2017-01-03 セキュリティニュースまとめ
2017 年 11 月の Forever 21 小売店からカード情報漏えい: POS システム上にマルウェア、意図したカード情報暗号化が正常処理されずカード情報がログから漏えい
- 元記事 www.darkreading.com
- 参照されている過去の記事
- Forever 21 で顧客情報漏えい: 2017 年 3 月から 2017 年 10 月の間に支払いに利用されたカードの情報が漏えいした可能性があるという問題www.darkreading.com
- Forever 21 の公式発表 Forever 21
- 影響を受けたカードは実店舗で使われたカード類でオンラインストアで使用されたカードには影響なし
- 「ダークネットで販売すればカネになることから小売店はサイバー犯罪で狙われやすい。POS システムのセキュリティ対策に本腰を入れなければならない。アンチウイルスソフト、FW だけでなく脅威をプロアクティブに検出する対策を導入しなければならないだろう」
Intel の CPU の設計上の脆弱性「Meltdown」および「Spectre」、全 Windows、Linux および Intel 86-64 ハードウェアを利用する 64-bit MacOS システム、一部の ARM チップセット利用デバイスに影響
- 元記事1 www.theregister.co.uk
- 元記事 1 を参照した日本語の記事 gigazine.net
元記事 2 www.zdnet.com
- Linux および Windows についてパッチが提供されているが導入するとパフォーマンスが犠牲に
- 「ベンチマークでは 5%~30% のパフォーマンス低下を招く」
- マイクロコードによる修正は不可、OS のソフトウェアレベルでの対応か根本的な対応ハードウェアの再設計が必要
対策
- Linux 用パッチ
- Microsoft 社は次の Patch Tuesday でセキュリティアップデートを公開する予定
- Microsoft の Azure Cloud は 1/10 にパッチ適用のためのメンテナンスを行う予定
- Amazon Web Services も 2018-01-05 10:00 GMT から 2018-01-06 02:00 GMT にメンテナンスを行うことをメールで顧客に通知