今宵のサイバーセキュリティについて気になること：Microsoftより11月のセキュリティアップデートが公開、CISA 悪用された既知の脆弱性カタログにJuniper Junos OSを追加など

Table of Contents

Microsoftより2023年11月のセキュリティアップデートが公開

CVE-2023-36400 CVSS8.8 Windows HMAC Key Derivation の特権の昇格の脆弱性
CVE-2023-36397 CVSS9.8 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
CVE-2023-36052 CVSS8.6 Azure CLI REST コマンドの情報漏えいの脆弱性

以下の脆弱性は詳細が一般に公開され、悪用されていることを確認しています。

CISA 悪用された既知の脆弱性カタログはこちらから

Vulncheckによればshodanで検索すると、日本でも141件該当しています。

アップデートがリリースされました。

OSコマンドインジェクション [CWE-78] の無効化が不適切なため、攻撃者がリモートからコマンドを実行できる可能性があります。

影響を受けるバージョン FortiSIEM 5.4, 5.3, 5.2, 5.1, 5.0, 4.10, 4.9, 4.7

すべての生成 AI アプリケーション (Microsoft Copilots、ChatGPT、Bard、Bing Chat）に対応

AIプロンプトにおける機密データの使用状況や、AIと対話するユーザーの総数など、生成型AIアプリの使用状況を包括的に可視化
AIプロンプトでのデータ損失を防止し、AI応答を保護するために、リスク生成AIアプリをブロックする機能と、すぐに使用できるカスタマイズ可能なポリシーによる広範な保護
ビジネスまたは行動規範の違反を検出し、規制要件を容易に満たすためのコンプライアンス管理

Copilotとの対話は機密ラベルを自動的に継承し、それらが AI によって生成された出力に適用され、データ損失防止、インサイダーリスク管理、適応型保護を行います。

審査員が審査関連資料及び審査員名簿を保管していた個人所有のファイルサーバー（NAS）に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていた模様です。

対策：全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、廃棄するよう指示。また、当協会が貸与する十分なセキュリティ対策を施したパソコンのみを用いて審査業務を行う。

余談ですが、私もBYOD（Bring Your Own Device）検討委員会を立ち上げ、導入に向けて半年近く協議をしたことがありますが、セキュリティ対策と運用の難易度が高く、デバイスを会社支給することにしました。

CARDNETセンター障害により、11月11日13時23分頃から20時52分頃までの間、クレジットカード等の利用できない状況が発生しました。

＜影響＞約８０万件 ※11月11日13時23分から20時52分の間にCARDNETセンターで取引エラーとなった件数 ※初回の取引がエラーとなった後、繰り返し取引された件数を含みます

全国のJRやコンビニなどで、クレジットカード決済出来ずトラブルが発生した模様

米国では近年CISOが、株主集団訴訟、株主代表訴訟、さらには刑事訴訟を含む、データセキュリティ事件の訴訟や政府訴訟の標的となっており、責任の重さや求められる能力が異なると感じます。

［ITmedia エンタープライズ］Cybersecurity Dive：セキュリティ担当者はCISOを目指せ　調査から“もうかる”職業だと判明 https://t.co/M2X2dEfD1f
— ITmedia (@itmedia) November 11, 2023

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示