研究者らは、HashiCorp VaultとCyberArk Conjurにおいて、認証の回避、ポリシーチェックの回避、アカウントのなりすましを可能にする微妙な論理的な欠陥を発見しました。システムやデータへのアクセスを管理する資格情報を保管するこれらのシステムは、デジタルインフラストラクチャのバックボーンです。侵害されると、インフラストラクチャ全体が失われます。責任ある開示と修正が行われましたが、堅牢な秘密管理とアクセス制御の重要性が浮き彫りになりました。
続きを読む
セキュリティ調査会社Xbowは、過去90日間にHackerOneに約1060件の脆弱性を報告しました。これには、リモートコード実行や情報漏洩などの重大な脆弱性が含まれています。また、Palo Alto NetworksのGlobalProtect VPNにおける、これまで知られていなかった脆弱性も発見し報告しました。これは2000台以上のホストに影響を与えています。多くの脆弱性が対応済み(130件解決済、303件分類済)ですが、約45%は未修正のまま残っており、報告された脆弱性の膨大な数と影響の大きさを浮き彫りにしています。
続きを読む
マイクロソフトは、デジタル事業のレジリエンスに関する法律(DORA)、NIS2指令、サイバーレジリエンス法(CRA)など、EUのますます厳しくなるサイバーセキュリティ規制への準拠を確保するため、欧州担当の副最高情報セキュリティ責任者(CISO)を任命しました。この役割は、マイクロソフトの欧州におけるコンプライアンスとグローバルなサイバーセキュリティ戦略にとって非常に重要であり、同社が欧州のデータセキュリティとサイバーレジリエンスに重点を置いていることを示しています。マイクロソフトは詳細を明らかにしていませんが、この動きは、同社が変化するグローバルなサイバーセキュリティ環境に積極的に対応していることを示しています。
続きを読む
CISOは、特にGoogleアナリティクスを使用する際に、第三者とのデータ共有に伴うリスクを慎重に評価する必要があります。この記事は、GoogleアナリティクスがURLに埋め込まれた個人情報(名前、メールアドレス、生年月日など)やフォームフィールドの値など、機密データを意図せず収集する可能性があることを強調しています。これを防ぐには、CISOはGoogleアナリティクスの設定時に、機密データを含む可能性のあるすべてのクエリパラメータ、フォーム入力、動的なページ要素をフィルタリングする必要があります。そうでなければ、これらのデータはGoogleアナリティクスによって追跡および収集され、重大なセキュリティリスクとなる可能性があります。
続きを読む
アメリカ国土安全保障省(DHS)がMITREとの25年間の契約を終了したことで、CVE脆弱性番号システムは崩壊寸前に陥っています。これにより、国家脆弱性データベース(NVD)には3万件以上の未処理の脆弱性が蓄積され、さらに8万件以上の脆弱性が「延期」(完全に分析されないことを意味する)されています。この措置は、世界の脆弱性管理に深刻な影響を与え、CVE/NVDの情報に依存する組織に大きな課題をもたらします。中国やロシアなどの国家脆弱性データベースも影響を受けます。契約終了の理由は不明ですが、トランプ政権の政府支出削減政策と関連している可能性があります。
続きを読む