英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入

5 days 8 hours ago
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリース、Engadget、GIGAZINE、iPhone Mania)。 この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。

すべて読む | セキュリティセクション | テクノロジー | 英国 | セキュリティ | ニュース | インターネット |

関連ストーリー:
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
医療システムで多数のパスワード入力が必要な英国、シングルサインオンへの移行でログインにかかる時間を105秒から10秒に短縮できると期待 2020年01月10日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
英国会議員の不正アクセス行為が謝罪だけで許されそうになっていることをLulzSec元メンバーが批判 2018年04月14日

nagazou

英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入

5 days 8 hours ago
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリース、Engadget、GIGAZINE、iPhone Mania)。 この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。

すべて読む | セキュリティセクション | テクノロジー | 英国 | セキュリティ | ニュース | インターネット |

関連ストーリー:
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
医療システムで多数のパスワード入力が必要な英国、シングルサインオンへの移行でログインにかかる時間を105秒から10秒に短縮できると期待 2020年01月10日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
英国会議員の不正アクセス行為が謝罪だけで許されそうになっていることをLulzSec元メンバーが批判 2018年04月14日

nagazou

Twitter、創業者のジャック・ドーシー氏のCEO退任を発表

5 days 9 hours ago
Twitterは29日、創業者であるジャック・ドーシーCEOの退任を発表した。同社取締役会は、後任として最高技術責任者であるパラグ・アグラワル氏を新CEOに任命した。同氏の退任は米CNBCテレビが先行して報道、この報道によりTwitterの株価は上昇していたという。この影響からナスダックは、正式発表があるまで同社およびドーシー氏がCEOを兼任するデジタル決済会社Square株の取引を一時停止をしていたそうだ(ロイター、AFPBB News、日経新聞、The Guardian)。 最近のTwitterは相次いで新機能を追加していたものの、シェアはここ数か月で落ち込んでいたとされる。The Guardianなどの報道によれば、ジャック・ドーシー氏はSquareのCEOも勤めていたことから、Twitterの株主であるElliott Management社と投資家Paul Singer氏は、ドーシーにどちらかの役職から退くよう求めていたとされる。なおドーシー氏は2022年に開催されるTwitterの株主総会までは取締役として残るとのこと。

すべて読む | ITセクション | Twitter | ニュース | IT |

関連ストーリー:
Twitter のアルゴリズム、犬と猫を区別できない? 2021年11月22日
明るい肌色優先で話題になった Twitter のアルゴリズム、若さやスリムさも優先されることが明らかに 2021年08月14日
超党派の米下院議員、著作物の無断使用が Twitter のビジネスモデルの一部だと指摘 2021年08月07日
Twitterの新機能フリート、採用から8か月で廃止が決定 2021年07月16日
有料サービス「Twitter Blue」を契約しても、広告の非表示機能は用意されない理由 2021年06月08日
Twitterの投げ銭機能、PayPal経由で送金すると相手に住所が伝わるとの指摘 2021年05月10日
Twitter、アプリ上で縦長画像のサムネイル表示に対応へ 2021年05月08日
Twitterがテスト中の「ツイート取り消しボタン」はサブスク会員用との説 2021年03月25日
Twitter、画像をクロップせずにタイムライン表示する機能をAndroidとiOSでテスト中 2021年03月13日
Twitter、著名人以外の個人の写真や動画を承諾なしに共有することを禁ずるポリシー改訂 2021年12月02日

nagazou

Microsoft、Windows 10 Update Assistant の脆弱性 2 件を修正

5 days 14 hours ago
headless 曰く、Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。 2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。 脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。 一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。 CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。 先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows |

関連ストーリー:
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出 2021年11月06日
Apple、iTunes for Windows 12.12 を再リリース 2021年09月28日
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 2021年07月22日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日

nagazou

Microsoft、Windows 10 Update Assistant の脆弱性 2 件を修正

5 days 14 hours ago
headless 曰く、Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。 2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。 脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。 一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。 CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。 先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows |

関連ストーリー:
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出 2021年11月06日
Apple、iTunes for Windows 12.12 を再リリース 2021年09月28日
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 2021年07月22日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日

nagazou