ぼくの備忘録

セキュリティに関するニュース等で気になったものを残していきます。毎日更新が理想ですが、更新に時間を要することも有ります。。

2020年12月30日

インシデント事例

楽天グループのクラウド型営業管理システムに設定不備、社外からアクセス可能に

https://scan.netsecurity.ne.jp/article/2020/12/28/44999.html

SalesForceのゲストユーザー設定の誤りに起因するものっぽい?

楽天の情報漏えい問題、2016年に行われたセールスフォースの仕様変更とは?

https://news.yahoo.co.jp/byline/ohmototakashi/20201228-00214956/

楽天、PayPayの情報漏えい、原因はセールスフォース製品の設定ミス?

https://www.itmedia.co.jp/business/articles/2012/28/news051.html

・上司「うち大丈夫なの?」Salesforce Experience Cloudアクセス権限とセキュリテイを説明してみた

https://note.com/h_yoshida/n/n201789b80923

川崎重工不正アクセス、一部情報流出の恐れ 「痕跡がなく、高度な手口によるもの」

https://www.itmedia.co.jp/news/articles/2012/28/news075.html

 

【攻撃の傾向・手法、攻撃組織の動向】

・DDoS Attacks Spiked, Became More Complex in 2020

https://www.darkreading.com/attacks-breaches/ddos-attacks-spiked-became-more-complex-in-2020/d/d-id/1339814?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

→例年と比べ、DDoS攻撃の件数が増加。身代金目的の攻撃が多く、攻撃規模や継続時間が増加。

 

・SolarWinds Hackers Aimed to Access Victim Cloud Assets after deploying the Solorigate Backdoor

https://gbhackers.com/solarsinds-targets-cloud-assets/

→SolarWindsの更新ファイルを悪用して、複数の企業への不正アクセスが行われた件。侵入後クラウド環境への侵入が狙われていたようで、不正侵入して権限昇格後、クラウド環境へのアクセスのためにSAMLトークンを奪取して、アクセスを試みていた模様。

不正アクセスを受けたことを想定して、内部対策の充実化が今後のポイントかと。

 

脆弱性情報】

・シトリックス製品を悪用したDDoS攻撃を確認--対応パッチは1月に提供予定

https://japan.zdnet.com/article/35164383/ 

 

【その他・法規則関連など】

・2020年改正個人情報保護法の解説 ~EUの一般データ保護規則(GDPR)との比較も含めて

https://www.itmedia.co.jp/business/articles/2012/25/news010.html

・生体情報 - どうか指紋情報が漏洩しませんように!

https://jpazureid.github.io/blog/azure-active-directory/biometrics-keep-your-fingers-close/?utm_source=dlvr.it&utm_medium=twitter

マイクロソフトとしては、生体認証は各デバイス内で完結する形での実装とし、中央集権型(単一のAD上)での認証はサポートしていない状況。理由としては、生体情報はそもそも偽造が可能かつ偽造された際の切り替えに限界がある状況であり、かつ偽造のための通信傍受なども十分可能性があり得るため、インターネット経路を用いた認証には向かないため。そのため、端末内で完結する仕組みにすれば、攻撃者側は物理的なアクセスが必要となるため、十分にハードルが高いと判断。

・今使っているWindows/Officeは大丈夫? 2021年以降を見据えて、各バージョンのライフサイクルを再確認

https://www.atmarkit.co.jp/ait/articles/2012/28/news002.html

・OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する

https://zenn.dev/zaki_yama/articles/oauth2-authorization-code-grant-and-pkce

 ・巣ごもりDXステップ講座情報ナビ

https://www.meti.go.jp/policy/it_policy/jinzai/sugomori/

 

【一言】

来年こそは毎日のように(日曜日除く)更新したい。。