今宵のサイバーセキュリティについて気になること:全国銀行データ通信システムの復旧、ハマスが襲撃したイスラエルのUniverso Paralleloフェス、近年最悪のcurlの脆弱性 など

全国銀行データ通信システムの復旧について

全銀システムの障害対応お疲れ様です。
恐らく、障害が発生してから泊まり込みのSEも見えるかと思います。
10月12日無事に改修出来て何よりです。

なお、全銀のコスト構造の透明性向上に向け、内国為替制度運営費が付与されるように中継コンピューターが更改されました。
この度、障害があったとされる中継コンピューター(RC)ですが、原則個別負担、一部機能について2割共同負担としており、このような設定とチェック機能が含まれていた模様です。

全銀システムの障害対応お疲れ様です。 恐らく、障害が発生してから泊まり込みのSEも見えるかと思います。10月12日無事に改修出来て何よりです。 引き続き、11 月末までに金融庁に以下の報告を予定しています。

ハマスが襲撃したイスラエルのUniverso Paralleloフェスについて

ハマスが襲撃したイスラエルのUniverso Paralleloフェスですが、日本人アーティストも参加していました。

無事で何よりです。

DJ MASAYAのプロジェクトSPECTRA SONICSは、アジアやヨーロッパ、中南米のレーベルからも楽曲提供のオファーを受け、また世界中のフェスティバルに出演していた模様です。

近年最悪のcurlの脆弱性について

近年最悪のcurlのSOCKS5 heap buffer overflow脆弱性(CVE-2023-38545 CVSS7.5 High)について

リモート サイトに接続するとき、curl クライアントが SOCKS5 プロキシを使用するように設定されていることと、遅い SOCKS5 ハンドシェイクであること、更に自動リダイレクトを有効にする必要があることから、影響を受るユーザーは予想より少ないと感じます。

推奨事項

  • curlをバージョン8.4.0にアップグレードする。
  • パッチをローカルバージョンに適用する
  • curlでCURLPROXY_SOCKS5_HOSTNAMEプロキシを使用しない
  • プロキシ環境変数を socks5h:// に設定しない

Microsoft 2023 年 10月のセキュリティ更新プログラム (月例)がリリース

Microsoftより 2023 年 10月のセキュリティ更新プログラム (月例)がリリースされました。

CVE-2023-36434 Windows IIS Server の特権の昇格の脆弱性および CVE-2023-35349 Microsoft Message Queuing のリモートでコードが実行される脆弱性 は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。

なるべく早く更新することをお勧め致します。

2023 年 10 月のセキュリティ更新プログラム (月例)

Citrix NetScaler ADC および Gatewayの脆弱性

Citrix NetScaler ADC および Gatewayの脆弱性が悪用され、ユーザーの認証情報を窃取される

CVE-2023-3519を悪用してパッチが適用されていないNetScaler Gatewayを攻撃し、認証WebページのHTMLコンテンツに悪意のあるスクリプトを挿入してユーザー資格情報を窃取される模様

Citrix Devices Under Attack: NetScaler Flaw Exploited to Capture User Credentials

Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467

コンテナターミナルにおける情報セキュリティ対策等検討委員会中間取りまとめ

名古屋港のコンテナターミナルにおけるシステム障害を踏まえ

緊急に実施すべき対応策について(案)について

令和5年9月29日 情報セキュリティ対策等検討委員会が中間取りまとめを行いました。

“本中間取りまとめの目的は特定の者の責任を追及することにあるのではなく、今回の事案を多くの関係者と共有し、我が国のコンテナターミナルの情報セキュリティ対策を強化することにある”

コンテナターミナルにおける情報セキュリティ対策等検討委員会

デジタル市場競争会議ワーキンググループ(第51回) 

デジタル市場競争会議ワーキンググループ(第51回) では、非公開ですが、AppleやGoogleなどOSプロバイダーが自社のサービスや決済プラットフォームに対して、不正競争の禁止行為のリストを作成しており、2024年度に法案提出予定です。

デジタル市場競争会議 ワーキンググループ

なお、Appleは日本政府の規制を巡り「消費者にプライバシーとセキュリティーを保護する選択肢を提供している仕組みを危機的な状況に追い込むことになる」と訴えました。

競争への悪影響が生じ得る行為でもセキュリティ、プライバシー確保の理由によって講じられた措置は、一定の場合には正当なものとして認めるべきであるとしています。 Appleの訴えは、既に織り込み済みだと思います。

デジタル市場競争会議ワーキンググループ(第51回)

OSINTとObSINTについて

OSINTだけで、合法的にプライバシーに関わる事まで把握できると思います。必要とあればプロファイリングを行い、統計と確率、行動心理、予測アルゴリズムを用いることも。

よって欧州では既に倫理的なOSINTに向けた公益 OSINT 調査のガイドラインObSINTの活動が始まってます。

私もObSINTを支持します。

また、合法的にプライバシーに関わる事まで把握できるOSINTを用いてプロファイリングを行い、安倍元首相銃撃事件のような犯罪を未然に防ぐことも可能かもしれません。

国家サイバーインテリジェンスを高めることは喫緊の課題だと思います。

内閣府「我が国が戦略的に育てるべき安全・安心の確保に係る重要技術等の検討業務」

福岡県中間市の市長さん、スピーチで「スピーチとスカートは短い方がいい」と発言し炎上→謝罪について

これは、英国元首相ウィンストン・チャーチルが用いたとして有名なものですが、2018年にパキスタンの最高裁判事も性差別のコメントだったとして謝罪しております。

文脈から冗談として受け止めるのも知性だと思います。

社会の安定に向けて「共通理解」「認識の共有」「教養」を義務教育に盛り込む必要があるのでは。

SNSは、これから人権的な配慮が必要になったと感じます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ