2024年4月から始めようと思っていた、Security News。月に2回(1日頃と15日頃)に記事を公開したいなと思っています。わたし自身もSecHack365修了生なので、多少は専門的な視点も含むことができるかと思います。
XZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094), 修正済
年度初めから、。CVSSも10.0。そしてなにより、OSSプロジェクトを介したこのような侵害行為は「オープンソース」というもの自体の存在までも揺らがせた大事件だと思っています。今回は少ない影響で済みましたが「もしも」を考えることの大切さを教えられた事件です。
私もこれについてはしっかり書きたいですので、少し私なりに書きました。まあ、できるだけわかりやすく説明していきましょう。
XZ Utilsとは?
簡単に言うのであれば、**Linuxのデータ圧縮ソフトウェアです。**gzipやbzip2に比較すると、高圧縮率で圧縮コストはかかりますが、伸張はbzip2より速いという特徴があり、bzip2の置き換えとして普及しました。
なにが起きた?
簡単に言うのであれば、XZ Utilsの開発者が巧妙にバックドアを仕掛け、リモートからroot権限で任意のコマンドを入力することができます。ですが、実行には秘密鍵が必要になるようです。
もっと詳しく知りたい方は、ご自分で調べてみてくださいね。
NECがサイバーセキュリティ事業を再編
簡単に言うのであれば、政府機関や重要インフラで実績を積んできたので、今回の事業再編によってサイバーセキュリティ事業の拡大を加速させるということです。
正直、気になるのであればプレスリリースを読んだほうが早いかなと思うので、載せておきます。
Linux Kernel における解放済みメモリの使用に関する脆弱性(CVE-2024-1086)
まあ、正直よくある感じです(笑) IT Mediaさんがわかりやすくまとめてくださっていますね。正直そちらを読んでいただくほうが早いかなと思います。 https://www.itmedia.co.jp/enterprise/articles/2404/03/news046.html
もっと詳しく知りたい方は、ご自分で調べてみてくださいね。
お茶の水女子大学研究室サーバへの不正アクセスについて
お茶の水女子大学で運用していた計算用サーバーが不正アクセスにより攻撃の踏み台とされていた事件です。これは正直、大学自体の方に問題がありますね。
簡単に説明するのであれば、計算用サーバーを構築する時に作られた「test」というユーザーがあり、そこに安易なパスワードが設定されていたので不正アクセスを受けてしまったという話です。また、学外に対してもセキュリティ対策なしにリモート(SSH)接続ができたことが原因です。現在は当該サーバーはネットワークから遮断されています。
今回は計算用サーバーだったので大きな問題には至りませんでしたが、「リモート接続にもっと用心深くなりなさい」的な意味合いでここに載せています。
DuckDuckGo VPN、個人情報削除、個人情報盗難回復支援サービスが含まれるサブスクリプションを開始(米国のみ)
あんまり日本ではニュースになりませんでしたね。
元々DuckDuckGoは、プライバシー保護やオンライントラッカーの防止などに力を入れて来ました。そして、今回登場したのがPrivacy ProというVPNサービス。DuckDuckGoでは初めてのプレミアム製品です。最大5台のデバイスをカバーすることができます。
機能的には概ねは一般的なVPNと同じでしょう。ですが、VPNコンポネートがDuckDuckGoブラウザに直接インストールされるため、スタンドアロンアプリは必要ありません。
欠点もあるけど、、
まず、暗号通貨で支払うオプションがありません。まあ、これはあまり気にすることでもないかもしれませんけどね(笑)
最も致命的だと感じるのは、サーバーが少ないことです。米国, カナダ, ヨーロッパ(パリ?)しかありません。アジア圏などにもサーバーを置いてほしいところです。
また、新しいVPNなのでそれに対するリスクもないことはありません。ですが、個人的には将来が楽しみです!
その他記事のリンク
「書くほどではないけど読んでみるとためになるかも?」を集めました。 気になる記事があれば読んでみてください!海外記事もありますけどね 笑
読んでくださりありがとうございました!!! これからもよろしくお願いいたします!!!
