- ホーム
- ニュース
ニュース一覧
-
2022.11.28
セキュリティ
注意喚起:Fortinet社製品における認証バイパスの脆弱性について
10月上旬にFortinet社製FortiOS、FortiProxyおよびFortiSwitchManagerに認証バイパスの脆弱性(CVE-2022-40684)が公表されました。攻撃者が本脆弱性を悪用し、当該製品の管理インターフェースに対して細工したHTTPあるいはHTTPSリクエストを送信することで、任意の操作を行う可能性があります。本脆弱性のCVSSv3スコアは9.6(Critical)であり、極めて深刻な脆弱性となっています。Fortinet社は本脆弱性の悪用を既に確認しており、悪意のある特権アカウントが追加されるなどの事例が発生しています。ユーザは速やかにソフトウェアアップデートを行う、もしくは回避策を実施する必要があります。 今回は注意喚起として、極めて危険度の高い本脆弱性の詳細とその対策について紹介いたします。
-
2022.11.8
会社
京都支社開設のお知らせ
弊社ではこの度、歴史ある京都の地に拠点設立の念願がかない、京都支社を下記の通り新設の運びとなりましたのでお知らせ申し上げます。これにより、今まで以上に地域に密着しお客様へのサービスの向上に努めてまいる所存でございます。今後は、より一層皆様のご要望にお応えできますよう、社員一同奮励努力する決意ですので何卒ご指導ご鞭撻........
-
2022.10.26
セキュリティ
Webアプリケーションにおけるパスワード再設定機能を安全に実装するために
パスワードを使用してユーザ認証を行うWebアプリケーションでは、パスワード再設定機能・パスワードリセット・パスワードリマインダーなどと呼ばれる、パスワードを忘れたユーザが自身のパスワードを変更できる機能が実装されることが多くあります。このような認証情報を扱う機能の性格上、機能に脆弱性があった場合には被害が甚大となる場合が少なくありません。 セブン&アイホールディングスの決済サービス「7pay」を廃止にまで追い込んだ2019年の不正アクセスは、パスワードリスト攻撃によってユーザ認証を不正に突破され、金銭的被害を発生させるものでした。この不正アクセスの直接の原因ではないとされていますが、パスワード再設定機能に脆弱性があったことが分かっています。最近では2022年9月に発生した「ニトリアプリ」への不正アクセスのように、パスワードリスト攻撃によってユーザ認証を不正に突破され、登録情報が漏えいする事例が発生しています。 本記事ではパスワード再設定機能を安全に実装するために重要なポイントを紹介します。Webアプリケーションのセキュリティ対策の一助になれば幸いです。
-
2022.9.24
セキュリティ
脆弱性スキャンツール「ZGrab」を悪用した攻撃と対策について
弊社セキュリティオペレーションセンター(SOC)であるe-Gateセンターにて直近1年間に検知数がおよそ2倍となっている攻撃があります。脆弱性スキャンツール「ZGrab」に関する攻撃です。ZGrabは脆弱性をスキャンすることで、企業のセキュリティなどを調査し強化することを目的としています。しかし、攻撃者によってスキャンが行われ一度脆弱性が見つかると、その種類に応じた攻撃が行われます。今回はZGrabを悪用した攻撃の手法と対策について紹介いたします。
-
2022.8.25
セキュリティ
Webアプリケーションにおける入力値検証について
Webアプリケーションの入力値検証に関する脆弱性は、弊社の脆弱性診断サービスでも頻繁に検出されています。今回の記事では、入力値検証についてセキュリティ面での有効性を解説します。Webアプリケーションのセキュリティ対策の一助になれば幸いです。本記事は、こちらよりPDFファイルにてご覧いただくこともできます。1.........
-
2022.7.28
セキュリティ
注意喚起:Windowsサポート診断ツールの脆弱性「Follina」について
2022年5月末にWindowsサポート診断ツール(MicrosoftSupportDiagnosticTool:MSDT)に関する脆弱性(CVE-2022-30190)が公開されました。この脆弱性は通称Follinaと命名されており、悪用されるとWordファイルやRTFファイルを開くまたはプレビューするだけで........
-
2022.6.30
セキュリティ
WordPressのプラグイン「WP Contacts Manager」における SQLインジェクションの脆弱性とその対策について
WordPress向けプラグイン「WPContactsManager」において、SQLインジェクションの脆弱性が報告されました。SQLインジェクションは現在でも多数報告され続けていることから、改めてSQLインジェクション、併せてオープンソースソフトウェアの対策についてご紹介いたします。このニュースはこちらより........
-
2022.6.16
会社
監視サービス提供先の独立行政法人国立印刷局様を主要取引様一覧に追記しました
弊社の総合セキュリティサービスは、セキュリティのスペシャリストを集めたセキュリティオペレーションセンター(SOC)を核に、セキュリティ運用監視サービスをはじめ、常駐型のセキュリティ人材サービス、セキュリティ診断サービスをご提供しています。これらを基盤にお客様の情報セキュリティ対策のニーズに対応しています。独立行政法........