GitHub が全ての公開リポジトリへのシークレットスキャン^*1をデフォルトで有効化するようなのでメモ。

これによりコミットにシークレットが含まれているとリポジトリへの push に失敗するようになり、シークレットを削除するか、ブロックを解除して push するかが選択できるようになります。現在でも自分で有効化はできるようなので、デフォルトの有効化を待たずに自分で設定することもできます。これらの措置は公開リポジトリのみで、プライベートなリポジトリに同様な設定をしたい場合には GitHub Enterprise を導入する必要があるようです。

Keeping secrets out of public repositories - The GitHub Blog

This week, we began the rollout of push protection for all users. This means that when a supported secret is detected in any push to a public repository, you will have the option to remove the secret from your commits or, if you deem the secret safe, bypass the block.

• ^*1: Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

国分生協病院のランサムウェア被害の報告にちょっと衝撃的なことが書いてあったのでメモ。
認証無しのリモートデスクトップってあまり聞いたことがないですが、普通に設定可能だったんでしたっけ？

「画像管理サーバー」の障害発生について – 国分生協病院

画像管理サーバーを外部から保守するためのインターネット経由でシステム業者と接続できる回線がありますが、この接点となる病院内設置のネットワーク機器で、外部から認証なしで病院内のコンピュータにリモートデスクトップ接続が可能という設定が存在しました。また、画像管理サーバーにはウイルス対策ソフトが設定されていなかったため、暗号化ウイルスの稼働を許し、被害に至りました。

今年もサイバーセキュリティ月間がスタートしています。昨年からはアニメコラボがなくなってしまって随分と地味になってしまった印象がありましたが、サイバーセキュリティ月間と関係しているかどうかは分かりませんが、個人情報保護委員会のSTOP！名簿流出が進撃の巨人とコラボしているのを見つけてしまいました。

• 「STOP！名簿流出」の啓発を目的としたTVアニメ『進撃の巨人』とのコラボレーションについて（令和６年２月１４日） ｜個人情報保護委員会

流出などと婉曲的な表現を使わずに漏洩と正しい日本語を使って欲しいところです。

今日は朝からやたらネットが重いと思ったら、 Windows Update の日でした。
毎回毎回面倒ですが、忘れずにパッチ適用するようにしましょう。

• 2024 年 2 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
• 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
• 2024年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起

中国企業が対日工作として偽サイトを作成していることがニュースになっていたのでメモ。
カナダの研究機関というのはトロント大の Citizen Lab で、オリジナルの記事は以下のものですね。

• PAPERWALL: Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content - The Citizen Lab

ちなみにオリジナルの記事で名指しされているのは以下の 15 サイトです。

どれも不自然なほど内容が似通っていますし、ニュースサイトにしては提供している会社も明確になっていません。なによりこれらのサイトは今どき不自然な HTTPS に対応していないサイトです。サーバの IP アドレスは日本国内のもののようですが割当先はAceville Pte Ltd. というTencent の子会社になっており、逆引きも設定されていませんでした。

中国企業、日本など３０カ国で偽サイト　カナダ研究機関が報告：時事ドットコム

報告書をまとめたトロント大学に本拠を置く研究機関「シチズンラボ」によると、欧州やアジア、中南米などで少なくとも１２３の偽ニュースサイトが見つかった。日本を標的にしたものとしては、「フジヤマタイムズ（富士山時刻）」「ギンザデーリー（銀座新聞）」など１５のサイトが確認された。

外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 : 読売新聞

米政府は安倍政権当時の２０年夏、「日本の在外公館のネットワークが中国に見られている」と日本側に伝えた。漏えいした情報の具体的な中身や、攻撃をどのように把握したのかは明らかにしなかったが、北京の日本大使館と外務省本省間などで交わされた公電が中国当局に幅広く読み取られていることを示唆した。

日本の外務省と在外公館を結ぶネットワークが中国に筒抜けになっていることがニュースになっていました。これだけでもなかなかに失態ですが、さらにこの件の根が深いのは「そのことを米国に指摘された」ということ。

公然の秘密なのかもしれませんが、アメリカのスパイ活動が国内に及んでいるということですよね。

先日、攻殻機動隊の公式 X の乗っ取られていた件は、公式から声明が出ていて、結論としては「演出じゃなかった」ことが確定しました。

内容（笑い男事件）を知っている人ほど演出のように思っていた人も多かったと思うんですよね。

「攻殻機動隊」公式X乗っ取りから回復　「笑い男事件」ではなかった - ITmedia NEWS

2002年～03年に放送されたテレビアニメ「攻殻機動隊 STAND ALONE COMPLEX」では、2024年2月にサイバーテロ「笑い男事件」が発生している。タイミングが一致することもあり、今回の乗っ取り騒動は「笑い男事件に絡めたプロモーションではないか」と疑うファンもいた。

マルウェアなどを作成させることができる生成 AI がネットに公開されていることがニュースになっていました。

これまで専門知識が必要なソフトウェア等の作成はエンジニアにしかできなかったわけですが、一般的なソフトウェアだけでなくこういう犯罪に関するソフトウェアもどんどんコモディティ化していってしまうことにちょっと危機感を覚えます。冷静に考えれば犯罪用のソフトウェアもプログラムには変わりないですからね。

犯罪に利用できる生成ＡＩ、ネットに複数公開…ランサムウェア・爆発物の作り方など回答 : 読売新聞

コンピューターウイルスや詐欺メール、爆発物の作成など犯罪に悪用できる情報を無制限に回答する生成ＡＩ（人工知能）がインターネット上に複数公開されている。既存の生成ＡＩに、不正行為に関わる情報を学習させたものとみられる。誰でも指示をすればこうした情報を入手できるため、悪用される懸念が高まっている。

通常国会が招集されましたが、今国会では能動的サイバー防御関連の法案は提出見送りになったようです。

国家安全保障戦略で「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除する」と明記されていました。
憲法で定められている通信の秘密の問題をどうするかというはありますが、NISC の改組とかどうするんでしょうかね。

サイバー攻撃対処、法案提出見送り　「通信の秘密保護」懸念ぬぐえず [岸田政権]：朝日新聞デジタル

海外でサーバーに侵入し攻撃することなどで、国や重要インフラへのサイバー攻撃を防ぐ「能動的サイバー防御」導入で、政府は当初検討していた通常国会への関連法案提出を見送る。「通信の秘密」を保障する憲法21条との兼ね合いなど、法解釈をめぐる調整が難航。

政府の経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議^*1が最終とりまとめを出していたのでメモ。

セキュリティクリアランスは安全保障に関連する機密情報にアクセスする人に対して、あらかじめ調査（いわゆる身体検査）を行って扱う権限があるかどうかを判断する制度です。
今回法制化される内容は、国の安全保障に著しい支障を与える可能性がある特定秘密を守るための特定秘密保護法^*2に準じたものになるみたいです。

情報漏洩の罰則は最大懲役10年　「セキュリティ・クリアランス」法案化に向け最終取りまとめ案 | TBS NEWS DIG (1ページ)

政府は、26日に召集される通常国会にこの制度を創設する法案を提出する予定で、きょうの有識者会議では、▼情報漏洩に対する罰則は、特定秘密保護法と同様10年以下の懲役とすることが適当とし、▼資格を得た人でも、退職したあともその罰則が適用されることなどを盛り込んだ法案化に向けた取りまとめ案が作成されました。

• ^*1:経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議｜内閣官房ホームページ
• ^*2:特定秘密の保護に関する法律 | e-Gov法令検索

• find で特定のディレクトリを... (2)
• タイルカーペットの床にマー... (2)
• Word で数式がグレーアウトさ... (1)
• fooba 2000 の Playlist を日... (1)
• 学会たいま～ 座長の友 (1)

• ・2024 年の人気エントリ Top 100

• ・アーロンチェアのポスチャーフィットを修理

• ・福岡銀がデマの投稿者への刑事告訴を検討中

• ・年次の人間ドックへ

• ・GitHub が全ての公開リポジトリへのシークレットスキャンを有効に

• Academic[574]
• Book[155]
• Diary[522]
• Disaster[101]
• Foodlogue[1425]
• Game[284]
• Goods[805]
• Healthcare[341]
• Hobby[32]
• IT[1195]
• Military[343]
• misc.[1570]
• Mobile[510]
• Music[38]
• Neta[106]
• News[95]
• Photo[391]
• RealEstate[120]
• Security[1178]
• SEO Contest[36]
• Software[634]
• Tips[1886]
• Travelogue[1238]
• Web[675]
• Work[193]