ユニバーサルサービスワーキンググループ(第1回)開催案内
ユニバーサルサービスワーキンググループ(第1回)開催案内
大臣官房会計課厚生企画管理室 非常勤職員採用情報
大臣官房会計課厚生企画管理室 非常勤職員採用情報
令和6年能登半島地震に係る被害状況等について(第55報)
令和6年能登半島地震に係る被害状況等について(第55報)
衛星放送ワーキンググループ(第3回)配付資料
衛星放送ワーキンググループ(第3回)配付資料
サイバーセキュリティタスクフォース(第46回)
サイバーセキュリティタスクフォース(第46回)
被災地におけるコミュニケーション支援用スマートフォンアプリのご案内(「外国語」でお困りの皆さま、「聴覚障害」をお持ちの皆さま、「聴覚障害」をお持ちの方の周囲の皆さまへ)
被災地におけるコミュニケーション支援用スマートフォンアプリのご案内(「外国語」でお困りの皆さま、「聴覚障害」をお持ちの皆さま、「聴覚障害」をお持ちの方の周囲の皆さまへ)
公正競争ワーキンググループ(第1回)配布資料・議事概要
公正競争ワーキンググループ(第1回)配布資料・議事概要
令和6年能登半島地震に係る被害状況等について(第54報)
令和6年能登半島地震に係る被害状況等について(第54報)
[B] 【1/27】入管法廃止デモ 渋谷で実施予定
“改悪入管法”の廃止を求める市民有志は1月27日、渋谷区内で同法の廃止を求めるデモ行進「STOP!改悪入管法デモat渋谷」」を実施する予定だ。(藤ヶ谷魁)
Joint statement on the proposed cybercrime treaty ahead of the concluding session
The statement's signatories, including APC, stress that the proposed UN Cybercrime Convention must be narrowly focused on tackling cybercrime, and not used as a tool to undermine human rights. Unless meaningful changes are made to address current shortcomings, the Convention should be rejected.
【時事マンガ】派閥解消でごまかすな=画・八方美人
EFF and More Than 100+ NGOS Set Non-Negotiable Redlines Ahead of UN Cybercrime Treaty Negotiations
EFF has joined forces with 110 NGOs today in a joint statement delivered to the United Nations Ad Hoc Committee, clearly outlining civil society non-negotiable redlines for the proposed UN Cybercrime Treaty, and asserting that states should reject the proposed treaty if these essential changes are not implemented.
The last draft published on November 6, 2023 does not adequately ensure adherence to human rights law and standards. Initially focused on cybercrime, the proposed Treaty has alarmingly evolved into an expansive surveillance tool.
Katitza Rodriguez, EFF Policy Director for Global Privacy, asserts ahead of the upcoming concluding negotiations:
The proposed treaty needs more than just minor adjustments; it requires a more focused, narrowly defined approach to tackle cybercrime. This change is essential to prevent the treaty from becoming a global surveillance pact rather than a tool for effectively combating core cybercrimes. With its wide-reaching scope and invasive surveillance powers, the current version raises serious concerns about cross-border repression and potential police overreach. Above all, human rights must be the treaty's cornerstone, not an afterthought. If states can't unite on these key points, they must outright reject the treaty.
Historically, cybercrime legislation has been exploited to target journalists and security researchers, suppress dissent and whistleblowers, endanger human rights defenders, limit free expression, and justify unnecessary and disproportionate state surveillance measures. We are concerned that the proposed Treaty, as it stands now, will exacerbate these problems. The proposed treaty concluding session will be held at the UN Headquarters in New York from January 29 to February 10th. EFF will be attending in person.
The joint statement specifically calls States to narrow the scope of criminalization provisions to well defined cyber dependent crimes; shield security researchers, whistleblowers, activists, and journalists from being prosecuted for their legitimate activities; explicitly include language on international human rights law, data protection, and gender mainstreaming; limit the scope of the domestic criminal procedural measures and international cooperation to core cybercrimes established in the criminalization chapter; and address concerns that the current draft could weaken cybersecurity and encryption. Additionally, it requires the necessity to establish specific safeguards, such as the principles of prior judicial authorization, necessity, legitimate aim, and proportionality.
「群馬の森」にある朝鮮人追悼碑撤去に対して抗議の声を!
Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告
headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している
(Microsoft Security Response Center Blog の記事、
The Verge の記事、
Neowin の記事、
Form 8-K 報告書)。
不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。
不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。
今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。
すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース | インターネット |
関連ストーリー:
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Microsoft、気象用語を使用した脅威アクター新命名法 2023年04月21日
Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告
headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している
(Microsoft Security Response Center Blog の記事、
The Verge の記事、
Neowin の記事、
Form 8-K 報告書)。
不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。
不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。
今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。
すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース | インターネット |
関連ストーリー:
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Microsoft、気象用語を使用した脅威アクター新命名法 2023年04月21日
渡部通信(1/23) : 「君が代」調教NO!裁判、負けても勝つだろう
東京東部労組:資本家は儲けを被災者のために使え!経団連前アピール行動
消費者団体ほか関係団体等との意見交換会【1月30日開催】
UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響
サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。
EDK IIを実装していて影響を受けるUEFIは下記の通り。
ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。
整数アンダーフロー(CVE-2023-45229)バッファオーバーフロー(CVE-2023-45230)境界外読み取り(CVE-2023-45231)無限ループ(CVE-2023-45232、CVE-2023-45233)TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)擬似乱数ジェネレーターの使用(CVE-2023-45237)ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。
すべて読む | セキュリティセクション | オープンソース | ハードウェア | セキュリティ | ニュース | バグ |
関連ストーリー:
AMD製CPUに脆弱性見つかる 2023年07月27日
セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 2022年12月03日
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日
UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響
サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。
EDK IIを実装していて影響を受けるUEFIは下記の通り。
ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。
整数アンダーフロー(CVE-2023-45229)バッファオーバーフロー(CVE-2023-45230)境界外読み取り(CVE-2023-45231)無限ループ(CVE-2023-45232、CVE-2023-45233)TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)擬似乱数ジェネレーターの使用(CVE-2023-45237)ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。
すべて読む | セキュリティセクション | オープンソース | ハードウェア | セキュリティ | ニュース | バグ |
関連ストーリー:
AMD製CPUに脆弱性見つかる 2023年07月27日
セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 2022年12月03日
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日