Infosec In Brief Googleはまもなく、ユーザーの個人情報がインターネットの暗部であるダークウェブに出現した際に通知するメールサービス「Dark Web Report(ダークウェブレポート)」を終了する。
チョコレート工場(Google)は2023年にこのレポートの送信を開始したが、先週発表して、サービスを終了するとした。Googleはこのサービスの有効性に問題があるとはしていない。侵害データのダンプやその他のデータ露出攻撃において、ユーザーIDやパスワード、その他の機微情報の露出を検知する点では良い仕事をしていた。しかし、ユーザーに必要だと同社が考える「実行可能な助言」を提供できていなかったと感じている。
「このレポートは一般的な情報を提供していましたが、フィードバックから、役立つ次のステップを示せていないことが分かりました」と同社は述べた。「この変更は、オンラインで情報を保護するための、より明確で実行可能な手順を提供するツールに注力するためのものです」
そのツールが何なのかは誰にも分からない。Googleがユーザーに示したのは、セキュリティチェックアップの実施、パスキーの有効化、Google独自のパスワードマネージャーなど、Googleアカウントを保護する既存のツールだけだった。
「Results about you(あなたに関する検索結果)もぜひご利用ください」とGoogleは述べ、Google検索結果における個人名やその他の個人情報の出現を検知するツールへユーザーを誘導した。なお、「Results about you」への登録には相当量の個人情報の提出が必要である。
Googleは1月15日にダークウェブ上の新たなデータ侵害のスキャンを停止し、2月16日に検出内容の報告を停止する。代替手段を探す人は、Experian、Equifax、Illion、TransUnionなどを利用できる。
フランス警察、メール侵入事件で逮捕
フランスの法執行機関が内務省のメールサーバーに侵入した疑いのある22歳を特定し逮捕するまでにかかったのは、わずか1週間だった。そこにはもっともな理由があるのかもしれない。
先週木曜日に公表された声明 [PDF] で、フランス検察は、国有の自動個人データ処理システムを攻撃した容疑で氏名非公表の人物を逮捕したと述べた。この容疑により、容疑者は最長10年にわたり「塀の中(derrière les barreaux)」に入る可能性がある。
当局は先週、この攻撃により犯罪記録を含むファイルが侵害されたと指摘しており、それこそが侵入の動機だった可能性がある。検察によれば、逮捕された人物は当局に既知で、今年初めに「同種の犯罪」で有罪判決を受けていた。
つまり、容疑者は既知のハッカーではある——ただし、あまり腕は良くないようだ。
クラウドは穴だらけ
クラウドセキュリティ企業Wizは最近ロンドンで、クラウド基盤におけるゼロデイ脆弱性を探すコンテストを開催したが、その結果は心強いものではなかった。
「わずか2日間で、研究者たちはクラウド基盤の基礎レイヤー全体にわたり、重大なリモートコード実行(RCE)脆弱性を発見しました」とWizは、コンテスト後のまとめ記事で述べた。「彼らは報奨金として32万ドルを獲得し、すべてのライブハッキング試行で成功率85%を達成しました」
このイベントでは、基盤となるオープンソースのクラウドインフラコンポーネントに特化した「公表済みCVEの数としては最高水準の一つ」が生まれたとWizは付け加え、Redis、PostgreSQL、MariaDB、Linuxで脆弱性が見つかったとしている。
Linuxのエクスプロイトの一つは、コンテナエスケープの脆弱性に関するもので、攻撃者が侵害されたクラウドアカウントから脱出し、全ユーザーアカウントを管理する基盤インフラへアクセスできる可能性があるとWizは述べた。
AWS、Microsoft、Googleがこのコンテストをスポンサーしており、これは各社が迅速に修正を実装することを意味するはずだ。
英国の病院、自らデータ侵害を起こす
ここ数年、ランサムウェア攻撃などの事件により、英国の病院やNHSサプライヤーで発生した多数のデータ侵害を、私たちはUK hospitalsおよびNHS suppliersについて取り上げてきたが、今回のような自爆型のデータ侵害を報じることはそう多くない。
Royal Cornwall Hospitals Trustの現職および元職員数千人は先週、病欠欠勤データのリストに紐づく個人データが、情報公開法(FOI)への対応の過程で組織により誤って露出したと通知を受けた。
Cornwall Liveが入手した書簡によれば、病院はFOI請求の一環として電子記録を提供したが、その中には「隠れたデータ」が含まれており、2020年4月から2023年5月の間に同施設で勤務していた職員の記録が含まれていたという。
「私たちは個人情報の安全性を極めて重要視しています」と病院は書簡で述べたとされる。「この事案により、最高水準のデータ保護を維持するため、学び、プロセスを改善するという私たちの取り組みが一層強化されました」
テキサス州、スマートTVメーカーを「所有者の監視」で提訴
テキサス州司法長官ケン・パクストンが起こした訴訟により、ソニー、サムスン、LG、ハイセンス、TCLは、顧客を監視し違法にデータを収集していたとして告発されている。
訴状によれば、スマートテレビに使われる自動コンテンツ認識(ACR)技術が画面に表示されるコンテンツを特定し、そのデータを収集したうえで広告配信に利用しているという。
「ACRを最も単純に言えば、招かれざる、目に見えないデジタル侵入者です」と司法長官事務所は述べ、TV所有者は当該ソフトウェアの存在について十分な説明に基づく同意を与えられていないと付け加えた。
「企業が…自宅内にある米国人の機器を違法に記録するなど、許されることではありません」とパクストンは述べた。「この行為は侵害的で、欺瞞的で、違法です」
各社に対して個別に提起されたこれらの訴訟は、テキサス州不正取引行為法違反1件につき1万ドルの金銭的損害賠償に加え、各社のTVにおけるACR技術の使用停止を求めている。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/21/infosec_news_in_brief/
