- ホーム
- ニュース
ニュース一覧
-
2023.10.26
セキュリティ
不適切な実装による二段階認証回避の脆弱性
不正ログインへの対策として、近年「二段階認証」が広く用いられるようになりました。しかし、当社が実施しているWebアプリケーションの脆弱性診断業務においては、二段階認証が適切に実装されておらず、迂回(回避)できてしまう事例が散見されます。 今回の記事では、二段階認証の不適切な実装に対する攻撃例と、その原因および対策について紹介します。 本稿がWebアプリケーションのセキュリティ対策の一助になれば幸いです。
-
2023.10.19
セキュリティ
【号外】注意喚起:Cisco IOS XEの脆弱性情報(CVE-2023-20198)について
Cisco社製品に搭載されている「CiscoIOSXE」で、深刻な脆弱性(CVE-2023-20198)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、10月18日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。 本脆弱性のCVSSv3.1のベーススコアは10.0(Critical)と極めて高く、記事作成時点でCisco社より本脆弱性へ対応するセキュリティパッチが提供されていないことから、インターネットまたは信頼されないネットワークへWebUIを公開しているデバイスではHTTP/HTTPSサーバ機能を無効化するよう推奨されています。
-
2023.9.29
セキュリティ
ランサムウェア「Akira」とRaaSについて
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ白書2023」によると、国内の企業・団体等におけるランサムウェア被害の報告件数は2020年下期から継続して増加しています。背景としては、テレワークの普及によりVPN製品やリモートデスクトップサービスの設定不備や脆弱性を悪用した攻撃が増加したこと、さらに攻撃者が組織化・分業化したことにより、今までよりも効率的に攻撃ができるようになったことが挙げられます。この組織化・分業化した攻撃者グループによる活動として、国外ではランサムウェア「Akira」による被害が多数確認されています。Akiraは2023年3月に発見されたランサムウェアであり、国外で多く被害報告がある一方、国内では報告されていません。しかしながら、攻撃対象のOSや製品が拡大していることが確認されており、今後国内外問わず被害が増加する可能性が考えられます。今回は最近のランサムウェア攻撃の動向およびランサムウェア「Akira」について紹介します。
-
2023.8.31
セキュリティ
Webアプリケーション診断の検出統計から見える特に注意すべき脆弱性について
セキュリティ診断サービスセンターでは、過去約3年分のWebアプリケーション診断の実績から、検出された全ての脆弱性について分析し、統計データをまとめました。 検出統計データの網羅的な説明は、今秋発刊予定の統計データ集に記載しますが、今回は、その中から、特に「注意すべき脆弱性」を取り上げてご紹介します。Webアプリケーション開発時の参考にしていただければ幸いです。
-
2023.8.7
会社
本店及び大津支社移転のお知らせ
謹啓時下ますますご清祥のこととお喜び申し上げます。平素は格別のお引き立てを賜り厚く御礼申し上げます。さて、このたび弊社は下記の通り本店を移転いたしましたのでお知らせ申し上げます。これに伴い、大津支社事務所も下記住所へ移転し、8月7日(月)より業務を開始しております。これを機に社員一同より一層精進して参りますの........
-
2023.7.31
セキュリティ
脆弱性の対策優先度を評価するSSVCの紹介
2023年7月4日に内閣サイバーセキュリティセンターより『政府機関等の対策基準策定のためのガイドライン(令和5年度版)』が発行されました。その中で脆弱性の対策優先度の評価方法として、米国CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)により公表されたSSVCのガイドラインが紹介されています。
自組織のシステムに脆弱性が見つかった場合、緊急で対応するべきか否かの判断は難しいものがあります。しかし、SSVCを用いて評価すると、緊急で対応するべきか、定例のメンテナンス時に対応するべきかを導出することができます。
そこで本ニュースでは、脆弱性の対策優先度を評価するSSVCの活用方法をご紹介します。 -
2023.6.30
セキュリティ
ASM (Attack Surface Management)と脆弱性診断を組み合わせたセキュリティ対策について
1.概要2023年5月、経済産業省よりASM(AttackSurfaceManagement)導入ガイダンスが公開されました。同ガイダンスでは、ASMとは「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義されていま........
-
2023.6.14
セキュリティ
【号外】注意喚起:FortiOSの脆弱性情報(CVE-2023-27997)について
Fortinet社製品に搭載されている「FortiOS」で、深刻な脆弱性(CVE-2023-27997)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、6月13日に情報処理推進機構(IPA)にて注意喚起が行われています。本脆弱性のCVSSv3スコアは9.8(Critical)と極めて危険度が高く、対策済みのバージョンへのアップデートを至急実施する必要があります。