All posts tagged: 脆弱性

「Spring Framework」の脆弱性 CVE-2022-22965(Spring4shell)対応に関して

平素は弊社サービスをご利用頂きまして、厚くお礼申し上げます。 「Spring Framework」の脆弱性CVE-2022-22965(Spring4shell)に対し、注意喚起およびCloudbricでの対応となります。 ■Cloudbricシステムでの対応状況 Cloudbricは、本脆弱性に対し、既定の攻撃検知ロジックおよびポリシーに基づき対応できており、追加のシグネチャー定義および適用を行う必要性がないことを確認し、報告致します。 ・確認日時 2022年3月31日(木) ・情報参照 […]

Read more

「Apache Log4j」の任意のコード実行の脆弱性(CVE-2021-44228)対応に関して

平素は弊社サービスをご利用頂きまして、厚くお礼申し上げます。 Apache Log4jのご利用のユーザ様に対し、注意喚起およびCloudbricでの対応となります。   ■Cloudbricシステムでの対応状況 Cloudbricは、セキュリティ基盤システムおよび管理システムを含む全システムにおいて当該のApache Log4jの影響を受けないことを確認致しました。 ・確認日時 […]

Read more

VPN関連事故多発!企業の情報に迫る脅威と対策

2020年8月下旬、犯罪サイトに全世界900個以上の企業のVPN情報が流出されたというニュースが大きく報道されました。この中には38個の日本企業も含まれており、大きな衝撃を与えています。VPNは外部から企業の内部ネットワークに接続する用途で使われており、新型コロナウイルスの蔓延に従ってテレワークが拡大されるにつれ、その使用量を増しています。そしてテレワークの日常化が進んでいる今時、その必須的な手段と呼ばれるVPNがハッキングされたという事実は、かなりの意味を含んでいるのです。   多数の企業が被害を受けた、VPNによる新たな脅威が台頭 今回発生した大規模ハッキングは、米パルスセキュア社のVPNサービスを利用している企業をターゲットにした事件です。実は2019年、対象となったVPNに脆弱性が存在していることがすでに把握され、パルスセキュアにより修正用パッチを配布されました。また、2020年4月には、アメリカ政府及び関連機関も該当サービスを利用する企業に対しハッキングの脅威を警告し続けてきました。しかし、それから数か月しか過ぎてないにも関わらず、今回の事件が発生したのです。被害を受けた平田機工は、情報流出の原因を次のように明かしました。 VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工 2020年8月26日 4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。 同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。 […]

Read more

VPNの脆弱性は、さらなる被害を呼び起こす可能性を持つ

出張の最中、目まぐるしく忙しい中で会社のサーバに保管された文書を急に確認しなければならない時、あなたならどうしますか。普通、企業ネットワークは専用サーバまたは閉域網で構築されており外部からの接近を防いでいますが、VPNを利用すると会社のネットワークに接続できるようになります。一般的にVPNは安全で簡単だと思われがちですが、本当にそうなのでしょうか。今回はVPNの使用例と、その脆弱性についてお届けします。   なぜ多くの人がVPNを使っているのか VPNとは Virtual Private Network の略字であり、暗号化やプロトコールなどを通じネットワーク上に仮想の通路を設け機密を守る技術です。通信過程でセキュリティを維持する必要があるときによく使われています。また、「働き方改革」の一環でテレワークが幅広く進められるにつれ、さらに注目されてもいます。それでは、VPNがどの様な状況で使われているのかを見ていきましょう。 […]

Read more

最新のWebアプリケーション脆弱性Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP […]

Read more

【コラム】10大Webアプリケーション脆弱性と対策法

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。 こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか? 地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。 Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。 今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。 「目次」 1.10大Webアプリケーション脆弱性 2.脆弱性に備える為には […]

Read more