弊社決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路として、同システム環境下にあるクレジット決済サービス「トークン方式」のデータベースに格納されている一部情報にアクセスされ、情報流出の可能性が高い事象が判明しました。

弊社では、第三者機関での調査を継続する中で2022年1月21日夕刻に情報流出の懸念をより強める事象が確認された為、安全配慮の観点でクレジットカード決済のトークン方式について1月25日に全停止することに至りました。

At 16:48 UTC on Tuesday Jan 25, 2022, a third party informed Let’s Encrypt / ISRG that, while examining the Boulder codebase, they had noticed two instances of specification non-compliance in our implementation of the “TLS Using ALPN” validation method (BRs 3.2.2.4.20, RFC 8737). As a result, we have made two changes to the way that our TLS-ALPN-01 challenge validation works.

All active certificates that were issued and validated with the TLS-ALPN-01 challenge before 00:48 UTC on 26 January 2022 when our fix was deployed are considered mis-issued. In compliance with the Let’s Encrypt CP, we have 5-days to revoke and will begin to revoke certificates at 16:00 UTC on 28 January 2022. We estimate <1% of active certificates are affected. Subscribers affected by revocations will receive e-mail notifications if their ACME account contains a valid e-mail address. If you are affected by this revocation and need help renewing your certificate please ask questions in this thread

これらの脆弱性について、一部の脆弱性を実証するコード（PoC）を含む詳細な情報が公開されています。また、2022年1月24日には、スタックベースのバッファオーバーフローの脆弱性（CVE-2021-20038）を悪用する通信が観測されたとの情報が公開されています。

QNAP® Systems, Inc. (QNAP) today issued a statement in response to a new type of ransomware named DeadBolt. DeadBolt has been widely targeting all NAS exposed to the Internet without any protection and encrypting users’ data for Bitcoin ransom. QNAP urges all QNAP NAS users to follow the security setting instructions below to ensure the security of QNAP NAS and routers, and immediately update QTS to the latest available version.

2022年1月28日　9時現在でグローバルで1160台、日本国内で36台がすでに暗号化されています。昨日同時刻の調査と比較すると24時間で約2倍になっています。この増加率は、Shodanが全世界のサーバやデバイスを1日～1ヶ月の周期でクローリングする仕様によるラグの可能性もありますが、いずれにせよ1月25日の犯行開始からすでに1000台以上が被害にあっていることがわかります。

Last October, Microsoft reported on a 2.4 terabit per second (Tbps) DDoS attack in Azure that we successfully mitigated. Since then, we have mitigated three larger attacks.

In November, Microsoft mitigated a DDoS attack with a throughput of 3.47 Tbps and a packet rate of 340 million packets per second (pps), targeting an Azure customer in Asia. We believe this to be the largest attack ever reported in history.

　2021年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは120社、事故件数は137件、漏えいした個人情報は574万9,773人分に達した。2012年以降の10年間で、社数と事故件数はそろって最多を記録した。

　2012年から2021年までの累計では496社、事故件数は925件となった。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業（約3,800社）の1割以上を占め、漏えい・紛失した可能性のある個人情報は累計1億1,979万人分に達し、ほぼ日本の人口に匹敵する。

End-to-end Encrypted Group Chats and Calls in Messenger: Last year, we announced that we began testing end-to-end encryption for group chats, including voice and video calls. We’re excited to announce that this feature is available to everyone. Now you can choose to connect with your friends and family in a private and secure way.