今宵のサイバーセキュリティについて気になること：尼崎市, サイバー人材シェア, IPAやJPCERT/CCの報告窓口, WindowsUpdate（KB5019966）, chadloderの告発

尼崎市USBメモリー紛失事案

尼崎市USBメモリー紛失事案調査委員会の答申（調査報告書）について（11月28日）https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html

業務変革を伴うトランスフォーメーションは、人を動かすことが中心になります。例えば以下のような状況を改善できるCIOやCISOが、DXを推進する上で無くてはならない存在だと思います。

会合の冒頭で、市職員 2 名と B 社従業員 2 名は自己紹介と名刺交換をした。B 社側で出席した A は、自分が B 社の再々委託先従業員であることを市側に明かすことができず、今日は名刺を持ってきていない、と述べて、市職員との名刺交換をしなかった。A は、市から B社の従業員かと質問されても、再委託先・再々委託先の従業員であるとは言うなと上司から長年指導を受けてきたため、このときも言わなかった。この会合に出席した市職員 2 名は、A が初めて会う人であった。A は、B 社と別会社の従業員であるとは自己紹介せず、会合に一緒に出席した B 社職員 2 名も、A を別会社の従業員であると紹介しなかった。そのため、A は、この会合に出席した市職員２名は、自分を B 社従業員と誤解したと感じた。A はこのとき以降もこれ以前も、自身が B 社とは別会社（再々委託先）の従業員であると尼崎市職員に打ち明けたことは一度もなかった。
尼崎市 USB メモリ―紛失事案に関する調査報告書 P.3

日本における技術者倫理は米国とは歴史的な経緯が異なっており、大多数の技術者が企業で働いていることから企業倫理が基礎となり、技術者倫理を含む職業倫理と企業倫理は、相互に守るべき関係にあると考えられます。

サイバーセキュリティにおける職業倫理について

サイバー人材、中堅・中小でシェア　コスト10分の1に

ボランティアのつもりで貢献することをお勧め致します。負荷が高くなるため志がないと難しいと思います。

高額な予算を確保できない中堅・中小企業がサイバーセキュリティー人材をシェアする動きが広がっています。高度人材の隙間時間にセキュリティー関連の相談に乗ってもらうことでコストを下げられます。
https://t.co/ueGJ1sECNW
— 日経九州沖縄 (@nkkyushuokinawa) November 25, 2022

私も総務省事業テレワークセキュリティ相談窓口でセキュリティ専門家として企業や団体・地方自治体など84社へアドバイスしました。
振り返ると、情報セキュリティ委員会の立ち上げで幹部を集めて登壇したり、EMOTET感染の対処、電磁波にまつわることなど、あらゆる相談が来るため、1時間のセッションでも調査・分析・資料作成など相当な準備を要すると思います。
この辺りはコンサル業務に慣れていないと大変だと思います。
また、時間の掛かる作業もあります。例えば原因不明の不定期（1日に数回）なネットワーク回線障害などはリモートでPC、スマホ、無線ルーター、電波干渉調査、ONUまで辿り通信情報ログから原因を突き止め、NTTと交渉し光回線の再敷設を調整することまでありました。お客様の前ですから途中では投げ出せないと思います。
余談ですが、光ファイバーケーブルの物理的耐用年数は15~20年で最近こういった事象が増えております。

IPAやJPCERT/CCの報告窓口の活用を

IPAやjpcert/ccの報告窓口を上手に活用して頂くことを願っております。

IPA 脆弱性届出制度に関する説明会資料
https://www.ipa.go.jp/files/000063028.pdf

届出制度の取扱いの変更点

影響が大きい脆弱性を優先 • 取扱終了の条件を変更
脆弱性による影響が小さい場合、製品開発者やウェブサイト運営者へ届出情報の通知を以て取扱終了
製品開発者のウェブサイト等で脆弱性対策情報が公表された場合、JVN 公表せずに取扱終了

つまり、言い換えると

影響が小さい脆弱性は、後回しになる場合がある。
影響が小さい脆弱性は、JVN公表しない場合がある。
影響が大きい脆弱性でも、製品開発者サイトで脆弱性対策情報が公表された場合はJVN公表しない場合がある。

《届出制度では、影響度が大きな脆弱性に注力する》

アクセス制限不備や認証不備等の脆弱性調査の注意

不正アクセスに該当することは控える

他人のアカウントへアクセスする調査方法はもちろんだが、自分のアカ
ウントにアクセスする調査方法も好ましくない場合がある。

不正アクセス禁止法等に抵触する可能性
想定外のアクセス方法による、ウェブサイトへの影響の懸念
対象ウェブサイトのサービス利用規約に違反する可能性（特定目的以外でのアカウント作成を禁止している等）

偶発的に、アクセスしてしまった等により問題を発見した場合は、必要以
上の調査の実施は控える。

ウェブサイト運営者が、アクセス履歴等を調査した際にトラブルになる可能性がある。
届出情報の通知時に、ウェブサイト運営者へ、他にも問題個所がないかを調査するようお願いするため、発見者が漏洩箇所をすべて調査する必要はない。

Meetyの再炎上、アンモラルな脆弱性報告により新たな刑事事件に発展する可能性も。

https://suan.tokyo/meety_effect/

WindowsUpdateの更新プログラム（KB5019966）の問題

WindowsUpdateの更新プログラム（KB5019966）2022 年11 月8 日の問題について

【重要】Window Updateの停止について
https://www.iryohokenjyoho-portalsite.jp/news/window-update.html

一部の医療機関・薬局においては、顔認証付きカードリーダーの起動時に「011ネットワークエラー」となる事象が発生しておりWindow Updateを停止しております。

更新プログラム（KB5019966）に関する既知の問題https://support.microsoft.com/ja-jp/topic/2022-%E5%B9%B4-11-%E6%9C%88-8-%E6%97%A5-kb5019966-os-%E3%83%93%E3%83%AB%E3%83%89-17763-3650-b09dad62-5cd7-47cd-992f-b7d01f2956c1

KB5001342以降をインストールした後、クラスターネットワークドライバーが見つからないため、クラスターサービスの起動に失敗する可能性があります。
2022 年 11 月 8 日以降にリリースされた更新プログラムを、ドメインコントローラーの役割を持つ Windows サーバーにインストールした後、Kerberos 認証に問題が発生する可能性があります。この問題は、環境内の Kerberos 認証に影響する可能性があります。
この更新プログラムまたはそれ以降の更新プログラムをインストールした後、ネットワーク接続が一時的に失われたり、Wi-Fi ネットワークまたはアクセスポイント間で移行したりした後、Direct Access に再接続できなくなる場合があります。

なお、更新プログラム（KB5019966）は、Local Security Authority Subsystem Service (LSASS,exe) でメモリリークの可能性もありますので、ご注意下さい。

Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe)
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#possible-memory-leak-in-local-security-authority-subsystem-service–lsass-exe-

現象ドメインコントローラー（DC）にKB5019966またはそれ以降のアップデートをインストールすると、Local Security Authority Subsystem Service（LSASS,exe）でメモリリークが発生することがあります。DCの作業負荷やサーバーの最後の再起動からの経過時間によっては、LSASSがサーバーの稼働時間に合わせて継続的にメモリ使用量を増やし、サーバーが応答しなくなったり、自動的に再起動したりすることがあります。

回避策 この問題を回避するには、管理者としてコマンドプロンプトを開き、次のコマンドを使用して、レジストリキーKrbtgtFullPacSignatureを0に設定します。

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

影響を受けるプラットフォーム

クライアント なし
サーバー Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1、Windows Server 2008 SP2

chadloder による Twitter 情報漏洩の告発

chadloder の Twitter 情報漏洩の告発を元ネタにしたニュースは、政治的な要因があるため暫く様子を見ております。
5.4 million Twitter users’ stolen data leaked online — more shared privately
https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/

Twitter社のElon Musk は、右翼過激派の報道を抑制するため、反ファシスト研究者である chadloder のアカウントを停止した。1月6日に警察を襲撃したProud Boyを特定したLoder’sの丹念な調査が、司法省によって引用されたことは報告したとおりだ。
A Right-Wing Brawler Asked a Court to Protect Him From an Antifascist’s Tweets
The New York Times | Robert Mackey

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示