IT ニュース&コラム 2022/10/10 通巻848号 ニュース版  ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ トヨタの委託先が個人情報のアクセスキーを GitHub に公開してしまう事故 ■■ 2022年10月7日、トヨタは T-Connect のユーザーのメールアドレスとお客様管理番号が 29万6019件漏えいした可能性があると発表した。氏名や電話番号、クレジットカード番号などが 漏えいした可能性はないという。 漏洩した可能性があるとした理由は、開発の委託先が規則に反してソースコードの一部を 誤って公開設定のまま GitHub にアップロードしたこと。かつ、そのソースコードには、 データサーバへのアクセスキーが含まれていたことだ。 厳密にいえば状況証拠にすぎない。 アクセスキーとは、今回の場合、メールアドレスとお客様管理番号が入ったデータベースに アクセスするための鍵だ。もちろん、アクセスキーを公開してはいけない。 必ずパスワードなどで保護されたローカルPCか保護されたサーバーか金庫にいれるストレージに 保存する必要がある。プライベート設定の GitHub でもよい。社内の Git サーバー であればもう少し安全だ。 今回、漏洩したか漏洩しなかったかは残念ながら判断できないだろう。 興味本位でアクセスキーを自動的に集めることを試す人が多いためアクセスキーが漏洩した 可能性は高い。しかし、アクセスキーをどのインスタンスの鍵なのかまでは、調べないと 分からない可能性が高い。 GitHub に一度でもアクセスキーをアップロードすると、GitHub からプロジェクトを 削除しない限り永遠に履歴に残ってしまう。ソースコードからアクセスキーを削除して アップロードしても履歴に残る。なので、対策は、アクセスキーを無効化することだ。 アクセスキーは CLI や GUI から簡単に無効化と再発行ができる。 GitHub にアクセスキーをアップロードしない確実な方法は、git hooks を使うことだ。 AWS のアクセスキーであれば、AWS の公式が git hooks を使った git-secrets というコマンドを用意している。 git hooks を使えば、アクセスキーのパターンを 検索して、見つかったら git commit が拒否されるため、アクセスキーを アップロードしないようになる。 独自のアクセスキーやパスワードを使う場合は、 パターン検索できるようにアクセスキーやパスワードの一部に固定の数文字を設定するとよい。 このような対策があるとはいえ、GitHub を公開設定のまま使うということはあまりに 初心者レベルのミスだ。昨今、IT人材が不足しているというが、人が少ないのでは なくスキル不足だ。 公開・非公開の設定はシステムによって異なるため 意図しないで公開になっていることがある。 俺は大丈夫だろうと言えるのは、非公開であることを試したことがある奴だけだ。 自信ではなく手を動かして確認することだ。 https://www.itmedia.co.jp/news/articles/2210/07/news178.html https://github.com/awslabs/git-secrets ■■ 注目ニュース 一覧 ■■ ◇ Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性 https://gigazine.net/news/20220922-python-old-bug-unpatched-15-years/ … ディレクトリトラバーサル。当時はフルパスが必要だということでセキュリティ扱いされていなかった。 ◇ 画面をロックしたあとも時計やウィジェットが表示され続けるiPhoneの常時表示ディスプレイはこんな感じ https://gigazine.net/news/20220930-iphone-always-on-display/ … iPhone 14 の最も大きな進化だと思う。 ◇ 110番で動画も送れるように 警察庁が映像通報システムをテスト運用へ。 https://www.itmedia.co.jp/news/spv/2209/23/news054_0.html … SNS に上げるより先に警察に正確な情報を提供すべき。救急にも応用できそう。 ◇ 接触確認アプリ COCOA 停止へ。河野デジタル大臣、スタートからボタンの掛け違いがあった。 https://japan.cnet.com/article/35193207/ … 当時はバタバタだったから仕方ないが、振り返りは重要。 ◇ Windows 11 プレビュー版、SMBサーバーのレートリミッターを既定で有効化 https://japan.cnet.com/article/35193705/ … パスワードを間違えたら2秒待ってからパスワードが違うという返事をすることで総当たり攻撃を防ぐ。 ◇ 米控訴裁、SNSによる「検閲」禁じるテキサス州法を支持 https://japan.cnet.com/article/35193488/ … 見られないようにすることが問題であって、政治関連に注意喚起するための検閲のようなことは良いと思う。 ◇ 学会発表に反人種差別の目標達成にどのように役立つのか、の説明が義務づけられ著名研究者が退会を表明、学問とポリコレの結びつけに反論 https://gigazine.net/news/20221004-haidt-quits-academic-society-diversity-statement/ … これまで反人種差別であると疑われているわけでもないのに、義務を違反することで差別と思われるリスク。 ◇ Google ChromeとMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている https://gigazine.net/news/20220920-chrome-edge-expose-pii/ … スペルジャッキングと呼ばれる攻撃。拡張スペルチェックが問題でスペルチェックは問題ないらしい。 ◇ バンナム、AI技術を活用したライブ配信や実況を行う配信AIキャラクタープロジェクト https://japan.cnet.com/article/35193909/ … 各社 AI を積極的に導入して効率を上げ、AI にできない部分を自らのスキルで補完。 ◇ ルックスが魅力的な学生ほど好成績な現象は対面授業からリモートになるとどう変わるのか? https://gigazine.net/news/20220921-beauty-grades/ … ルックスが魅力的な学生の成績が落ちた。先生とはいえ意識せずに関わる頻度に差が出る。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm