Infosec In Brief(情報セキュリティ簡易版) スイスのデータ保護担当官会議 Privatim は先週、セキュリティ上の懸念から、スイスの公的機関に対しハイパースケールクラウドおよび SaaS サービスの利用を避けるよう求める決議を発表した。
「ほとんどの SaaS ソリューションは、プロバイダーが平文データにアクセスできないようにする真のエンドツーエンド暗号化を、いまだ提供していません」と決議は述べている。そのため Privatim は、特に米国 CLOUD 法の適用対象となる SaaS やハイパースケールクラウドは、スイス政府機関が「特に機微な個人データや、法的な守秘義務の対象となるデータ」を置くのにふさわしい場所ではないと考えている。
決議はまた、クラウドおよび SaaS サービスプロバイダーは利用規約を一方的に変更でき、その結果としてセキュリティおよびプライバシー保護の条項が損なわれる可能性があることも指摘している。
「したがって、SaaS アプリケーションの利用には、重大なコントロール喪失が伴います」と決議は述べる。「公的機関は、基本的人権侵害が発生する可能性に影響を与えることはできません。コントロールの及ぶ範囲から特に機微なデータを出さないことで、潜在的な侵害の深刻さを軽減できるだけなのです。」
文書は結論として、スイスは「大規模な国際プロバイダーによる SaaS の利用を、ほとんどの場合において」認めるべきではないとし、不適切なサービスの例として Microsoft 365 を名指ししている。
リポジトリをちゃんと片付けましょう
セキュリティエンジニアの Luke Marshall 氏は、GitLab 上で見つけられるすべての公開リポジトリ、つまり 560 万件すべてをスキャンし、1万7,000件の有効なライブシークレットを発見したと明らかにした。
シークレット検出サービス Truffle Security の投稿によると、GitLab の API を使えば、すべての公開リポジトリの一覧を生成できる。
Marshall 氏はその一覧を生成したうえで、「560 万件すべてのリポジトリ名を AWS SQS キューに送信するローカルの Python スクリプトを書きました。このキューが永続的なタスクリストとして機能しました」と述べている。
同氏はさらに、Truffle Security の TruffleHog ツールでリポジトリをスキャンする AWS Lambda 関数を作成し、その結果をログに記録した。
「これには約 770 米ドルかかりましたが、そのおかげで 560 万件のリポジトリを約 24 時間でスキャンできました」と彼は記している。
発見されたシークレットには、5,000件超の Google Cloud の認証情報、2,000件超の MongoDB の認証情報、OpenAI や AWS のものも多数、さらに 910 個の Telegram ボット用トークンが含まれていた。
Marshall 氏は Atlassian の Bitbucket コードロッカーについても同様の分析を行っており、そのスキャン結果について「Bitbucket と比べて、GitLab のほうがリポジトリあたりの漏えいシークレットの密度が約 35%高い」と述べている。
Strava「スパイの皆さん、情報出しすぎないで」
エクササイズ記録アプリ Strava は、位置情報機能の利用に伴うあらゆるリスクをユーザーが受け入れることを求める利用規約の改定草案を公開した。
このアプリでは、ランニング、ウォーキング、ハイキング、サイクリングなど屋外アクティビティの地図を作成できる。そのデータからは、軍事基地でのユーザーの所在や、フランスのエマニュエル・マクロン大統領のボディーガードの位置などが明らかになっている。
2026年1月1日に発効する Strava の新たな法的文言は、位置情報の利用に伴うリスクについて同社の責任を免責し、次のように指摘している。「これらのリスクは、あなたの状況によってはより大きくなる可能性があります。例えば、機微な職務や信任の立場にある場合などです。」
漏えいでイランの「Charming Kitten」ギャングが露呈
イランの反体制活動家であり独立系サイバー諜報調査員の Nariman Gharib 氏は先週、イランの「Charming Kitten」グループの活動内容を記したとされる流出文書を分析した結果を公開した。
Gharib 氏によると、流出文書はCharming Kittenを暗殺作戦と結びつけているという。
「侵害されたあらゆる航空会社のデータベース、侵入されたあらゆるホテル予約システム、ハッキングされたあらゆる医療クリニックは、イラン政権が敵と見なす人物を特定し殺害するために設計されたシステムに情報を供給しています」と彼は記している。
調査員によれば、Charming Kitten は、高度に組織化された作戦であり、攻撃ツールの開発、標的への潜入、フィッシングキャンペーンの実行に専従するチームを擁している。別のチームは、襲撃で盗み出した文書の翻訳に多くの時間を費やしているという。
Gharib 氏は、イランが少なくとも 2017 年から Charming Kitten を運用しており、その規模と高度さは増し続けていると述べている。
イスラエル軍、Android を禁止した可能性
イスラエル国防軍は、上級幹部による Android スマートフォンの使用を禁止したと報じられている。
The Jerusalem Postによると、イスラエル陸軍ラジオは先週、上級将校が使用する標準運用環境として iOS デバイスの利用を定める命令が出されることを示唆したという。
この命令は、ソーシャルメディアアプリを利用した監視への曝露を減らすための措置とみられている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/01/infosec_news_in_brief/
