最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/1/4
機械学習フレームワーク「PyTorch」に不正プログラム混入のおそれ
https://www.security-next.com/142623
機械学習のフレームワークである「PyTorch」のナイトリービルドをパッケージマネージャである「pip」経由でインストールした場合に、悪意あるプログラムがインストールされるおそれがあったことが判明した。
パッケージ管理ツールのpipが参照しているリポジトリ「PyPI」に、悪意のあるパッケージが公開されていたことが原因のようです。
影響範囲は、Linux向けのナイトリービルドのみで、安定版については影響を受けないそうです。
パッケージ管理ツールは、python以外でも LinuxやMacなどのOS向けにも広く利用されており、依存関係を解決してくれて便利な反面このような脅威もあります。
個人では限界がありますが、おかしな情報がないか確認してからインストールするなどご利用の際には注意が必要ですね。
PyTorchから影響を受けているか確認するコマンドも公開されているので、不安な方は確認してみることをお勧めします。
2023/1/5
クレカ不正利用被害、2022年3Qは102.7億円 – 前四半期比3.5%減
https://www.security-next.com/142645
2022年第3四半期におけるクレジットカードの不正利用被害額は約102億7000万円だった。前四半期から減少するも3四半期連続で100億円を上回り、高い水準で推移している。
日本クレジット協会が22年7月~9月の利用状況を調査した結果を報告しています。全四半期からは減少しているとはいえ被害額は100億円を超えています。
普段、ECサイトの決済にクレジットカードを利用している方も多いかと思います。購入先のサイトがPCIDSSに準拠しているか確認してみるのもよいかと思います。
また、ネット、リアルにかかわらず、怪しいところからは購入しない。クレカ決済ではなく代引き、振り込み等ほかの決済方法を選択するなど、クレジットカード決済と上手に使い分けることをお勧めします。
日本クレジット協会 – クレジットカード不正利用被害の集計結果について
https://www.j-credit.or.jp/download/news20221228a1.pdf
JCDSC(日本カード情報セキュリティ協議会) – PCI DSSとは
https://www.jcdsc.org/pci_dss.php
2023/1/6
Linuxカーネルの「ksmbd」に複数脆弱性 – 8月の更新で修正済み
https://www.security-next.com/142677
Linuxカーネルで「SMBプロトコル」を取り扱う「ksmbd」に複数の脆弱性が明らかとなった。2022年8月にリリースされた「Linux 5.15.61」「同5.19.2」などで修正済みだという。
昨年末に、CVEの評価基準 Critial、Highを含む脆弱性に対するアドバイザリが公開され話題になりましたが、修正自体は8月に完了しているようです。
各ディストリビューションからのセキュリティパッチ等で対策済みの方もいるかと思いますが、未対応の方は早急に対応されることをお勧めします。
Zero Day initiative – Linux Kernel ksmbd Use-After-Free Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-22-1690/
cveの各脆弱性概要ページ
https://www.cve.org/CVERecord?id=CVE-2022-47938
https://www.cve.org/CVERecord?id=CVE-2022-47939
https://www.cve.org/CVERecord?id=CVE-2022-47940
https://www.cve.org/CVERecord?id=CVE-2022-47941
https://www.cve.org/CVERecord?id=CVE-2022-47942
まとめのまとめ
昨年は悪い意味でいろいろなことが起こった一年でしたね。
今年は明るい話題が増えることを切に願います。
担当:F
