ネットワークや TLS/SSL セキュリティに関する最新ニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。

TLS/SSL

• Microsoft 365 と Azure Communication Services で現在使用されているルート証明書は、2025 年 5 月に有効期限が切れます。Microsoft から、デジサートの新しいルート証明書への移行に備えるためのガイダンスとドキュメントが公開されています。
• ロシアは、制裁を回避するために独自の認証局（CA）を作成しました。デジサートを含む他の CA は、.ru の既存の TLS 証明書を更新していません。有効期限の切れた証明書を使っているサイトはブラウザーでブロックされるため、ロシア独自の CA はこの制裁を回避するための手段です。
• Microsoft Azure が TLS 1.2 にアップグレードされた関係で、一部の DevOps ユーザーに問題が発生しました。そのため Microsoft は、この問題を解決するために、TLS 1.0/1.1 のサービスを一時的に再開しています。

デジタルアイデンティティ

• QWAC 証明書（Qualified Web Authentication Certificate）TLS の認証済みアイデンティティ情報の表示に関して、インターネットブラウザーや他のコミュニティグループと EU 議員との間で議論が続いています。
• EU は、EU の eID および電子取引法に関する eIDAS-2 改訂の一環として提案されている欧州デジタル ID ウォレットのアーキテクチャおよび参照フレームワークについて概要を発表し、同プログラムのもとでデジタル ID パイロットおよびインフラの提案募集を開始しました。

脆弱性

• Google は、今月はじめに Chrome が攻撃を受けたことを受けて、30 億以上の Chrome ユーザーを対象に緊急セキュリティアップデートを発行しました。この攻撃では、ゼロデイ脆弱性が狙われました。攻撃者の身元は北朝鮮で、ニュースメディア、IT、暗号通貨、金融サービスといった業界の米国人労働者を狙ったと見られています。
• ジョー・バイデン大統領は民間企業に対して、ロシアからのサイバー攻撃が予想されるため、それから身を守るよう、ホワイトハウス発の声明で警告しました。バイデン大統領は、こう述べています。「民間企業のパートナーに、ただちにサイバー防御を強化するよう求めます。（中略）この時代の決定的な脅威に対応するための措置としてです」Colonial Pipeline の事件は記憶に新しいところですが、これは米国外であっても、あらゆる企業にとって重要な注意喚起となるものでした。
• OpenSSL は、不正な証明書によって引き起こされるバグに対するパッチを適用しました。システムがサービス拒否攻撃に対して脆弱な状態に陥るバグでした。

データ侵害

• Okta は 2022 年1 月からのデータ侵害を発表しました。同社によると、2.5% 前後の顧客が影響を受けた可能性があるということです。
• Facebook は、2018 年の GDPR 違反に関して 1800 万ドル（1700 万ユーロ）を超える罰金を課されました。アイルランドのデータ保護委員会が、複数のデータ侵害を発見しました。Facebook の親会社である Meta が、EU ユーザーのデータを保護するためのセキュリティ対策を実施していなかったことが原因です。
• 3 月中旬に FTC は、e コマースプラットフォーム CafePress に対して措置を講じました。CafePress がネットワーク上の情報を保護するセキュリティ対策を実施せず、大規模な侵害を隠蔽したことが理由です。CafePress は、社会保障番号を平文で保管しており、またパスワードやパスワードリセット用の質問の答えの暗号化にも不備があったため、FTC のディレクターは「セキュリティ業務として不注意」と指摘しています。CaféPress は、中小企業の経営者に対して補償として 50 万ドルを支払う予定です。
• アラバマ州とコロラド州の企業に影響を与えたデータ侵害で、50 万人以上の患者の個人データが流出しました。漏洩のあった医療企業によると、医療データは影響を受けていないものの、氏名、生年月日、社会保障番号、運転免許証番号などが漏洩した可能性があるとのことです。
• ニューヨーク市の学生データが大量に流出し、在学中の学生および卒業生 82 万人が影響を受けました。K-12 の学生が対象で、ニューヨーク市の学区では保護者に対して、パスワードを変更し、詐欺電話やクレジットカードの不正利用に注意するよう呼びかけています。
• Shutterfly は、2021 年 12 月に起こった情報漏洩を公表しました。Conti ランサムウェアの攻撃を受け、従業員情報を含むネットワークデータを盗み出されたということです。

量子コンピューティング

• Microsoft は、量子コンピューティングにおける重要なブレークスルーを発表しました。独自の量子ビットであるトポロジカル量子ビットを維持することに成功したということです。これは、量子コンピューティングの規模を拡大し、現在のコンピュータでは解決できない大規模な問題を解決するうえで大きな一歩といえます。
• マックスプランク量子光学研究所の科学者は、電子機器が理論的に動作可能な最速の「速度制限」を発見しました。

マルウェア

• 研究者が、ウクライナで新しいマルウェア CaddyWiper を発見しました。CaddyWiper は、ユーザーデータを消去したり、感染したデバイスのドライブから情報を盗み出したりする機能を備えています。
• マルウェアの署名には、Nvidia から盗まれたコードサイニング証明書が使用されました。Nvidia はランサムウェアの被害に遭い、2 つのコードサイニング証明書と最大 1TB のデータを含むデータが流出していたのです。どちらの証明書も有効期限が切れていますが、Windows はドライバ用の有効期限の切れた証明書を受け入れてしまいます。
• 管理者は WDAC（Windows Defender アプリケーション制御ポリシー）を設定することで、Windows でロード可能なドライバを制御できます。

モノのインターネット

• 米国 CISA （サイバーセキュリティインフラセキュリティ庁）は、無停電電源装置（UPS）に対する新たな脅威を警告しました。ルーター、スマート照明システム、家電製品などが該当します。デフォルトのユーザー名とパスワードは、攻撃者がアクセスする最も一般的な手口に利用されるため、変更するよう CISA は助言しています。
• SQL インジェクション、競合状態、リモートコード実行に関する 2 件の緊急の脆弱性などについて、Microsoft は、Microsoft Azure Defender for IoT の複数のバグにパッチを適用しました。現在はパッチが適用されていますが、この不具合への対処には 6 か月かかりました。