DevOps 2021:サプライチェーンを Ephemerality 概念の導入で守る

All Day DevOps 2021: Securing the software supply chain with ephemerality and the least-privilege principle

2021/10/29 DailySwig — 1974年にコンピュータ科学者の Jerry Saltzer は、「すべてのプログラムとシステムにおける、すべての特権ユーザーは、必要な最小限の特権を用いて、仕事を完了すべきである」と述べた。半世紀近く経った今でも、ソフトウェア開発において最小特権の原則は最重要事項であると、VMware の CTO for Modern Application Platform である James Watters は、今年の All Day DevOps の参加者に向けて語った。

Continue reading “DevOps 2021:サプライチェーンを Ephemerality 概念の導入で守る”

Apple macOS の SIP 回避脆弱性を Microsoft が発見し Shrootless と命名

Shrootless: macOS Vulnerability Found by Microsoft Allows Rootkit Installation

2021/10/29 SecurityWeek — 木曜日に Microsoft は、Apple macOSに存在する脆弱性の情報を公開した。この脆弱性により、攻撃者は System Integrity Protection (SIP) を回避し、OS のファイルを変更することが可能になる。この脆弱性は、CVE-2021-30892 として追跡され、Microsoft により Shrootless と名付けられた。

Continue reading “Apple macOS の SIP 回避脆弱性を Microsoft が発見し Shrootless と命名”

Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加

Hive ransomware now encrypts Linux and FreeBSD systems

2021/10/29 BleepingComputer — ランサムウェア Hive は、Linux や FreeBSD をターゲットに開発された新種のマルウェアを用いて、これらのプラットフォームも暗号化してしまう。しかし、スロバキアのインターネット・セキュリティ企業 ESET が発見したように、Hive の新しい暗号化ツールは開発中であり、機能が不足している。

Continue reading “Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加”

CISA の新たな役割:重要インフラのマッピングと攻撃に対する防御

CISA starts identifying targets most necessary to protect from hacking

2021/10/29 CyberScoop — 金曜日に、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は、ハッキングが生じた場合に、国家安全保障と経済的利益に深刻な影響を及ぼす可能性のある、米国の重要インフラをマッピングする作業を開始したと発表した。

Continue reading “CISA の新たな役割:重要インフラのマッピングと攻撃に対する防御”

Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑

Trickbot arrest: Russian national extradited to US for alleged role in developing notorious banking trojan

2021/10/29 DailySwig — Trickbot グループのメンバーとして疑われているロシア人が、韓国から米国に送還され、連邦裁判所に初出廷した。Vladimir Dunaev (38歳) は、Trickbot グループのマルウェア開発者として、マルウェアの実行管理、および、ブラウザ改竄プログラムの開発、マルウェアの難読化といった、技術支援を行っていたとされる。

Continue reading “Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑”

中国政府の規制強化によりデータ輸出のハードルが引き上げられていく

China drafts tough rules to stop data from leaving its borders as Beijing tightens grip on information

2021/10/29 SCMP — 金曜日に、中国のインターネット監視機関である Cyberspace Administration of China (CAC) が発表した新しい規則案には、中国国内のデータの管理を強化するために、国内のデータを海外に転送しようとする企業への、追加要件が記載されている。この規制案は、11月28日に終了する Public Feedback 以降に決定される予定であり、中国企業の海外上場や、国内で活動する多国籍企業の日常業務にも、大きな影響を与えることになる。

Continue reading “中国政府の規制強化によりデータ輸出のハードルが引き上げられていく”

Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト

Chrome 95 Update Patches Exploited Zero-Days, Flaws Disclosed at Tianfu Cup

2021/10/29 SecurityWeek — 木曜日に Google がリリースした Chrome 95 アップデートは、2つの積極的に悪用されているゼロデイ脆弱性と、先日に中国のハッキング・コンテストで公開された欠陥を修正するものだ。積極的に悪用されている脆弱性は、CVE-2021-38000 として追跡されており、Intents への信頼できない入力に対する不十分な検証の問題とされている。また、CVE-2021-38003 は、V8 JavaScript エンジンに影響をおよぼす不適切な実装の問題である。CVE-2021-38000 は9月に発見され、CVE-2021-38003は僅か3日前に確認されたものである。

Continue reading “Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト”