Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
BLOGTIMES
«Prev || 1 · 2 · 3 · 4 · 5 ·... | | Next»
2024/03/05

GitHub が全ての公開リポジトリへのシークレットスキャンを有効に

github  informationleakage 

GitHub が全ての公開リポジトリへのシークレットスキャン*1をデフォルトで有効化するようなのでメモ。

これによりコミットにシークレットが含まれているとリポジトリへの push に失敗するようになり、シークレットを削除するか、ブロックを解除して push するかが選択できるようになります。現在でも自分で有効化はできるようなので、デフォルトの有効化を待たずに自分で設定することもできます。これらの措置は公開リポジトリのみで、プライベートなリポジトリに同様な設定をしたい場合には GitHub Enterprise を導入する必要があるようです。

Keeping secrets out of public repositories - The GitHub Blog

This week, we began the rollout of push protection for all users. This means that when a supported secret is detected in any push to a public repository, you will have the option to remove the secret from your commits or, if you deem the secret safe, bypass the block.

  • *1: Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

at 12:48 |
2024/03/05

国分生協病院のランサムウェア被害は認証がない RDP が原因?

intrusion  malware 

国分生協病院のランサムウェア被害の報告にちょっと衝撃的なことが書いてあったのでメモ。
認証無しのリモートデスクトップってあまり聞いたことがないですが、普通に設定可能だったんでしたっけ?

「画像管理サーバー」の障害発生について – 国分生協病院

画像管理サーバーを外部から保守するためのインターネット経由でシステム業者と接続できる回線がありますが、この接点となる病院内設置のネットワーク機器で、外部から認証なしで病院内のコンピュータにリモートデスクトップ接続が可能という設定が存在しました。また、画像管理サーバーにはウイルス対策ソフトが設定されていなかったため、暗号化ウイルスの稼働を許し、被害に至りました。


    at 12:10 |
    2024/02/15

    個人情報保護委員会が進撃の巨人とコラボ

    ppc  informationleakage 

    今年もサイバーセキュリティ月間がスタートしています。昨年からはアニメコラボがなくなってしまって随分と地味になってしまった印象がありましたが、サイバーセキュリティ月間と関係しているかどうかは分かりませんが、個人情報保護委員会のSTOP!名簿流出が進撃の巨人とコラボしているのを見つけてしまいました。

    流出などと婉曲的な表現を使わずに漏洩と正しい日本語を使って欲しいところです。


      at 18:49 |
      2024/02/14

      Windows Update の日 ( 2024 年 2 月 )

      windowsupdate  jpcertcc 

      今日は朝からやたらネットが重いと思ったら、 Windows Update の日でした。
      毎回毎回面倒ですが、忘れずにパッチ適用するようにしましょう。


        at 09:21 |
        2024/02/11

        中国企業が対日工作として偽サイトを作成している

        china  counterintelligence 

        中国企業が対日工作として偽サイトを作成していることがニュースになっていたのでメモ。
        カナダの研究機関というのはトロント大の Citizen Lab で、オリジナルの記事は以下のものですね。

        ちなみにオリジナルの記事で名指しされているのは以下の 15 サイトです。

        dy-press[.]com (DYP東海通信社) fujiyamatimes[.]com (富士山時刻) fukuitoday[.]com (今日の福井) fukuoka-ken[.]com (福岡エクスプレス) ginzadaily[.]com(北海道トラベルネット) kanagawa-ken[.]co (銀座デイリー, 銀座新聞) hokkaidotr[.]com m (神奈川新聞) meiji-mura[.]com (明治発展日報) nihondaily[.]com (霓虹にほん) nikkonews[.]com (日光新聞) saitama-ken[.]com (埼玉ネット) sendaishimbun[.]com (仙台ニュース) tokushima-ken[.]com (徳島オンライン) tokyobuilder[.]com (东京ビルダーズ) yamatocore[.]com (邪马台内陆部)

        どれも不自然なほど内容が似通っていますし、ニュースサイトにしては提供している会社も明確になっていません。なによりこれらのサイトは今どき不自然な HTTPS に対応していないサイトです。サーバの IP アドレスは日本国内のもののようですが割当先は Aceville Pte Ltd. という Tencent の子会社になっており、逆引きも設定されていませんでした。

        中国企業、日本など30カ国で偽サイト カナダ研究機関が報告:時事ドットコム

        報告書をまとめたトロント大学に本拠を置く研究機関「シチズンラボ」によると、欧州やアジア、中南米などで少なくとも123の偽ニュースサイトが見つかった。日本を標的にしたものとしては、「フジヤマタイムズ(富士山時刻)」「ギンザデーリー(銀座新聞)」など15のサイトが確認された。


          at 21:58 |
          2024/02/05

          外務省の公電システムに中国のハッカーが侵入?

          counterintelligence  china  unitedstates  mofa 

          外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 : 読売新聞

          米政府は安倍政権当時の20年夏、「日本の在外公館のネットワークが中国に見られている」と日本側に伝えた。漏えいした情報の具体的な中身や、攻撃をどのように把握したのかは明らかにしなかったが、北京の日本大使館と外務省本省間などで交わされた公電が中国当局に幅広く読み取られていることを示唆した。

          日本の外務省と在外公館を結ぶネットワークが中国に筒抜けになっていることがニュースになっていました。これだけでもなかなかに失態ですが、さらにこの件の根が深いのは「そのことを米国に指摘された」ということ。

          公然の秘密なのかもしれませんが、アメリカのスパイ活動が国内に及んでいるということですよね。


            at 12:50 |
            2024/01/31

            攻殻機動隊の公式 X の乗っ取りは演出じゃなかった

            twitter  anime  intrusion 

            先日、攻殻機動隊の公式 X の乗っ取られていた件は、公式から声明が出ていて、結論としては「演出じゃなかった」ことが確定しました。

            内容(笑い男事件)を知っている人ほど演出のように思っていた人も多かったと思うんですよね。

            「攻殻機動隊」公式X乗っ取りから回復 「笑い男事件」ではなかった - ITmedia NEWS

            2002年~03年に放送されたテレビアニメ「攻殻機動隊 STAND ALONE COMPLEX」では、2024年2月にサイバーテロ「笑い男事件」が発生している。タイミングが一致することもあり、今回の乗っ取り騒動は「笑い男事件に絡めたプロモーションではないか」と疑うファンもいた。


              at 22:53 |
              2024/01/30

              犯罪行為を補助する生成 AI が問題に

              malware  ai 

              マルウェアなどを作成させることができる生成 AI がネットに公開されていることがニュースになっていました。

              これまで専門知識が必要なソフトウェア等の作成はエンジニアにしかできなかったわけですが、一般的なソフトウェアだけでなくこういう犯罪に関するソフトウェアもどんどんコモディティ化していってしまうことにちょっと危機感を覚えます。冷静に考えれば犯罪用のソフトウェアもプログラムには変わりないですからね。

              犯罪に利用できる生成AI、ネットに複数公開…ランサムウェア・爆発物の作り方など回答 : 読売新聞

              コンピューターウイルスや詐欺メール、爆発物の作成など犯罪に悪用できる情報を無制限に回答する生成AI(人工知能)がインターネット上に複数公開されている。既存の生成AIに、不正行為に関わる情報を学習させたものとみられる。誰でも指示をすればこうした情報を入手できるため、悪用される懸念が高まっている。


                at 23:41 |
                2024/01/26

                能動的サイバー防御についての法案は提出見送りに

                counterintelligence  nisc 

                通常国会が招集されましたが、今国会では能動的サイバー防御関連の法案は提出見送りになったようです。

                国家安全保障戦略で「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除する」と明記されていました。
                憲法で定められている通信の秘密の問題をどうするかというはありますが、NISC の改組とかどうするんでしょうかね。

                サイバー攻撃対処、法案提出見送り 「通信の秘密保護」懸念ぬぐえず [岸田政権]:朝日新聞デジタル

                海外でサーバーに侵入し攻撃することなどで、国や重要インフラへのサイバー攻撃を防ぐ「能動的サイバー防御」導入で、政府は当初検討していた通常国会への関連法案提出を見送る。「通信の秘密」を保障する憲法21条との兼ね合いなど、法解釈をめぐる調整が難航。


                  at 22:42 |
                  2024/01/17

                  セキュリティ・クリアランス法制の罰則は特定秘密保護法と同等に

                  counterintelligence 

                  政府の経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議*1が最終とりまとめを出していたのでメモ。

                  セキュリティクリアランスは安全保障に関連する機密情報にアクセスする人に対して、あらかじめ調査(いわゆる身体検査)を行って扱う権限があるかどうかを判断する制度です。
                  今回法制化される内容は、国の安全保障に著しい支障を与える可能性がある特定秘密を守るための特定秘密保護法*2に準じたものになるみたいです。

                  情報漏洩の罰則は最大懲役10年 「セキュリティ・クリアランス」法案化に向け最終取りまとめ案 | TBS NEWS DIG (1ページ)

                  政府は、26日に召集される通常国会にこの制度を創設する法案を提出する予定で、きょうの有識者会議では、▼情報漏洩に対する罰則は、特定秘密保護法と同様10年以下の懲役とすることが適当とし、▼資格を得た人でも、退職したあともその罰則が適用されることなどを盛り込んだ法案化に向けた取りまとめ案が作成されました。


                  at 23:55 |
                  «Prev || 1 · 2 · 3 · 4 · 5 ·... | | Next»