その他 | サービス&セキュリティ株式会社 2ページ | サービス&セキュリティ株式会社

ニュース News

ホーム
ニュース

ニュース一覧

2024.7.23 セキュリティ新着情報
OpenSSHの脆弱性「regreSSHion」（CVE-2024-6387）について

2024年7月1日、OpenSSHにおけるリモートコード実行の脆弱性（CVE-2024-6387）が発表されました。本脆弱性のCVSSv3.1のベーススコアは8.1（High）と高く、悪用されると攻撃者がroot権限で任意のコードを実行できる可能性があります。OpenSSHは、macOSやLinuxを含むUNIX系OSで広く使用されています。今回は上記の脆弱性について、詳細と対応策を紹介いたします。
2024.6.27 セキュリティ
OWASP API Security Top 10 2023の概要とオブジェクトレベルの認可制御の不備について

昨今、WebアプリケーションにおいてAPI(ApplicationProgrammingInterface)を実装するケースが多くなっています。その反面、利用が進むにつれ大きな課題となっているのがAPIセキュリティです。今年の３月にもGrafanaが公開しているWebアプリケーションにおいてオブジェクトレベルの認可制御の不備の脆弱性が発見されるなど、API実装の際の不備により生じる脆弱性は世界中で発見されており、弊社の脆弱性診断サービスでも数多くの脆弱性が発見されています。このような背景から昨年OWASPよりOWASPAPISecurityTop102023が発表されるなど、APIに関する脆弱性にも注目が集まっています[1]。そこで今回はOWASPAPISecurityTop10からAPIに関する脆弱性の紹介、またランキングTOPにあるオブジェクトレベルの認可制御の不備の原因と対策についてご紹介します。本稿がWebアプリケーションのセキュリティ対策の一助になれば幸いです。
2024.5.30 セキュリティ
高度化するゼロデイ攻撃の脅威動向

ゼロデイ攻撃は直近3年間で大きく増加しており、その攻撃手法は高度化、複雑化してきています。例えば昨年NISC（内閣サイバーセキュリティセンター）より公開されたメールデータの情報漏洩事件のようにシステムベンダも把握していない脆弱性に対して長期間検知されないように攻撃を行うといった高度なゼロデイ攻撃が多数報告されています。本記事では高度化するゼロデイ攻撃の脅威動向と具体的な事例についてご紹介いたします。
2024.4.26 セキュリティ
CIS Benchmarksとは

昨今、クラウドサービスの利用拡大と共にセキュリティ事故の発生は増加傾向にあります。実際に、クラウドストレージの設定ミスにより、管理している顧客情報の一部が公開されたという事例もあります[1]。この事例のように、適切な設定を維持していないとセキュリティインシデントにつながるおそれがあります。そこで本稿では、適切な設定をまとめた文書「CISBenchmarks」についてご紹介します。クラウドサービスのセキュリティ対策の一助になれば幸いです。
2024.4.17 会社新着情報
2024年内定者(120名)研修会・配属式を実施（サービス＆セキュリティ株式会社、株式会社セキュアソフト合同）

2024年3月28日、29日の2日間にわたりサービス＆セキュリティ株式会社及びグループ会社である株式会社セキュアソフトの新卒内定者120名の研修会・配属式がおこなわれました。今年の内定者に対して、社長から活躍を期待する激励の言葉が贈られました。研修会では、弊社のビジネスモデルであるIT人材サービス・総合セキュリティ........
2024.4.15 セキュリティ
【号外】【更新】注意喚起：PAN-OSのGlobalProtect機能における OSコマンドインジェクションの脆弱性（CVE-2024-3400）について

PaloAltoNetworks社製品に搭載されている「PAN-OS」で、深刻な脆弱性(CVE-2024-3400)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、4月13日にJPCERTコーディネーションセンター（JPCERT/CC）にて緊急で注意喚起が行われています。本脆弱性のCVSSv4.0のベーススコアは10.0（Critical）と極めて高いため、GlobalProtect機能が構成されているシステムにおいては、PaloAltoNetworks社より案内のある対策を実施することが推奨されています。
2024.3.29 セキュリティ
Ivanti製品の脆弱性への攻撃と対策について

2024年1月10日から2月8日までの間にIvanti製のVPN製品「IvantiConnectSecure（旧:PulseConnectSecure）」および「IvantiPolicySecure」では複数の脆弱性が発見されました。 Ivanti製品の脆弱性を狙った海外からの通信をSSKSOCでも検知しています。今回は上記の脆弱性に対する攻撃通信について、解説と対策を紹介いたします。
2024.2.26 セキュリティ
「AndroxGh0st」の攻撃手法と対策について

2024年1月16日、連邦捜査局(FBI)とサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)が共同でマルウェア「AndroxGh0st」についてのセキュリティアドバイザリをリリースし、その攻撃手法や危険性の注意喚起を行いました。AndroxGh0stは特定の脆弱性を持つサーバの調査とそれを悪用した攻撃を行うマルウェアです。今回はAndroxGh0stの詳細と対策について紹介いたします。