最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/6/23

・個人情報を含むUSBメモリーの紛失事案について（尼崎市）

https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html?utm_campaign=Weekly%20newsletter%20of%20Masafumi%20Negishi&utm_medium=email&utm_source=Revue%20newsletter

SNSでも非常に注目されていて、様々な問題点が指摘されていました。
尼崎市のHPで、詳細な情報が公開されていますが、原因として以下の3つが挙げられています。

1. 受託者は、委託者の事業所外でのデータ処理の許可は得ていたものの、受託者の関係社員個人が電子記録媒体で個人情報データを運搬するという具体的手法についての許可を本市から得ていなかった。また、本市が受託者に対し、持ち出す際に許可を得るべき旨を徹底していなかったこと。
2. 個人情報データを保存した電子記録媒体を運送会社のセキュリティ便などを使用せず、個人で委託者の事業所外に持ち歩いたこと。
3. 委託者の事業所外でのデータ移管作業終了後、その場で速やかにUSBメモリー内のデータ消去を行わなかったこと。また、速やかに帰社せず、当該USBメモリーを所持したまま、飲食店に立ち寄り、食事や飲酒をし、結果、USBメモリーが入ったカバンを紛失したこと。

管理方法や運用方法など構造的な問題点もあるかと思いますが、個人的にはヒューマンエラーの部分が大きいと感じております。
慣れてくるとどうしても気が緩んでしまうこともあるかと思いますが、そういう時に思わぬミスをしてしまうものなので、重要な作業をする際には特に気を付けたいと思います。

2022/6/24

「OpenSSL」にスクリプトインジェクションの脆弱性 – アップデートが公開

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-001957.html

「OpenSSL」に脆弱性が明らかとなった。アップデートで修正するとともに、「c_rehashスクリプト」の利用を中止するよう求めている。

暗号化モジュールとして広く使用されているopensslにスクリプトインジェクションの脆弱性が報告されています。
本脆弱性の対策済みのバージョンが公開されていますので、アップデートすることをお勧めします。

2022/6/23

Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.0 (2022年6月)

https://github.com/OWASP/www-chapter-japan/tree/master/secreq

ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」のバージョンが4.0に更新されました。
上流工程の段階でセキュリティに関する要件を考慮しておくことは、セキュアなwebサービスの構築に役立つと思います。
また、すでに運用中のシステムに対しても、改善のヒントになるかと思いますので、一度目を通してみるのもよいかと思います。

まとめのまとめ

USBメモリに限らず、スマホやタブレット、ノートPCなど、日常的に持ち歩いてる方も多いかと思います。
とても便利ではありますが、コンパクトな端末の中に重要な情報が詰まっていることを、改めて意識する必要があるかもしれませんね。

担当：F