Microsoftセキュリティ更新プログラムリリース、FortiOS および FortiProxy CVSS 9.8 Critical、港湾を基幹インフラの対象に、PCI DSS DMARC必須など

Table of Contents

Microsoftより 2023 年 7月のセキュリティ更新プログラム (月例)をリリース

既に悪用が確認されている脆弱性が以下の6点となります。

CVE-2023-32046 Windows MSHTML プラットフォームの特権の昇格の脆弱性
CVE-2023-32049 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性
CVE-2023-35311 Microsoft Outlook のセキュリティ機能のバイパスの脆弱性
CVE-2023-36874 Windows エラー報告サービスの特権の昇格の脆弱性
CVE-2023-36884 Office および Windows における HTML のリモートでコードが実行される脆弱性
ADV230001Microsoft 署名済みドライバーが悪用された場合のガイダンス

2023 年 7 月のマイクロソフト月例セキュリティ更新プログラムを公開しました。既定では自動で更新されます。更新管理を行っている組織向けに、概要をブログで公開しています。ご参照の上、早期に更新の展開をお願いします。https://t.co/ycL4LH0NcK #セキュリティ #更新プログラム #マイクロソフト pic.twitter.com/7gI0eVFwmg
— マイクロソフトセキュリティチーム (@JSECTEAM) July 12, 2023

CVE-2023-36884を悪用したバックドアについて

RomCom と呼ばれるロシアを拠点とするサイバー犯罪グループで、ヨーロッパと北アメリカの国防機関や政府機関に向け、ウクライナ世界会議に関連したフィッシングメールを送付していました。

Microsoft has identified a phishing campaign conducted by Storm-0978 targeting defense and government entities in Europe and North America. The campaign involved the abuse of CVE-2023-36884 to deliver a payload with similarities to the RomCom backdoor. https://t.co/PnxId3S35V
— Microsoft Threat Intelligence (@MsftSecIntel) July 11, 2023

以下の脆弱性は、CVSS 基本値が 9.8 と高いスコアです。

CVE-2023-35365、CVE-2023-35366、CVE-2023-35367：Windows ルーティングとリモートアクセスサービス (RRAS) のリモートでコードが実行される脆弱性
CVE-2023-32057：Microsoft Message Queuing のリモートでコードが実行される脆弱性

なるべく早く更新することをお勧め致します。

FortiOS および FortiProxy スタックベースオーバーフローの脆弱性 CVE-2023-33308 CVSS 9.8 Critical

SSL ディープパケットインスペクションと並行してプロキシポリシーまたはプロキシモードのファイアウォールポリシーに到達するパケットを経由して、任意のコードまたはコマンドを実行される可能性があります。

回避策

プロキシポリシーまたはプロキシモードのファイアウォールポリシーによって使用される SSL 検査プロファイルでの HTTP/2 サポートを無効にします。

早めにアップデートすることをお勧め致します。

参考

PSIRT Advisories | FortiOS/FortiProxy – Proxy mode with deep inspection – Stack-based buffer overflow

custom-deep-inspection profile:
config firewall ssl-ssh-profile
    edit "custom-deep-inspection"
        set supported-alpn http1-1
    next
end

2023年7月14日高市早苗経済安全保障担当大臣記者会見

高市早苗経済安全保障相は14日の記者会見で、名古屋港統一ターミナルシステム(NUTS)の障害を受けて、経済安全保障推進法の基幹インフラの対象事業に追加するかも含め国交相やNISCにて検討していく模様です。

内閣官房サプライチェーンの強靱化に向けた取組について

PCI DSS v4.0からDMARCは必須要件へ

総務省、警察庁及び経済産業省は、フィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術（DMARC）の導入を要請しております。
これからPCI DSS v4.0 により、カード所有者の機密データを扱う企業には電子メール認証が必要になります。なおDMARC (ドメインベースのメッセージ認証、レポート、および適合性など) 電子メール認証としてPCI DSSに認められており、導入後はポリシー（none,quarantine,reject）を段階的に引き上げる必要があります。

DMARC is becoming mandatory for all companies dealing with sensitive cardholder data.

Check out our recent article to learn how you can prepare for these changes ahead of time ➡ https://t.co/whEdul8VGa pic.twitter.com/xjWc84EIhF
— EasyDMARC (@easydmarc) July 14, 2023

プロは「兵站」を語る

フィージビリティの段階で、ライフサイクルを想定して、ヒトモノカネを構想する事が大切だと思います。特に開発に用いる言語やミドルウェアに責任を持ち10年後も保守できる人を”育てる”発想が必要だと考えます。
それが経営計画に繋がってきます。

確かに☞システムが増殖したのに運用に対する生産性が上がらないとなると、人が足りなくなる…どんどんシステムは作るし、それに対する運用費を支払う準備もある。あるが、肝心の人がいない。人がいないので、構築したシステムが宙に浮き、誰が運用するんだということで暗転 https://t.co/uc85SZE5UQ
— Masanori Kusunoki / 楠正憲 (@masanork) July 15, 2023

ご参考までにゼロトラストの切り口で、兵站(リスクマネジメント・フレームワーク)について語らせて頂きました。

戦略のミスは、戦術でカバーできない。

失敗の本質を見極め、戦略（仕組み）へのアプローチが必要だと感じます。

富士通Japan製コンビニ交付システムの修正プログラム、44団体が未適用

責任は富士通Japanか自治体側なのか…

一方で、個人情報保護委員会は、”デジタル庁が自治体に対して正確なシステムの操作手順を徹底せず、リスク管理や対策を講じていなかった”としております。false dilemmaに陥らないことを願います。

デジタル庁に立ち入り検査へ　情報保護委、マイナ問題で　行政指導も検討https://t.co/CIH88o0GmJ

リスク管理と対策に不備があったと重く見ており、マイナンバー法に基づく行政指導を検討する。
— 産経ニュース (@Sankei_news) July 7, 2023

リベンジポルノ疑いで誤認逮捕　20代男性を42日間勾留　大阪府警

誤認逮捕により人生に大きな影響を与えたと思います。このことから大阪府警察サイバー犯罪対策推進本部は、令和5年4月14日にセキュリティアドバイザーを委嘱しておりますので、このような事態について再発防止策が検討されることを願っております。

リベンジポルノ疑いで誤認逮捕　20代男性を40日間勾留　大阪府警 https://t.co/wCrD7M870e
— 毎日新聞ニュース (@mainichijpnews) July 10, 2023

また、全ての都道府県警に、サイバーセキュリティアドバイザーを採用した方が良いと思います。サイバー犯罪が高度化、巧妙化しているため、意図せず誤認逮捕に巻き込まれることが増えると予測されます。

スタートアップドラマ『トリリオンゲーム』第1話ウォッチパーティー」

「原作・ドラマ監修者の解説付きで見る！スタートアップドラマ『トリリオンゲーム』第1話ウォッチパーティー」に参加しました。

なお、原作漫画からFlatt SecurityがドラマのIT・セキュリティ技術監修を務めており、主人公ハルの相棒・ガクによるハッキングシーンなど、IT・セキュリティに関する演出も見所の1つとなっています。

【ドラマ #トリリオンゲーム 1話ウォッチパーティー】

スタートアップ／起業に関する解説や、原作・ドラマの技術監修者による技術解説を交えながら、ドラマの見所を深掘りしていきます。
一緒にドラマ放送を盛り上げていきましょう!!https://t.co/2AK5PvHeWl pic.twitter.com/OYiWccsF2Z
— 株式会社Flatt Security (@flatt_security) June 27, 2023

架空のSecurity Championship 2023ですが、現実に8時間を通して、次々と発生する膨大な量のサイバー攻撃、システム不具合に対し、参加者は自らの技術施策を繰り出すHardening 2023 Generativesがもうすぐ始まります。

開催概要/募集要項 – Hardening 2023 Generatives

AIロボット、「人間に反抗する？」と聞かれ……　国連のAI会合開催

国連のAI会合、確率的オウム🦜に聞いたところで、彼らは学習データ(LLM)から確率的にもっともらしい回答を出すだけだと思います。

BBCニュース – AIロボット、「人間に反抗する？」と聞かれ……　国連のAI会合開催 https://t.co/1STHEnfVQh pic.twitter.com/9SUuVvcNYG
— BBC News Japan (@bbcnewsjapan) July 10, 2023

Meet the robots who are making the world a better place

ryuchellさん死去　SNSで誹謗中傷した人がコメント削除の動きに怒りの声

ORICON NewS inc.

競争原理によって、他者との比較でしか自身の価値を見出せなくなると、他者を貶めることに快楽と安心、集団での連帯感を得てしまう。

自分と向き合う勇気を。そして競争原理から共創原理へ

No Heart No SNS

コンサルタントとは

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示