セキュリティエンジニアが気になったニュースまとめ 2023/4/24~5/7

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/4/28

リポジトリ セキュリティ アドバイザリについて – GitHub

https://github.blog/2023-04-19-private-vulnerability-reporting-now-generally-available/

パブリック リポジトリの所有者と管理者は、プライベート脆弱性レポートを有効にすることで、セキュリティ リサーチャーがリポジトリ内の脆弱性を安全に報告できるようにすることができます。

従来のGitHubの脆弱性報告フローでは、誰でもオープンソースプロジェクトのリポジトリに脆弱性情報を報告することができましたが、報告者や報告内容が公開されることがあり、情報の機密性が損なわれる可能性がありました。これを避けてメール報告してもメンテナーが見ないこともあるでしょう。
今回の機能は、GitHub上でメンテナーに脆弱性を報告し、それ以外の人には開示されないように設計されています。このため、報告内容の機密性が確保され、より多くの脆弱性情報が報告しやすくなったといえるでしょう。
修正リリースまでチャットがプライベートなのでゼロデイ攻撃のリスクを軽減することも期待できます。
リポジトリ管理者ならだれでも設定可能なのでオープンソースプロジェクトでは基本有効にするとよいでしょう。

2023/4/28

名古屋大学への不正アクセスによる個人情報の漏えいについて

https://www.nagoya-u.ac.jp/info/20230428_news01.html

当該部局によって運用管理されている本学の教職員のメールアカウントが第三者により不正にアクセスされ、個人情報が含まれる電子メールが閲覧された可能性がある事案が2件確認されました。

メールアカウントの不正アクセスがありました。メールサーバーに残された関係者の個人情報の漏洩とスパムメールの大量送信が起こったようです。
メールは個人情報をやり取りする機会が多く、不正アクセスされた際にはログインされたユーザー以外の多くの関係者に被害が及びます。強固なパスワード設定や二段階認証といった対策をしましょう。
また今回は検知時に即時ロックをしていますが、不正アクセス検知が遅れるとスパムメールによるサーバーのダウンも考えられます。検知を早期にできるようにシステムを構成し、対応策を準備しておくことで被害を少なくすることができます。

2023/4/25

New ways to manage your data in ChatGPT- OpenAI

https://openai.com/blog/new-ways-to-manage-your-data-in-chatgpt

We’ve introduced the ability to turn off chat history in ChatGPT. Conversations that are started when chat history is disabled won’t be used to train and improve our models, and won’t appear in the history sidebar.

ChatGPTにチャット履歴の無効機能が追加されました。
「settings」の「Data controls」から「Chat History & Traning」をオフにすることで機能が使えます。
この機能ではチャット内容が学習データに使われず、スレッドが30日後に削除されるようになります。
送信内容がWebサービスで利用されることを防げますが、通信内容は外部のインターネットに送信されているということを忘れないようにしましょう。
また、顧客情報を扱う業務のAI支援として”ChatGPT Business”のサブスクリプションも開発段階にあるようで、数か月後に公開される予定です。

 

2023/5/2

Apple をかたるフィッシング – フィッシング対策協議会

https://www.antiphishing.jp/news/alert/apple_20230502.html

Apple をかたり、フィッシングサイトへ誘導するショートメッセージ (SMS) の報告を受けています。

メールやSMSメッセージ内でのリンクは受信するように操作した覚えがないものについてはクリックしないようにしましょう。また、クリックする必要がある際には一度URLを見る習慣をつけましょう。フィッシングサイトの場合、見慣れないドメインであることが多いです。
フィッシングメッセージを受け取った際はフィッシング対策協議会のフォームで報告できます。

 

まとめのまとめ

新しい便利なプロダクトが出るたびに、それらを利用するためにはセキュリティに関する知識や対策が必要になります。セキュリティに対するリテラシーは常に必要であり、最新の脅威に対する対策を実践することが不可欠です。プライバシー保護や不正アクセスからの防御などは特に気を付けていきましょう。

 

担当:HO

タイトルとURLをコピーしました