はじめに

1週間に公表されたセキュリティに関する情報のうち、重要なもの(知っておいた方が良いもの)をピックアップしています。
基本的に詳細は記載しませんので、気になるものはリンク先を確認してください。

インシデント

ソフトバンクの元従業員による内部不正

ソフトバンクの元従業員(現在は楽天モバイルの従業員)が、退職時に技術情報を持ち出していたとして逮捕されました。1/12にソフトバンクと楽天モバイル双方がプレスリリースを出しています。

楽天モバイルへ転職した元社員の逮捕について
従業員の逮捕について
5G情報持ち出し容疑　ソフトバンク元社員逮捕、警視庁
楽天PCにソフトバンクからの情報保存
楽天モバイルへ転職したソフトバンク元社員の社外秘情報持ち出しについてまとめてみた
ソフトバンクの５G情報流出（内部不正）についてまとめてみた

カプコンが2020年11月に受けたサイバー攻撃の続報

カプコンが2020年11月に受けたサイバー攻撃について、「漏えいした可能性のある個人情報」の対象者が約39万人、「漏えいが確定した個人情報」の対象者が約1.6万人になったことが公表されました。
事件の全容や対策についてはまだ進めている最中とのこと。

不正アクセスによる情報流出に関するお知らせとお詫び【第3報】
カプコン、1.6万人の個人情報流出を確認　新たに5.8万人分流出の可能性も明らかに　20年11月のサイバー攻撃で

注意喚起

「緊急」を含むマイクロソフトセキュリティ更新プログラム公開

深刻度が「緊急」を含むセキュリティ更新プログラムがマイクロソフトから公開されました。
速やかにアップデートを行うようにしましょう。

2021 年 1 月のセキュリティ更新プログラム
2021年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

スタンダード/レポート

東京商工リサーチが2020年に上場企業と子会社で発生した個人情報漏えい・紛失事故に関するレポート公開

2020年に公表された個人情報の漏えい・紛失事故の件数は103件、漏えいした可能性のある個人情報の件数は2千5百万件に達したとする集計結果を公開しました。

「上場企業の個人情報漏えい・紛失事故」調査（2020年）
2020年は2515万人分の個人情報が流出　原因の多くは「ウイルス感染・不正アクセス」

CSAジャパンが「サーバレスアプリケーションのための最も重大な12のリスク（2019年）」の日本語版を公開

サーバーレスアプリケーションで考慮する必要のある重大なリスクについて記載されたThe 12 Most Critical Risks for Serverless Applicationsを和訳したドキュメントをCSAジャパンが公開しました。

12のリスク

• SAS-1 : 関数イベント・データインジェクション
• SAS-2 : 認証の不備
• SAS-3 : セキュアでないサーバレス・デプロイの構成
• SAS-4 : 関数への過剰な権限と役割の付与
• SAS-5 : 不適切な機能のモニタリングとロギング
• SAS-6 : セキュアではないサードパーティ依存
• SAS-7 : セキュアではないアプリケーションの秘匿領域
• SAS-8 : サービス拒否およびリソースの枯渇
• SAS-9 : サーバレス機能実行フロー操作
• SAS-10 : 不適切な例外処理と詳細なエラーメッセージ
• SAS-11: 破棄された関数、クラウドリソース及びイベントトリガー
• SAS-12: 交差実行データの永続性

「サーバレスアプリケーションのための最も重大な12のリスク（2019年）」を公開しました