2021 年 10 月 18 日:今週の重要な情報セキュリティニュース
2021 年 10 月 18 日 Josh Stuifbergen 著
Azure、BitBucket、GitHub、GitLab が、GitKraken の脆弱性を受けて SSH キーを失効させる
Git ソフトウェアのクライアントである GitKraken は、今週月曜日に投稿した記事の中で、SSH キーの生成に関する欠陥を公開しました。この欠陥は、今年 5 月中旬から 6 月下旬にかけてリリースされたバージョン 7.6.x、7.7.x、8.0.0 で発見されたものです。GitKraken は、コードリポジトリを GitKraken App に接続させる SSH 鍵を生成するために、ライブラリのキーペアを使用しています。公開された SSH 鍵は想定よりも強度が弱く、鍵の複製に対して脆弱となる可能性がありました。GitKraken はこの問題を修正するためにバージョン 8.0.1 を公開し、Azure や Gitlab などの主要なコードホスティングプラットフォームは、鍵を大量に失効させました。また、キーペアライブラリも更新されました。
ミズーリ州知事、HTML の欠陥指摘をハッキングと混同
St. Louis Post-Dispatch 紙のジャーナリストがデータ漏洩を発見し、標準的な手順として、責任を持ってミズーリ州の初等中等教育局に、社会保障番号が誤って公開されていたことを通知しました。その後、同局の Web サイト管理者が問題を修正した「後」で、Post-Dispatch 紙がこの件について報道しています。詳細は、Trevor Collins による当ブログの記事をご覧ください。
EU が提案するドメイン登録者の匿名性に関する変更点
欧州連合(EU)は、欧州連合サイバーセキュリティ機関(ENISA)のために、EU ネットワーク情報セキュリティ(NIS)による指令の更新を進めています。NIS1 から NIS2 への見直しでは、2016 年に最初の指令が採択されて以降の、セキュリティ環境の変化に対応するための修正案がまとめられています。草案の中には、登録されたドメインの透明性を高めるための修正案 17 があります。これによりドメインレジストラは、登録者に関する詳細な情報を複数収集して、身元確認に利用することが求められます。現在の要件は最小限で、必要なのは名前と住所だけであり、検証も行われていません。登録者要件がこのように緩いため、匿名性を確保して説明責任を回避することは容易で、短期に使用する悪意のあるドメインの入手のハードルが低いことは事実です(もちろんすべての原因ではありません)。一方この変更に対しては、匿名性を必要とする人々の言論の自由を阻害する可能性がある、という反論があります。
Microsoft が年刊の「Microsoft Digital Defense Report(MDDR)」を発表
このレポートでは、サービスとしてのランサムウェア(RaaS)の人気が高まっていることを取り上げています。ランサムウェアのビジネスモデルが成熟していくにつれ、それに対抗する必要性も高まっていきます。当然のことながらフィッシング攻撃は依然として健在で、Microsoft のサービスにおいては、2020 年 6 月以降に増加しています。追加の詳細は、こちら(英語)にまとめられています。また、134 ページのレポート全文(英語)はこちらです。
米連邦政府機関、適切なエンドポイントの検知と対応を要求される
米連邦政府機関は、適切な EDR(Endpoint Detection and Response)ソリューションをホストすることが求められます。OMB(米行政管理予算局)のディレクターである Shalanda Young 氏が発行したメモによると、各機関は OMB および CISA(Cybersecurity Infrastructure Security Agency)との調整を求められます。EDR のデータは CISA に供給され、可視性の拡大に役立てられます。EDR の導入が不十分な機関は、CISA と協力して導入ガイドラインを満たすことになります。