全2481文字
PR
今月の1本!

9/18 脆弱性を2回に分けて修正 他製品との互換性を考慮

[画像のクリックで拡大表示]

 米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は政府機関で使用するWindows Serverに対して、2020年9月21日(米国時間)までに脆弱性「CVE-2020-1472」を修正するプログラムを適用するよう緊急指令を出した。修正プログラムは米マイクロソフトが8月11日(米国時間)に公開し、優先度を「緊急」と評価していた。

 CVE-2020-1472はユーザーやサービスを認証するNetlogonサービスの脆弱性。悪用すると、認証なしでドメイン管理者のアクセス権を取得できる。つまり特権昇格が可能になる。セキュリティー研究者などは今回の脆弱性を「Zerologon」と呼ぶ。

 マイクロソフトはこの脆弱性を2回に分けて修正することを明らかにしている。一度に修正するとNetlogonを使用する別のソフトウエアとの互換性に影響が出る可能性があるからだという。8月に公開した修正プログラムでは特権昇格を防ぐために、安全な通信手順を既定にする。2021年2月に公開を予定している2番目の修正プログラムは、安全な通信手順を強制するという。

https://cyber.dhs.gov/ed/20-04/

9/3 個人情報を含む書類を誤って公開 Excelの非表示機能で気づかず

 同志社大学は2020年度の教員公募で公開した応募書類の中に、過去に応募した人の個人情報が含まれていたとして謝罪した。検索サイトで該当書類を検索すると、検索結果の説明文に個人情報の一部が表示されたために今回の事故が明らかになった。同大学は外部からの指摘で気づいた。

 応募書類はExcelで作成したファイル。その中に過去実施された同大学文化情報学部の教員公募に参加した35人分の氏名、住所、本籍地、電話番号、学歴などの個人情報が含まれていた。

 個人情報を含んだまま公開してしまった理由は、個人情報を含むシートを非表示設定にしていたため。非表示シートの内容は設定を切り替えれば表示できる。検索サイトは非表示シートの内容も検索結果に表示するようになっていた。

 同大学では、公開したファイルに個人情報が含まれているという認識がなかったことなどが原因としている。今後の対策として機密情報を含むファイルにはファイル名に「【秘】」と入れ、パスワードをかけるとしている。またインターネットに公開する書類は機密情報を含むファイルを基に作成しないとした。

https://www.doshisha.ac.jp/news/2020/0903/news-detail-7815.html