コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。
デジサートのニュース
- DigiCert Secure Software Manager が GPG Keyring をサポートするようになりました。Linux または Git Commits でコードサイニングを行うユーザー、または Redhat ツールにおいて OCI 準拠のコンテナサイニングを行うユーザーにとって、これはきわめて大きな進歩です。
- デジサートは EONTI と提携し、西カナダの NG9-1-1 ネットワーク事業者により、次世代の 911 システムのセキュリティを保護することになりました。
- デジサートは Matter をサポートします。これは、スマートホームデバイス、モバイルアプリ、クラウドサービスの安全で信頼性の高い相互運用のための規格策定を目的とした新しいプロトコルです。デジサートは製造業者が Matter に準拠する支援をしていますが、これは、多くの消費者が新たなスマートホームデバイスの購入を検討する年末商戦に向けた取り組みです。
ブラウザ
- Apple 社は、 VMC のサポートを iOS 16 および MacOS Ventura から開始します。このことから、VMC 導入のトレンドが進んでいることが見てとれます。
TLS/SSL
- 7 月 21 日には、今年の 6 月 18 日に Entrust 社がサイバー攻撃を受けたことが公に確認されました。Entrust 社の内部ネットワークは第三者に侵害され、企業データが盗まれました。しかし、顧客/ベンダーのデータが盗まれたかどうかはまだ判明していません。Entrust 社は 7 月 6 日にセキュリティ通知を顧客に送ることで、データ侵害の周知に努めましたが、その内容は、「現在に至るまで、この問題が当社の製品やサービスの運用とセキュリティに影響を及ぼしている兆候は見つかっていません」というものです。
マルウェア
脆弱性
- リリース 3.0.4 の OpenSSL に存在するバグによって、リモートコード実行が引き起こされる恐れがあります。OpenSSL は、7 月初旬にこの状況に関するアドバイザリー通知を発表し、その中で、この問題を回避するために速やかに OpenSSL 3.0.5 にアップグレードするよう推奨しました。
- Apple 社は 7 月に、全デバイスを対象にセキュリティパッチをリリースし、何十もの脆弱性の修復に努めました。これらのパッチは、iOS、iPadOS、macOS、watchOS、tvOS に存在する 37 以上の個別の不具合を解決します。
- 7 月中旬には、Google ドライブがマルウェアの配布元として悪用されていることを研究者が警告しました。SolarWinds への攻撃を実行した脅威グループ APT29 は、Google ドライブを使用して、ポルトガルとブラジルの外交官と大使館を標的としたマルウェアを配布しました。
データ侵害
- 7 月初旬に、イギリス陸軍の Twitter アカウントと YouTube アカウントに対してハッキング攻撃が仕掛けられました。ハッカーは、暗号通貨に関する動画を YouTube チャンネルに、NFT に関する投稿を Twitter に上げました。犯人は特定されませんでしたが、イギリス陸軍は両方のチャンネルの制御を取り戻しました。
- 匿名のハッカーによれば、中国の約 10 億人の住民データは、1 年以上も誰でもアクセスできる状態にあるとのことです。これは、歴史上最も大きなデータ流出であると言えます。データは上海警察が収集したもので、データが公開されてしまったきっかけは、2021 年 4 月に起きたバックドアリンクのセキュリティ侵害であると、その匿名のハッカーは主張しています。
- 人気の高いオンラインペットゲーム、Neopets は、個人情報のデータ侵害の被害を受けました。これにより、何百万人ものアカウントユーザーの情報がさらされる恐れがあります。それらのデータにはメールアドレスとパスワードが含まれていたため、早急にパスワードを変更することを推奨しています。
政府規格
停止
耐量子暗号
- NIST が最初の量子耐性暗号化アルゴリズムを選定したということは、組織における暗号化の俊敏性の実現に向けて、新しい暗号化アルゴリズムのテストを開始する良い頃合いです。
- しかし、最後に選定したアルゴリズムの 1 つ、SIKE (Supersingular Isogeny Key Encapsulation)は、一般的なパソコンで 1 時間以内に解読されました。この脆弱性を解消できなければ、NIST はこのアルゴリズムを採用検討から外す必要に迫られるでしょう。これは、暗号化の俊敏性がなぜ重要かを思い起こす契機になります。暗号化の俊敏性を持つことで、従来のアルゴリズムか PQC アルゴリズムを問わず、脆弱性が検出されたときにアルゴリズムを簡単に交換できます。