脆弱性診断は受けたけれど~脆弱性管理入門

Share

~とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り~

脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの?」

「あと、VPNとスイッチ、どっちを先に作業したほうがいいの?パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか?あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか?」

開発部のほかの人にもこんなことをいわれてしまいます。

開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか?」

Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。


ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

パッチ適用の優先順位をつけるための3つの要素

  1. 脆弱性を持つアセットが置かれている環境
    ・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
    ・CVSSでいう環境スコア(CVSS-E)の攻撃区分(MAV)にあたる、実際の環境依存の要素
  2. アセットが攻撃を受けた場合に事業継続性に与える影響
  3. アセットが攻撃を受けた場合に社会や社内(運用保守・人材)に与える影響

冒頭のA社のケースでは以下のように整理できるでしょう。

アセットが置かれている環境

  • VPN:インターネット上で公開された状態
  • データベース:設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
  • スイッチ:設置環境によって制御されたネットワーク内かローカル環境になる。

アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN=データベース>スイッチの順になると考えられるでしょう。

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース>VPN>スイッチの順になると考えられます。

今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

アセットが攻撃を受けた場合に社会や社内に対して与える影響

A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

  • 顧客情報の漏洩
  • 運用およびシステムの復旧にかかる費用と工数

このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース>VPN=スイッチと考えられるでしょう。

SSVCとは

こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC(Stakeholder-Specific Vulnerability Categorization)」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

SSVCの3つのモデル

  1. ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model
  2. ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model
  3. CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model

このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ(対応優先度)付けの結果を4つにわけています。

SSVCで得られるプライオリティ付けの結果

Deployer ModelSupplier Model
Immediateすべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである全社的にすべてのリソースを投入して修正パッチを開発し、リリース
Out-of-cycle定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
Scheduled定期的なメンテナンスウィンドウで適用通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
Defer現時点で特に行うことはない現時点で特に行うことはない

ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与(少なくとも承認)が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん1人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

脆弱性が持つ要素

自動化の可能性

攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

悪用の状況

実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

まとめ ~CVSSとSSVCの活用~

これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない!」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

参考情報:

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-
  • 最新情報はこちら

    Youtubeチャンネルのご案内

    SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    長期休暇明けのサイバーセキュリティ対策
    企業が実施するべき7つの重要ステップ

    Share

    長期休暇明けは、企業にとってサイバーセキュリティリスクが高まる時期です。休暇中に発生した脆弱性や新たな脅威に対応するため、適切な対策を講じることが重要です。本記事では、企業が実施するべきセキュリティ対策について、7つご紹介します。

    修正プログラムの適用

    休暇中に公開されたOSやソフトウェアの修正プログラムを確認し、適用することが最初のステップです。システム管理者の指示に従って修正プログラムを適用することで、既知の脆弱性を修正し、セキュリティを強化できます。

    定義ファイルの更新

    セキュリティソフトの定義ファイルを最新の状態に更新することも重要です。電子メールの送受信やウェブサイトの閲覧を行う前に定義ファイルを更新することで、最新のウイルスやマルウェアに対する防御力を強化できます。

    サーバ等のログ確認

    サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認します。不審なログが記録されていた場合は、早急に詳細な調査等の対応を行うことが必要です。ログ確認により、潜在的なセキュリティインシデントを早期に発見し、対処することができます。

    不審なメールへの警戒

    長期休暇明けはメールがたまっているため、不審なメールの添付ファイルやURLには特に注意が必要です。不審なメールを受信した場合は、添付ファイルを開かず、本文中のURLにもアクセスしないようにしましょう。また、システム管理者に報告し、指示に従うことが重要です。

    持ち出し機器のウイルスチェック

    長期休暇中に持ち出していたパソコンや外部記憶媒体のウイルススキャンを行うことも忘れずに。このステップにより、持ち出した機器がウイルスに感染していないかを確認し、組織内でのウイルス拡散を防止します。

    緊急連絡体制の確認

    不測の事態に備えて、緊急連絡体制や対応手順を確認しておくことも重要です。連絡フローが現在の組織体制に沿っているか、各担当者の連絡先に変更がないかなどを確認しておきましょう。

    データのバックアップ

    最後に、重要データのバックアップを行い、ランサムウェア攻撃に備えることが大切です。バックアップデータは安全な場所に保管し、定期的に更新することで、データの消失や改ざんに対するリスクを軽減できます。

    まとめ

    これらの対策を適切に実施することで、長期休暇明けのサイバーセキュリティリスクを大幅に軽減します。企業は常に最新のセキュリティ脅威に対する警戒を怠らず、従業員の意識向上と技術的対策の両面からセキュリティ体制を強化していくことが重要です。サイバー攻撃の手法は日々進化しており、一度の対策で安心することはできません。定期的なセキュリティ評価と対策の見直しを行い、常に最新の脅威に対応できる体制を整えていくことが、企業の重要な責務となっています。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    ランサムウェア感染リスク可視化サービス デモ動画

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年8月28日(水)12:50~14:00
    【好評アンコール配信】「知っておきたいIPA『情報セキュリティ10大脅威 2024』~セキュリティ診断による予防的コントロール~
  • 2024年9月4日(水)14:00~15:00
    インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは-
  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    長期休暇中のセキュリティ対策
    ―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃:増加傾向と対策―

    Share
    「長期休暇休暇中のセキュリティ対策」アイキャッチ画像

    長期休暇(前・中・後)に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。

    長期休暇中にサイバー攻撃が増えやすい理由

    長期休暇、特に年末年始やゴールデンウィーク、お盆休み、シルバーウイークなど、大型連休中にはサイバー攻撃が増加する傾向にあります*1。これは以下の理由によるものです。

    • 企業のセキュリティ体制が手薄になる
    • 個人ユーザによるオンラインショッピング利用やSNS投稿が増える
    • 攻撃者が休暇中のユーザの油断を狙う

    主なサイバー攻撃タイプ

    長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。

    • フィッシング攻撃
      個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。
    • ランサムウェア攻撃
      企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。
    • DDoS攻撃
      オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。

    参考:解説動画 アナリストが語る「今月のセキュリティトピック」2024年7月版
    攻撃・インシデント関連(再生時間:13:23)
    「国内大手出版グループに大規模サイバー攻撃」

    Youtubeチャンネルのご案内

    SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。

    地域別の傾向

    サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。

    北米やヨーロッパ:クリスマスシーズンに攻撃が増加
    アジア:旧正月期間中に攻撃が増加
    日本:ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始

    産業別の影響

    長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。

    小売業:オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
    金融サービス:年末の取引増加期に狙われやすい
    旅行・観光業:休暇予約情報を狙った攻撃が増加

    長期休暇(前・中・後)の対策

    長期休暇前

    • 緊急連絡体制の確認をする
      委託先企業を含めた緊急連絡体制や対応手順を確認します。
    • 機器接続ルールを確認する
      社内ネットワークへの機器接続ルールを確認し、遵守します。
    • 使用しない機器の電源OFFにする
      長期休暇中に使用しないサーバ等の機器は電源をオフにします。
    • データのバックアップをとる
       重要データのバックアップを行い、ランサムウェア攻撃に備えます。
    • セキュリティソフトを更新する
      セキュリティソフトの定義ファイルを最新の状態に更新します。

    長期休暇中

    • 持ち出した機器やデータの管理
      自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。
    • SNS投稿の定期的に確認する
      行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
    • 偽のセキュリティ警告の表示の確認
      ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
    • 不審なメールやURLが届いていないかどうか確認する
      メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意します。

    長期休暇明け

    • 修正プログラムを適用する
      長期休暇中に公開された修正プログラムを適用します。
    • 定義ファイルを最新の状態に更新する
      セキュリティソフトの定義ファイルを最新の状態に更新します。
    • ウイルスチェックを実施する
      持ち出していた機器等のウイルスチェックを行います。
    • 不審なメールが届いていないかどうか確認する
      長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。

    企業のリスク管理

    企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。

    • 緊急連絡体制の確認
      委託先企業を含めた緊急連絡体制や対応手順を確認します。
    • サーバやネットワーク機器の脆弱性対策
      自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。
    • アカウント管理
      アカウントのアクセス権限を確認し、不要なアカウントを削除します。
    • 従業員への周知
      パスワードの強化、管理の徹底を従業員に周知徹底します。

    個人の注意点

    個人が長期休暇中に注意すべき点は以下の通りです。

    • SNS投稿
      行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
    • 偽のセキュリティ警告
      ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
    • パソコンの初期化
      ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。
    • フィッシングサイト対策
      フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。

    長期休暇中のサイバー攻撃に備えるために

    長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。

    関連リンク

    独立行政法人情報処理推進機構(IPA)「長期休暇における情報セキュリティ対策

    ランサムウェア感染リスク可視化サービス デモ動画

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-
  • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#01073312)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題がJVNに公開されました。

    概要

    JVN#01073312
    スマートフォンアプリ「ピッコマ」には、外部サービスのAPIキーがハードコードされている問題が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2024-38480

    https://www.cve.org/CVERecord?id=CVE-2024-38480

    報告者名

    坂井 祥仁

    詳細はこちら。
    https://jvn.jp/jp/JVN01073312/index.html
    https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000067.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#00414047)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「Studyplus (スタディプラス)」に外部サービスの API キーがハードコードされている問題がJVNに公開されました。

    概要

    JVN#00414047
    スタディプラス株式会社が提供する「Studyplus (スタディプラス)」には、外部サービスの API キーがハードコードされている問題 (CWE-798) が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2020-5667

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5667

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN00414047/index.html
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000070.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#42199826)

    Share

    弊社の診断エンジニアによって報告された、desknet’s NEO におけるクロスサイトスクリプティングの脆弱性がJVNに公開されました。

    概要

    JVN#42199826
    株式会社ネオジャパンが提供する desknet’s NEO には、格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2020-5638

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5638

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN42199826/index.html
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000079.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#54025691)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性がJVNに公開されました。

    概要

    JVN#54025691
    株式会社ぐるなびが提供するスマートフォンアプリ「ぐるなび」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2021-20693

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20693

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN54025691/index.html
    https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000031.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#97434260)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性がJVNに公開されました。

    概要

    JVN#97434260
    株式会社リクルートが提供するスマートフォンアプリ「ホットペッパーグルメ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2021-20715

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20715

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN97434260/index.html
    https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000033.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#26891339)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「Retty」における複数の脆弱性がJVNに公開されました。

    概要

    JVN#26891339
    Retty株式会社が提供するスマートフォンアプリ「Retty」には、複数の脆弱性が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2021-20747
    ■CVE-2021-20748

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20747
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20748

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN26891339/index.html
    https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000068.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#86026700)

    Share

    弊社の診断エンジニアによって報告された、GroupSession における複数の脆弱性がJVNに公開されました。

    概要

    JVN#86026700
    日本トータルシステム株式会社が提供する GroupSession には、複数の脆弱性が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2021-20787
    ■CVE-2021-20788
    ■CVE-2021-20789

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20787
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20788
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20789

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN86026700/index.html
    https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000070.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像