Tech Insights
【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...
Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。
【CVE-2024-11159】ThunderbirdのOpenPGP暗号化機能に重大な脆弱性...
Mozilla CorporationはThunderbirdのOpenPGP暗号化機能に重大な脆弱性【CVE-2024-11159】を発見したと発表した。この脆弱性は暗号化メッセージ内でリモートコンテンツを使用した際に平文が漏洩する可能性があり、Thunderbird 128.4.3未満および132.0.1未満のバージョンが影響を受ける。セキュリティアドバイザリMFSA2024-61およびMFSA2024-62を通じて詳細な情報が提供されている。
【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...
TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。
【CVE-2024-11308】TRCore DVCにハードコード化された暗号化キーの脆弱性が...
TRCoreのDVCにおいて、ファイルの暗号化にハードコード化されたキーが使用されていることが判明した。CVE-2024-11308として識別されたこの脆弱性は、DVC 6.0から6.3に影響を与え、CVSSスコア6.2と評価された。攻撃者は特権なしでローカルアクセスを利用し、暗号化されたファイルを復号できる可能性があり、早急な対応が求められている。
MicrosoftがAzure Integrated HSMを発表、2025年から全Azure...
Microsoftは独自のハードウェアセキュリティモジュール「Azure Integrated HSM」を発表した。FIPS 140-3 Level 3セキュリティ要件に準拠し、サーバーローカルでの暗号化処理を実現する本製品を2025年から新規デプロイされるすべてのAzureサーバーに搭載することで、機密性の高いワークロードの保護を強化する方針だ。
MicrosoftがAzure Integrated HSMを発表、2025年から全Azure...
Microsoftは独自のハードウェアセキュリティモジュール「Azure Integrated HSM」を発表した。FIPS 140-3 Level 3セキュリティ要件に準拠し、サーバーローカルでの暗号化処理を実現する本製品を2025年から新規デプロイされるすべてのAzureサーバーに搭載することで、機密性の高いワークロードの保護を強化する方針だ。
DeFimansとextra mileが戦略的パートナーシップを締結、Web3領域でのIP活用...
Web3プロフェッショナルファームDeFimansは、extra mile株式会社と戦略的パートナーシップを締結し、分散型IPプラットフォーム「Xross Road」の展開を推進する。DeFimansはトークノミクス設計や資金調達支援を担当し、キャラクターや小説から始まり、将来的にはゲームやアニメまで、日本のIPをWeb3領域で活用できるプラットフォームの構築を目指す。
DeFimansとextra mileが戦略的パートナーシップを締結、Web3領域でのIP活用...
Web3プロフェッショナルファームDeFimansは、extra mile株式会社と戦略的パートナーシップを締結し、分散型IPプラットフォーム「Xross Road」の展開を推進する。DeFimansはトークノミクス設計や資金調達支援を担当し、キャラクターや小説から始まり、将来的にはゲームやアニメまで、日本のIPをWeb3領域で活用できるプラットフォームの構築を目指す。
JPYCがカーボンクレジットのブロックチェーン取引実証実験に参加、KlimaDAO JAPAN...
JPYC株式会社がKlimaDAO JAPAN MARKETのベータ版実証実験に参加し、ブロックチェーン上でのカーボンクレジット取引の実現を目指す。2024年11月から2025年2月末まで実施される本実験では、Jクレジットのトークン化やJPYCによる決済システムの検証が行われ、カーボンクレジット市場の透明性と効率性の向上が期待される。
JPYCがカーボンクレジットのブロックチェーン取引実証実験に参加、KlimaDAO JAPAN...
JPYC株式会社がKlimaDAO JAPAN MARKETのベータ版実証実験に参加し、ブロックチェーン上でのカーボンクレジット取引の実現を目指す。2024年11月から2025年2月末まで実施される本実験では、Jクレジットのトークン化やJPYCによる決済システムの検証が行われ、カーボンクレジット市場の透明性と効率性の向上が期待される。
サイバートラストがエッジAI向けEMLinuxオプションを提供開始、QuadricのGPNPU...
サイバートラストは2025年1月より、QuadricのエッジAI用プロセッサChimera GPNPUに対応した組込みLinuxのオプション「EMLinux for Edge AI」の提供を開始する。10年の長期サポートや脆弱性パッチの定期提供に加え、AIモデルの署名検証ツールなどセキュリティ機能も充実。自動運転や重要インフラなど、エッジAIの安全な実装を支援する。
サイバートラストがエッジAI向けEMLinuxオプションを提供開始、QuadricのGPNPU...
サイバートラストは2025年1月より、QuadricのエッジAI用プロセッサChimera GPNPUに対応した組込みLinuxのオプション「EMLinux for Edge AI」の提供を開始する。10年の長期サポートや脆弱性パッチの定期提供に加え、AIモデルの署名検証ツールなどセキュリティ機能も充実。自動運転や重要インフラなど、エッジAIの安全な実装を支援する。
デル・テクノロジーズがDell AI Factoryを拡張、Microsoft環境でのAIイノ...
デル・テクノロジーズはマルチクラウド環境でのAIワークロード強化を目的に、Dell AI Factoryの拡張を発表した。Dell APEX File Storage for Microsoft Azureの新機能により、AIワークロードのパフォーマンスが向上。さらにDell APEX Protection Servicesを通じて、AIベースのデータ保護とサイバーレジリエンス機能を提供する。Microsoft CopilotやAzure AI Studioとの連携により、カスタムAIソリューションの開発も支援。
デル・テクノロジーズがDell AI Factoryを拡張、Microsoft環境でのAIイノ...
デル・テクノロジーズはマルチクラウド環境でのAIワークロード強化を目的に、Dell AI Factoryの拡張を発表した。Dell APEX File Storage for Microsoft Azureの新機能により、AIワークロードのパフォーマンスが向上。さらにDell APEX Protection Servicesを通じて、AIベースのデータ保護とサイバーレジリエンス機能を提供する。Microsoft CopilotやAzure AI Studioとの連携により、カスタムAIソリューションの開発も支援。
Revolutの世界全体での利用者数が5,000万人に到達、2024年初から1,000万人以上...
グローバルフィンテック企業のRevolutグループが世界全体での利用者数5,000万人到達を発表。2024年7月には英国銀行監督機構から銀行ライセンスを取得し、8月には評価額450億ドルを記録。2023年の収益は22億ドル、税引前利益は5億4500万ドルを達成。日本では有料プラン向け特典やおつり寄付機能、クイック銀行チャージなど新サービスを展開中。
Revolutの世界全体での利用者数が5,000万人に到達、2024年初から1,000万人以上...
グローバルフィンテック企業のRevolutグループが世界全体での利用者数5,000万人到達を発表。2024年7月には英国銀行監督機構から銀行ライセンスを取得し、8月には評価額450億ドルを記録。2023年の収益は22億ドル、税引前利益は5億4500万ドルを達成。日本では有料プラン向け特典やおつり寄付機能、クイック銀行チャージなど新サービスを展開中。
CyCraftがSEMI E187評価ツールを発売、半導体装置のセキュリティ規格への準拠評価が容易に
CyCraftは半導体装置のセキュリティ規格評価ツール「SEMI E187評価ツール」を発売した。TSMCを中心とする半導体業界団体SEMIが策定した規格への準拠を評価するツールで、USBスティックを差し込むだけで詳細な評価レポートを取得可能。日本語、英語、中国語に対応し、オフライン環境での利用やFIDO2ゼロトラスト認証もサポートしている。SEMICON Japan 2024でNTTアドバンステクノロジと共同展示予定。
CyCraftがSEMI E187評価ツールを発売、半導体装置のセキュリティ規格への準拠評価が容易に
CyCraftは半導体装置のセキュリティ規格評価ツール「SEMI E187評価ツール」を発売した。TSMCを中心とする半導体業界団体SEMIが策定した規格への準拠を評価するツールで、USBスティックを差し込むだけで詳細な評価レポートを取得可能。日本語、英語、中国語に対応し、オフライン環境での利用やFIDO2ゼロトラスト認証もサポートしている。SEMICON Japan 2024でNTTアドバンステクノロジと共同展示予定。
TRUSTDOCKがマイナンバーカードを活用した本人確認の最新手法を発表、なりすまし対策の強化...
地方自治情報化推進フェア2024にてTRUSTDOCKが発表した、マイナンバーカードを活用した最新のeKYC手法について解説する。公的個人認証サービスとICチップ読み取り、さらに顔認証を組み合わせることで、なりすましや偽造による犯罪を防止し、より安全な本人確認を実現。福岡市での導入事例では、登録期間の短縮や申請数の増加など、具体的な成果も出始めている。
TRUSTDOCKがマイナンバーカードを活用した本人確認の最新手法を発表、なりすまし対策の強化...
地方自治情報化推進フェア2024にてTRUSTDOCKが発表した、マイナンバーカードを活用した最新のeKYC手法について解説する。公的個人認証サービスとICチップ読み取り、さらに顔認証を組み合わせることで、なりすましや偽造による犯罪を防止し、より安全な本人確認を実現。福岡市での導入事例では、登録期間の短縮や申請数の増加など、具体的な成果も出始めている。
ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...
ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。
ELSOUL LABO B.V.がSolanaメインネットで手数料0%のバリデータ運用を開始、...
ELSOUL LABO B.V.とEpics DAOは、Solanaエコシステムのセキュリティ向上とユーザーに最大TrueAPYを提供するため、メインネットで手数料完全0%のバリデータ運用を開始した。Jitoクライアントの採用でスパムトランザクションを削減し、高性能ハードウェアと最適なロケーションでの運用により、効率的なトランザクション処理を実現。ステーキングの分散化を促進し、ネットワークの健全性向上を目指す。
【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。
【CVE-2024-42387】Mongoose Web Server v7.14に深刻な脆弱...
Nozomi Networks社が2024年11月18日、Cesanta社のMongoose Web Server v7.14にOut-of-range Pointer Offsetの脆弱性を発見したことを公開。CVE-2024-42387として識別されたこの脆弱性は、不正なTLSパケットによってヒープメモリの読み取りが可能となる深刻な問題。CVSSスコア5.3(MEDIUM)と評価され、特別な権限なしでネットワーク経由の攻撃が可能である。
バッファローが歴代Wi-Fiルーター5機種をカプセルトイ化、2024年11月21日から全国で発売開始
バッファローは2024年11月19日、歴代のWi-Fiルーターを6分の1スケールで再現したカプセルトイ「バッファロー監修 手のひらWi-Fiルーター」を11月21日から販売すると発表した。2000年発売のAirStationシリーズ初号機から2019年のWi-Fi 6対応モデルまで、Wi-Fi技術の進化を象徴する5機種をラインナップ。カバーの着脱やアンテナの回転など実機同様のギミックも搭載している。
バッファローが歴代Wi-Fiルーター5機種をカプセルトイ化、2024年11月21日から全国で発売開始
バッファローは2024年11月19日、歴代のWi-Fiルーターを6分の1スケールで再現したカプセルトイ「バッファロー監修 手のひらWi-Fiルーター」を11月21日から販売すると発表した。2000年発売のAirStationシリーズ初号機から2019年のWi-Fi 6対応モデルまで、Wi-Fi技術の進化を象徴する5機種をラインナップ。カバーの着脱やアンテナの回転など実機同様のギミックも搭載している。
MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...
MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。
MicrosoftがWindows 365 Linkを発表、クラウドPCへの高速接続とセキュリ...
MicrosoftはMicrosoft Ignite 2024において、Windows 365専用のシンクライアントデバイス「Windows 365 Link」を発表した。デュアル4Kモニター対応やWi-Fi 6E、Bluetooth 5.3などの高度な接続性を備え、Microsoft Teamsなどのビデオコンファレンスにもローカル処理で対応。ローカルデータを持たないセキュアな設計とMicrosoft Intuneによる効率的な管理機能を実現している。2025年4月から349ドルで販売開始予定。
coinbookがNIDT保有者向けにGlobal Entertainment Tokenのエ...
株式会社coinbookは2024年11月20日より、Nippon Idol Token保有者を対象としたGlobal Entertainment Tokenのエアドロップを開始する。付与比率は1:1で最小付与数量は200GET、事前申込みと200NIDT以上の保有が条件となる。11月6日のスナップショット時点での保有数に基づき配布が実施され、追加費用は不要。GET Entertainment Inc.が提供する新たなトークンエコシステムの展開が期待される。
coinbookがNIDT保有者向けにGlobal Entertainment Tokenのエ...
株式会社coinbookは2024年11月20日より、Nippon Idol Token保有者を対象としたGlobal Entertainment Tokenのエアドロップを開始する。付与比率は1:1で最小付与数量は200GET、事前申込みと200NIDT以上の保有が条件となる。11月6日のスナップショット時点での保有数に基づき配布が実施され、追加費用は不要。GET Entertainment Inc.が提供する新たなトークンエコシステムの展開が期待される。
KDDIがMintMonsterを社内運動会に導入、NFTを活用したスタンプラリー形式のクイズ...
クリプトリエが提供するNFTビジネス活用プラットフォーム「MintMonster」がKDDIの社内運動会に採用された。クイズ正解者へのNFT付与やスタンプラリー形式での収集が可能になり、さらにKDDIの「αU wallet」との連携により、初心者でも簡単にNFTを受け取れる環境が整備された。NFTを活用することで、社員とその家族の交流促進や会社理解の深化を図っている。
KDDIがMintMonsterを社内運動会に導入、NFTを活用したスタンプラリー形式のクイズ...
クリプトリエが提供するNFTビジネス活用プラットフォーム「MintMonster」がKDDIの社内運動会に採用された。クイズ正解者へのNFT付与やスタンプラリー形式での収集が可能になり、さらにKDDIの「αU wallet」との連携により、初心者でも簡単にNFTを受け取れる環境が整備された。NFTを活用することで、社員とその家族の交流促進や会社理解の深化を図っている。
SolanaのRPCプロバイダERPCが東京リージョンを強化、プレミアムクラスノード追加でアジ...
ELSOUL LABO B.V.とValidators DAOが運営するSolanaネットワークの高速RPCプロバイダ「ERPC」が東京リージョンに新たなプレミアムクラスノードを導入した。最先端の高性能ハードウェアによる低遅延処理と冗長構成による高い信頼性を実現し、アジア圏のユーザーに向けて高速かつ安定したネットワーク接続を提供する。
SolanaのRPCプロバイダERPCが東京リージョンを強化、プレミアムクラスノード追加でアジ...
ELSOUL LABO B.V.とValidators DAOが運営するSolanaネットワークの高速RPCプロバイダ「ERPC」が東京リージョンに新たなプレミアムクラスノードを導入した。最先端の高性能ハードウェアによる低遅延処理と冗長構成による高い信頼性を実現し、アジア圏のユーザーに向けて高速かつ安定したネットワーク接続を提供する。
トヨクモがkintone連携サービスにマイナンバーカード認証機能を追加、セキュアな本人確認プロ...
トヨクモ株式会社はkintone連携サービスのFormBridgeとkViewerにおいて、デジタル庁が提供するデジタル認証アプリを活用したマイナンバーカードでの本人確認機能を提供開始した。この機能により行政手続きや避難所管理、口座開設など、正確な本人情報が必要な場面での活用が期待される。マイナンバーカードの普及率70%超えを背景に、本人確認プロセスの信頼性向上に貢献するだろう。
トヨクモがkintone連携サービスにマイナンバーカード認証機能を追加、セキュアな本人確認プロ...
トヨクモ株式会社はkintone連携サービスのFormBridgeとkViewerにおいて、デジタル庁が提供するデジタル認証アプリを活用したマイナンバーカードでの本人確認機能を提供開始した。この機能により行政手続きや避難所管理、口座開設など、正確な本人情報が必要な場面での活用が期待される。マイナンバーカードの普及率70%超えを背景に、本人確認プロセスの信頼性向上に貢献するだろう。
JPYC株式会社とセンス・イット・スマートがDAO型健康経営の実証実験を開始、ステーブルコイン...
JPYC株式会社とセンス・イット・スマートは、DAO型健康経営の実証実験を開始する。従来のデジタルギフトに代わり、価格変動の影響を受けにくい日本円ステーブルコインJPYCをインセンティブとして採用。運動サプリを活用したウォーキングイベントを実施し、ブロックチェーン技術で歩数データを記録する。実証実験は2024年12月1日から31日まで行われ、JPYC社従業員が参加する予定だ。
JPYC株式会社とセンス・イット・スマートがDAO型健康経営の実証実験を開始、ステーブルコイン...
JPYC株式会社とセンス・イット・スマートは、DAO型健康経営の実証実験を開始する。従来のデジタルギフトに代わり、価格変動の影響を受けにくい日本円ステーブルコインJPYCをインセンティブとして採用。運動サプリを活用したウォーキングイベントを実施し、ブロックチェーン技術で歩数データを記録する。実証実験は2024年12月1日から31日まで行われ、JPYC社従業員が参加する予定だ。
キヤノンMJが金融DX向け本人確認支援ソリューションを提供開始、窓口業務のデジタル化で業務効率...
キヤノンマーケティングジャパンは金融機関向けの本人確認支援ソリューションの提供を開始した。個人認証カードリーダー ID-MY2でマイナンバーカードや運転免許証の真正性を確認し、タブレット端末での容貌照合や公的個人認証も活用することで、正確かつ安全な本人確認を実現している。みずほ銀行での運用も開始され、今後は金融機関以外への展開も予定している。
キヤノンMJが金融DX向け本人確認支援ソリューションを提供開始、窓口業務のデジタル化で業務効率...
キヤノンマーケティングジャパンは金融機関向けの本人確認支援ソリューションの提供を開始した。個人認証カードリーダー ID-MY2でマイナンバーカードや運転免許証の真正性を確認し、タブレット端末での容貌照合や公的個人認証も活用することで、正確かつ安全な本人確認を実現している。みずほ銀行での運用も開始され、今後は金融機関以外への展開も予定している。
【CVE-2024-9487】GitHub Enterprise Serverで重大な認証バイ...
GitHubは2024年10月10日、GitHub Enterprise Serverにおいて暗号化署名の検証が不適切で認証をバイパスできる重大な脆弱性を発見したことを発表した。この脆弱性は暗号化アサーション機能が有効な状態でSAML SSO認証をバイパスし、不正なユーザープロビジョニングやインスタンスへのアクセスが可能になるという深刻な問題である。CVSSスコアは9.5(CRITICAL)と評価され、早急な対応が必要とされている。
【CVE-2024-9487】GitHub Enterprise Serverで重大な認証バイ...
GitHubは2024年10月10日、GitHub Enterprise Serverにおいて暗号化署名の検証が不適切で認証をバイパスできる重大な脆弱性を発見したことを発表した。この脆弱性は暗号化アサーション機能が有効な状態でSAML SSO認証をバイパスし、不正なユーザープロビジョニングやインスタンスへのアクセスが可能になるという深刻な問題である。CVSSスコアは9.5(CRITICAL)と評価され、早急な対応が必要とされている。
【CVE-2024-7295】Progress Telerik Report Serverに暗...
Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。
【CVE-2024-7295】Progress Telerik Report Serverに暗...
Progress SoftwareはTelerik Report Server 10.3.24.1112未満のバージョンにおいて、ローカルアセットデータの暗号化アルゴリズムに脆弱性が発見されたことを公表した。CVE-2024-7295として識別されたこの脆弱性は、CVSSスコア7.1のHigh評価を受けており、熟練した攻撃者による情報の復号化を可能にする可能性がある。2024 Q4リリースで修正された。
【CVE-2024-50320】Ivanti Avalanche 6.4.6未満の無限ループ脆...
Ivantiは同社のAvalancheにおいて、バージョン6.4.6未満に深刻な脆弱性が存在することを公開した。CVE-2024-50320として識別されるこの脆弱性は、無限ループによってDoS攻撃を引き起こすことが可能で、CVSSスコア7.5のハイリスクと評価されている。攻撃に認証が不要であることから、速やかなアップデートが推奨される。
【CVE-2024-50320】Ivanti Avalanche 6.4.6未満の無限ループ脆...
Ivantiは同社のAvalancheにおいて、バージョン6.4.6未満に深刻な脆弱性が存在することを公開した。CVE-2024-50320として識別されるこの脆弱性は、無限ループによってDoS攻撃を引き起こすことが可能で、CVSSスコア7.5のハイリスクと評価されている。攻撃に認証が不要であることから、速やかなアップデートが推奨される。
wolfSSLがRock-Solid cURLを発表、5年間の長期サポートと重要な不具合修正で...
米国のネットワークセキュリティベンダーwolfSSL Inc.が、長期サポートを保証したcURLの特別版Rock-Solid cURLを発表した。5年間のサポートを保証し、セキュリティ修正と重要な不具合修正のみを提供することで、レグレッションのリスクを大幅に軽減する。Rock-Solid cURL v8.9.2は長期有償サポートのcURLとしての初めてのバージョンとなる。
wolfSSLがRock-Solid cURLを発表、5年間の長期サポートと重要な不具合修正で...
米国のネットワークセキュリティベンダーwolfSSL Inc.が、長期サポートを保証したcURLの特別版Rock-Solid cURLを発表した。5年間のサポートを保証し、セキュリティ修正と重要な不具合修正のみを提供することで、レグレッションのリスクを大幅に軽減する。Rock-Solid cURL v8.9.2は長期有償サポートのcURLとしての初めてのバージョンとなる。
政府がマイナンバーカードによる本人確認を一本化、従来型eKYCからの移行でセキュリティ強化へ
政府が犯罪収益移転防止法の本人確認手法をマイナンバーカードによる公的個人認証サービスに原則一本化する方針を発表。特殊詐欺被害が1日1.1億円に達する中、従来の身分証撮影方式から、ICチップ読取による新方式への移行を推進。公的個人認証と顔認証を組み合わせた新たなeKYCソリューションの提供も検討されている。
政府がマイナンバーカードによる本人確認を一本化、従来型eKYCからの移行でセキュリティ強化へ
政府が犯罪収益移転防止法の本人確認手法をマイナンバーカードによる公的個人認証サービスに原則一本化する方針を発表。特殊詐欺被害が1日1.1億円に達する中、従来の身分証撮影方式から、ICチップ読取による新方式への移行を推進。公的個人認証と顔認証を組み合わせた新たなeKYCソリューションの提供も検討されている。
【CVE-2024-41738】IBM TXSeries for Multiplatforms...
IBMはTXSeries for Multiplatforms 10.1における情報漏洩の脆弱性【CVE-2024-41738】を公開した。HTTP GETメソッドのクエリ文字列から機密情報が取得可能で、中間者攻撃による情報漏洩のリスクがある。CVSS基本値は5.9(中)で、特別な権限は不要だがネットワークを介した攻撃が可能なため、早急な対策が推奨される。
【CVE-2024-41738】IBM TXSeries for Multiplatforms...
IBMはTXSeries for Multiplatforms 10.1における情報漏洩の脆弱性【CVE-2024-41738】を公開した。HTTP GETメソッドのクエリ文字列から機密情報が取得可能で、中間者攻撃による情報漏洩のリスクがある。CVSS基本値は5.9(中)で、特別な権限は不要だがネットワークを介した攻撃が可能なため、早急な対策が推奨される。
【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...
FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。
【CVE-2024-40592】FortiClient MacOSに深刻な暗号化署名検証の脆弱...
FortinetはFortiClient MacOSの複数バージョンにおける重要な脆弱性を公開した。この問題は暗号化署名の不適切な検証に起因しており、ローカルで認証された攻撃者がインストール時のrace conditionを利用して悪意のあるパッケージと入れ替える可能性がある。影響を受けるバージョンは7.4.0、7.2.4以下、7.0.10以下、6.4.10以下で、CVSSスコアは6.8と評価されている。
【CVE-2024-49395】muttとneomuttでBccヘッダー情報漏洩の脆弱性が発見...
Red Hatは2024年11月12日、メールクライアントソフトウェアmuttとneomuttにおいて、Bccヘッダーフィールドの情報が暗号化情報ブロックから間接的に漏洩する脆弱性を公開した。PGP暗号化が--hidden-recipientモードを使用していないことに起因しており、Red Hat Enterprise Linux 7、8、9の全バージョンに影響を及ぼすことが確認されている。CVSSv3.1での深刻度は5.3のミディアムレベルだ。
【CVE-2024-49395】muttとneomuttでBccヘッダー情報漏洩の脆弱性が発見...
Red Hatは2024年11月12日、メールクライアントソフトウェアmuttとneomuttにおいて、Bccヘッダーフィールドの情報が暗号化情報ブロックから間接的に漏洩する脆弱性を公開した。PGP暗号化が--hidden-recipientモードを使用していないことに起因しており、Red Hat Enterprise Linux 7、8、9の全バージョンに影響を及ぼすことが確認されている。CVSSv3.1での深刻度は5.3のミディアムレベルだ。
【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...
Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。
【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...
Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。
【CVE-2024-36509】FortiWebに認証情報漏洩の脆弱性、管理者パスワードの露出...
Fortinet社が公開したFortiWebの脆弱性【CVE-2024-36509】は、認証済み攻撃者がLog Access Eventのログページを通じて他の管理者の暗号化パスワードにアクセス可能な問題だ。影響を受けるバージョンは7.6.0から6.3.23までと広範囲に及び、CWE-497に分類される重要システム情報の露出が指摘されている。CVSSスコアは3.8でLowと評価されているものの、管理者権限の奪取リスクが懸念される。
【CVE-2024-36509】FortiWebに認証情報漏洩の脆弱性、管理者パスワードの露出...
Fortinet社が公開したFortiWebの脆弱性【CVE-2024-36509】は、認証済み攻撃者がLog Access Eventのログページを通じて他の管理者の暗号化パスワードにアクセス可能な問題だ。影響を受けるバージョンは7.6.0から6.3.23までと広範囲に及び、CWE-497に分類される重要システム情報の露出が指摘されている。CVSSスコアは3.8でLowと評価されているものの、管理者権限の奪取リスクが懸念される。