インフォセック・ブリーフ 昨年初めに開始されたプログラムの一環として確立された自動脆弱性スキャンシステムのおかげで、英国公共部門ではDNS脆弱性に84パーセント迅速に対処されています。
科学・イノベーション・テクノロジー部門(DSIT)は先週、2025年1月に提供された最新デジタル政府ブループリントの一環として導入された脆弱性監視システム(VMS)が、公共部門サイトのDNS脆弱性の特定と修復を平均50日から8日に短縮したと述べました。
部門によると、VMSは商用ツールと専有スキャンツールの組み合わせを使用して、脆弱性と攻撃者によって危険にさらされる可能性のあるDNS構成を検出します。自動化されたシステムはDSITが述べたように、英国公共部門機関がホストする約6,000のウェブサイトを常時スキャンし、約1,000の異なる脆弱性をチェックするように設定されています。
DNS脆弱性の改善に加えて、VMSは他の問題を修正するまでの中央値時間を53日から32日に短縮し、重要な未解決ドメイン関連脆弱性のバックログを75パーセント削減し、開始以来毎月約400の確認された脆弱性を解決しました。
「脆弱性監視サービスは、悪用される前に弱点を発見して修正する速度を変え、それに対して保護できるようにしました」とデジタル政府大臣イアン・マレーは新しいシステムについて述べました。
マレーはまた、セキュリティ専門家がDSITおよび英国国家サイバーセキュリティセンターで職を求めるよう動機づけるために設計された新しいキャリアパイプラインを発表し、「人々の生活に最も重要なサービスを保護する」ためです。
「サイバー攻撃は抽象的な脅威ではありません。NHS予約を遅延させ、不可欠なサービスを中断させ、人々の最も機密性の高いデータを危険にさらします」と大臣は付け加えました。「公共サービスが苦労するとき、それを感じるのは家族、患者、そして第一線の労働者です。」
Firefox 148はXSS保護を取得、ただし限定的なもの
Mozillaが先週Firefox 148を提供したとき、それは気付かなかったかもしれない新しい機能を備えていました:新しいAPIのおかげでクロスサイトスクリプティング保護。
Mozillaの最新ブラウザリリースに含まれるSanitizer APIは、潜在的に悪意のあるHTMLのその害をなす能力を取り除き、その後に残すのは単なる古いウェブコンテンツのみです。これはinnerHTMLの割り当てをsetHTML()に置き換えることでこれを行い、許可されていれば既存のコード内で行うことができます。
APIはドキュメントオブジェクトモデル(DOM)XSS攻撃のみに対処し、反射型またはストアド型XSS攻撃を防ぐことができません。Mozillaは、それはDOM XSS攻撃がクライアント側であり、他の2種類のXSS攻撃がサーバー側であるため、Sanitizer APIはそれらの脆弱性を解決するために適応することができないと述べました。
Firefoxは、Sanitizer APIを搭載した最初のブラウザです。
FTCは年齢確認技術を使用するサイトにCOPPA-アウトを与える
米国連邦取引委員会は先週述べました:児童オンラインプライバシー保護法(COPPA)の下での執行措置を、年齢確認目的で未成年者のPIIを集めるウェブサイト運営者に対して追求しないと言い、ただし彼らが適切に扱うことが条件です。
FTCは、年齢確認ソフトウェアの増加がCOPPAの法定要件と直接矛盾するという懸念を最近いくつか聞いたと述べました。すなわち親からの明示的な許可なしに13歳未満の人のデータを収集しないことです。
1998年に制定されたCOPPAは、単に私たちの現代デジタル時代の現実に追いついていません。FTCは年齢確認技術がルールの下での例外であるべきだと考えています。
「私たちのステートメントは、オペレーターにこれらの革新的なツールを使用するよう促進し、親が子供をオンラインで保護する力を与えます」とFTC消費者保護局長クリストファー・ムファリッジは述べました。
もちろん、サイトオペレーターはまだ親にデータが収集されている理由を通知し、それを開示したり「必要以上に」保持したりしないで、データを保護する必要があります。
さらなるCISAドラマ:暫定局長が異動
苦境に立たされているCISA暫定局長マドゥ・ゴットゥムッカラは、彼のポストから除外され、国土安全保障省の戦略的実装局長として機能するために異動されました。ただし、彼が敏感な文書をChatGPTにアップロードしたことが理由ではなく、部門ポリシーに違反するものではないと、CISAは述べています。
「Gottumukkalaはありがたくない任務でも顕著な成果を上げました。CISAを核となる法定使命に戻すのを助けました」とシニアDHS職員はThe Registerに述べました。「彼はCISAに存在した目覚めた、兵器化された、肥大化した官僚制度に取り組み、米国納税者のドルを節約するための契約を扱いました。」
トランプ政権下で急速な変化を経験した機関は、現在、機関の前の執行助理局長(サイバーセキュリティ)であるニック・アンダーセンによってリードされます。しかし、彼も周りに留まらないでしょう。彼もまた暫定局長であるだけだからです。前CISA局長候補ショーン・プランキーは、機関をリードするために再指名されました。
Lustyが大人向けサイトに£1.35m罰金
英国通信規制当局Ofcomはポルノグラフィーウェブサイトオペレーターに£1.35百万ドル($1.8m)の罰金を科しました。オンライン安全法の下で必要とされる年齢チェックを実行しなかったため、執行局長ジョージ・ラスティは不満です。
「大人向けサイトは、英国の子供たちがポルノを見ることから保護するために堅牢な年齢チェックを導入する必要があることは明らかです」とLustyは述べました。「これを行わない、または私たちからの法的に拘束力のあるリクエストを無視する者は、罰金に直面することを期待するべきです。」
この場合、8579 LLCと呼ばれる複数のサイトを運営する英国企業はルールに違反しました。Ofcomによると、企業のウェブサイトは年齢チェックを実装しなかっただけでなく、会社はこの件についての苦情に対応するよう求められた場合に情報リクエストを無視しました。
£1.35m罰金に加えて、8579は情報リクエストを無視したために£50,000もの罰金を科されました。年齢チェックが導入されるまで1日あたり£1,000が請求され、会社が情報リクエストに応答するまで最大60日間1日あたり£250が請求されます。これらのリクエストは解決されないままです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/02/uk_gov_nips_public_sector/
