セキュリティエンジニアが気になったニュースまとめ 2023/11/6~2023/11/12

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/11/09

OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題

https://jvn.jp/vu/JVNVU99711420/index.html

DH_generate_key()関数やDH_check_pub_key()関数を使用するアプリケーションにおいて、チェック対象のキーやパラメータが信頼できないソースから取得されたものである場合、サービス運用妨害(DoS)状態となる可能性があります

入力値の検証が行われていないため、過度に大きいパラメータが入力された場合に長い遅延が発生する可能性があることを指摘しています。
セキュアなコーディングをする上で、入力パラメータのチェックを行うことは非常に重要な要素の一つになります。

2023/11/07

Franklin Electric製T5シリーズにおける強度が不十分なパスワードハッシュの使用の脆弱性

https://jvn.jp/vu/JVNVU93518708/index.html

Franklin Electricが提供するT5シリーズには、強度が不十分なパスワードハッシュの使用の脆弱性が存在します。

強度が不十分なハッシュ関数を利用してパスワードを保存していた場合、攻撃者によって元のパスワードを当てられてしまう可能性があります。
現在、推奨されているハッシュ関数のリストは「CRYPTREC暗号リスト」で確認できます。
また、ハッシュ値の長さは256ビット以上が推奨されています。

CRYPTREC暗号リスト
https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf

2023/11/06

TwoFive、なりすましメール対策実態調査の最新結果を発表

https://www.twofive25.com/news/20231106_dmarc_report.html

日経225のDMARC導入率は68.0%で、1年間で12.9%増加
特に銀行のDMARC導入率は1年間で20.5%増加
94.4%のドメインでDMARCモニタリングを実施、状況把握への意識高まる

DMARCは、電子メールのセキュリティを向上させる技術で、送信元メールアドレスが詐称されていた場合の処理を定義するものです。
具体的には次の3つのポリシーがあります。
・Reject (拒否)
・Quarantine (隔離)
・None (無し)
導入初期ではレポートを送信するだけの”None”を使用して正当なメールが認証されているかの確認を行います。

ちなみに、送信元メールアドレスが詐称されていないか確認をするには、SPFとDKIMという2つの技術を使用しています。

2023/11/06

令和6年度 情報処理技術者試験・情報処理安全確保支援士試験の実施予定について

https://www.ipa.go.jp/shiken/2024/yotei.html

2024年度の情報処理技術者試験の日程が掲載されましたので、今日とりあげた3つのニュースに関連する過去問をそれぞれ1つずつ掲載します。

ITパスポート平成21年春期 問68

問 サーバに対するDoS攻撃のねらいはどれか。

ア. サーバ管理者の権限を奪取する。
イ. サービスを妨害する。
ウ. データを改ざんする。
エ. データを盗む。

基本情報技術者平成25年秋期 午前問38

問 ディジタル署名などに用いるハッシュ関数の特徴はどれか。

ア. 同じメッセージダイジェストを出力する異なる二つのメッセージは容易に求められる。
イ. メッセージが異なっていても,メッセージダイジェストは全て同じである。
ウ. メッセージダイジェストからメッセージを復元することは困難である。
エ. メッセージダイジェストの長さはメッセージの長さによって異なる。

情報処理安全確保支援士平成30年春期 午前Ⅱ 問12

問 スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

ア. 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,
受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
イ. 送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み
ウ. 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,
メール送信元のIPアドレスを検証する仕組み
エ. ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への
直接の通信を禁止する仕組み

※正答は各自お調べください。

まとめのまとめ

また一段と寒くなってきましたね。
私はまだ今シーズン暖房を使用していませんが、みなさんは部屋を暖かくして体調くずさないようお気を付けください。

担当 HT

タイトルとURLをコピーしました