8
VMware Advisories VMSA-2022-0028
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
- 認証バイパスの脆弱性 (CVE-2022-31685)
- 壊れた認証方法の脆弱性 (CVE-2022-31686)
- アクセス制御の脆弱性 (CVE-2022-31687)
ネットワーク アクセス権限を持つ悪意のある攻撃者は、アプリケーションへの認証を必要とせずに管理者アクセスを取得できる可能性があります。
回避策が無いため修正済みのWorkspace ONE Assist 22.10へ更新することをお勧め致します。
Introducing Workspace ONE Assist 22.10 (89993)
https://kb.vmware.com/s/article/89993
Citrix GatewayおよびCitrix ADCのCriticalな脆弱性 CVSS 9.8
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
影響範囲はGatewayとして動作しているアプライアンス(SSL VPN、ICA Proxy、CVPN、RDP Proxy)のみです。
- ゲートウェイのユーザー機能への不正なアクセス(CVE-2022-27510)
- フィッシングによるリモートデスクトップ乗っ取り(CVE-2022-27513)
- ユーザーログインのブルートフォース保護機能回避(CVE-2022-27516)
影響を受けるCitrix ADCおよびCitrix Gatewayは、できるだけ早くアップデートすることをお勧めします。
Zero Day Initiative 28個の脆弱性を公開
Zero Day Initiative より11月21日に28個の脆弱性のリストが公開されました。CVSS 8.8〜3.3となります。
対象となる製品
- Hewlett Packard Enterprise OfficeConnect 1820
- Trend Micro Apex One
- TP-Link TL-WR940N
- ManageEngine ServiceDesk Plus
- Microsoft Teams
- Microsoft Exchange
- Microsoft PowerPoint
- Microsoft Word
- Microsoft Excel
- Microsoft Raw Image Extension
詳しくは以下のリンクをご覧ください
https://www.zerodayinitiative.com/advisories/published/2022/
最も急成長しているサイバーセキュリティ企業
IDCは、2025年までに7億5000万以上の新しいクラウドネイティブアプリが作成され、そのすべてがセキュリティが必要になると推定しています。
よって世界のサイバーセキュリティ市場は2027年までに4030億ドルに達すると予想されております。
