SIDfm ブログ
- 脆弱性情報 /
- 脆弱性の管理の方法、プロセスの自動化 /
- パッチ対応の自動化、SOAR
SIDfm ブログ
SIDfm は、1999年に日本で初めて脆弱性情報提供サービスを開始して以来、その脆弱性内容の充実化を図り、さらに「脆弱性管理と対策」ツールを提供する、日本を代表する「総合脆弱性ソリューション」サービスの一つとなりました。このブログは、日々、脆弱性を調査・評価を行っているアナリストや、脆弱性の管理ツールの開発者が発信するブログです。
【最新記事】
2023年6月28日
VEX のステータス根拠について
このエントリでは、VEX (Vulnerability Exploitability eXchange) ドキュメントにおいてソフトウェア製品のステータス (status) が「NOT AFFECTED (影響を受けない)」の場合に使用することができる、事前に定義されたステータス根拠 (justification) をご紹介します。
2023年6月14日
Fortinet FortiOS の sslvpnd の処理に任意のコードを実行される問題 (CVE-2023-27997)
Fortinet FortiOS の SSL-VPN 機能に存在する任意のコード実行を許す脆弱性 (CVE-2023-27997) についての記事となります。既に攻撃が確認されています。
2023年5月29日
VEX (Vulnerability Exploitability eXchange) とは
Vulnerability Exploitability eXchange (VEX) とは、米国商務省国家電気通信情報庁 (NTIA) によって開発が進められたセキュリティアドバイザリの形式のひとつです。VEX が提供されるソフトウェア製品を利用することにより、そのソフトウェア製品のユーザは開発者が影響無しと判断した脆弱性を知ることができます。このエントリでは VEX が必要とされる背景や VEX の特徴・利点についてお伝えします。
2023年2月1日
「キャッシュで踊ろう-Microsoft IIS ハッシュテーブルへの攻撃」の解説 (2) - CODE BLUE 2022
オレンジ・ツァイ氏の CODE BLUE 2022 での講演「キャッシュで踊ろう-Microsoft IIS ハッシュテーブルへの攻撃」の中から、Microsoft Internet Information Services (Microsoft IIS) 製品に認証を迂回される問題 (CVE-2022-30209) を取り上げて解説します。
2022年12月16日
Fortinet FortiOS の sslvpnd の処理に任意のコードを実行される問題 (CVE-2022-42475)
Fortinet FortiOS の SSL-VPN 機能に存在する任意のコード実行を許す脆弱性 (CVE-2022-42475) についての記事となります。既に攻撃が確認されています。
2022年12月12日
「キャッシュで踊ろう-Microsoft IIS ハッシュテーブルへの攻撃」の解説 (1) - CODE BLUE 2022
オレンジ・ツァイ氏の CODE BLUE 2022 での講演「キャッシュで踊ろう-Microsoft IIS ハッシュテーブルへの攻撃」の中から、Microsoft Internet Information Services (Microsoft IIS) 製品の UriCache モジュールの処理にサービスを妨害される問題 (CVE-2022-22025 ) を取り上げて解説します。
2022年10月12日
Microsoft Exchange Server のゼロデイ脆弱性「ProxyNotShell」(CVE-2022-41040, CVE-2022-41082)
Microsoft Exchange Server 製品に存在するゼロデイ脆弱性「ProxyNotShell」(CVE-2022-41040, CVE-2022-41082) についてご説明します。
2021年12月15日
Apache Log4j CVE-2021-44228 (Log4Shell) の影響有無リスト
各ベンダの製品について Apache Log4j の CVE-2021-44228 (Log4Shell) の影響を受けるかどうかを調査した結果をお伝えします。
2021年12月7日
Amazon Inspector v2 を利用した脆弱性管理 - 自動ディスカバリ・継続的スキャンなど便利な新機能多数 -
AWS re:Invent 2021 で発表された新しい Amazon Inspector について EC2 インスタンスの脆弱性管理に関する機能に焦点を当て、Amazon Inspector の有効化から画面の使用方法、抑制ルール、Amazon Inspector スコア、スキャンのタイミング等をお伝えいたします。
2021年11月30日
CISAの「既知の悪用された脆弱性カタログ」とは
米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) は2021年11月3日、拘束力のある運用指令 22-01 (以下、BOD 22-01 とします。) を発令し、組織内部の脆弱性管理手順の見直しを求めると共に、 「既知の悪用された脆弱性のカタログ (Catalog of Known Exploited Vulnerabilities) 」(以下、KEVs とします。) への対応も要求しました。このブログ記事では、KVEs が制定された背景と、BOD 22-01 によって米国の連邦政府機関の脆弱性対応の方針がどのように変更されるのかについて、お伝えいたします。
2021年11月11日
Microsoft Exchange Server のゼロデイ脆弱性 (CVE-2021-42321) が2021年11月のセキュリティ更新プログラムで修正
マイクロソフト社の2021年11月分のセキュリティ更新プログラムで修正された Microsoft Exchange Server のゼロデイ脆弱性 (CVE-2021-42321) と、Microsoft Exchange Server の過去の脆弱性について、マイクロソフト社のアドバイザリなどを元に、どのような対応を行えばよいのかお伝えします。
2021年10月28日
マイクロソフト社の2021年10月のセキュリティ更新プログラムで修正された Win32k のゼロデイ脆弱性 [CVE-2021-40449]
Apache HTTP Server 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013] について説明します。
2021年10月7日
Apache HTTP Server 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013]
Apache HTTP Server 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013] について説明します。
2021年10月6日
AWS Systems Manager のパッチマネージャーを利用した OS パッケージの更新 (Amazon Linux 2 編)
Amazon Web Services (AWS) Systems Manager (旧称 SSM) にはパッチマネージャーと呼ばれる機能があり、これを利用することで管理対象インスタンスへ一貫したポリシーを持って OS パッケージ更新を自動化できます。 非常に便利な機能なのですが、やや取っ付き難いところもあるので、つまづきやすいポイントを中心に、使用方法を簡単にご説明したいと思います。
2021年9月2日
Microsoft Exchange Server の脆弱性「ProxyShell」とは
ProxyShell」とは、DEVCORE に所属する Orange Tsai 氏によって発見された Microsoft Exchange Server に存在する複数の脆弱性で、 これらの脆弱性を組み合わせて利用されることによって、 Microsoft Exchange Server が動作するシステムは、リモートから認証無しに PowerShell コマンドを実行される可能性があります。
2021年8月2日
Windows ホストに NTLM 認証の試行を強制する「PetitPotam」とは
「PetitPotam」とは、フランスのセキュリティ研究者 Gilles Lionel (topotam) 氏によって公開された、 MS-EFSRPC を利用して Windows ホスト (Active Directory ドメインコントローラを含む) に特定のサーバへの NTLM 認証の試行を強制する手法です。 この手法と Active Directory 証明書サービス (以下、AD CS とします) に存在する NTLM リレー攻撃を許す問題を組み合わせることで、ドメインコントローラの管理者権限を奪われる可能性があります。
2021年7月1日
Windows の印刷スプーラのゼロデイ脆弱性「PrintNightmare」とは
「PrintNightmare」とは、中国のセキュリティ企業 Sangfor に所属する Zhiniang Peng 氏と Xuefeng Li 氏によって公開された、Windows の印刷スプーラサービスに存在する脆弱性です。この脆弱性によって、標的ホストへ RPC リクエストを送信可能なリモートの攻撃者が、標的とは別のホストに配置した悪意のある DLL を標的ホストへダウンロードし、SYSTEM 権限で実行する可能性があります。
2021年6月29日
AWS Systems Manager の Ansible Playbook 実行機能を利用したパッチ適用
このエントリでは、Amazon Web Services (AWS) Systems Manager (旧称 SSM) の Ansible Playbook 実行機能を利用して、 AWS EC2 インスタンス (Amazon Linux 2 AMI/Ubuntu 20.04 LTS) のパッケージを更新する方法をご紹介します。
2021年5月28日
IEEE802.11 の仕様や実装に起因する問題「FragAttacks」とは
「FragAttacks」とは、2021年5月に公表された無線LANの仕様や実装に関する一連の脆弱性の総称です。 「FragAttacks」の脆弱性は、無線LAN規格 IEEE802.11の仕様やその実装に起因し、規格に準拠する様々な無線LAN機器 (アクセスポイント、スマートフォン、PC) に影響します。
2021年5月10日
2021年4月 Pulse Connect Secure, Microsoft Exchange Server における「重大な脆弱性」について
2021年4月に SIDfm 脆弱性情報データベースへ登録された脆弱性は、CVE の件数で 801 件、SIDfm コンテンツ件数で 279 件 (緊急 15 件) でした。 これらの脆弱性の中で、特に危険度が高いとされている Pulse Connect Secure と Microsoft Exchange Server の脆弱性についてご紹介します。
2020年11月27日
逼迫する人材。セキュリティ運用の自動化は待った無し!
- SOAR ツールとしての
SIDfmVM -
サイバー攻撃から組織を守るために脆弱性管理の持続的な実施が求められていることは、改めて言及するまでもないことです。
しかしながら、管理下にあるプロダクトやアプリケーションは構成が複雑化し、デバイスの数も増大する中で、検出された大量の未対応脆弱性情報の確認、対応作業に追われ、現場は疲弊しています。既に属人的な方法ではセキュリティ運用は困難であり、予防的で継続監視のもとで限られたリソースによる統合された(半)自動的な対応アプローチが必須となります。
SIDfm
VM は、脆弱性管理の分野でいち早く SOAR の機能を提供しています。
2020年5月28日
繰り返し悪用された脆弱性トップ10
米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) と連邦捜査局 (FBI) は2020年5月12日、 共同で「常に悪用された脆弱性トップ10」と題されたガイダンス を公開しました。 そのガイダンスの中で触れられている脆弱性とその傾向をご紹介します。
2020年4月23日
Ansible を利用したシステム構成情報の自動取得
脆弱性への速やかな対応を阻む要因にはどのようなものがあるでしょうか? そのひとつに、各サーバやサービスで利用しているシステム構成情報の把握があります。各サーバの管理者にメールや電話で聞き取り調査を行い、その結果を元に Excel で構成管理を行うことは、工数のみならず速度の面からも現実的ではなくなりつつあります。 脆弱性への速やかな対応には自動化が必要です。
2020年4月7日
Zoom に資格情報を不正に取得されるなど複数の脆弱性
新型コロナウイルスの流行によって、ビデオ会議サービスの需要が高まっています。 その中でも Zoom は注目を集めているサービスの一つですが、 ユーザの急増と共に、セキュリティやプライバシーの面からも専門家による様々なチェックを受けるようになりました。
2020年3月27日
三菱電機㈱への不正アクセス事件から見る、SIDfm SRI 指標の有用性
三菱電機株式会社から2020年1月20日に公表された不正アクセスでは、侵入にウイルス対策ソフトウェアの脆弱性が利用されました。 悪用されたと報道されている脆弱性について、CVSS 評価値と SRI (SIDfm 独自指標) 評価値でどのような違いがあったのか。 その差異をご紹介します。
2020年3月18日
脆弱性管理という文脈における「ソフトウェア製品の把握」の難しさ
脆弱性の管理を行うにあたって、自社のシステムで使用しているソフトウェア製品を把握するということ(ソフトウェア資産管理)は基本であり、非常に重要です。 Linux/Unix などのサーバ環境では使用しているソフトウェア製品のリストを作成すること自体に難しさがありますが、脆弱性という他の情報とのマッチングを行うという観点においても独特の難しさがあります。
2020年3月14日
脆弱性の「情報」をベースにした「脆弱性管理」の重要性
脆弱性の「情報」をベースにした「脆弱性管理」が、なぜ情報セキュリティ対策として有効なのか、他のセキュリティ対策の具体的な問題点を挙げ、説明します。
2020年3月14日
ソフトウェアの脆弱性が、なぜ脅威(リスク)なのか?
ソフトウェアの脆弱性とは何か、どういう脅威があるのか、不具合情報(バグ)との違いの説明を交えて脆弱性管理の必要性を説明します。
2020年3月1日
セキュリティ管理者も必見 - 脆弱性管理の実際のプロセス -
当然のものとして曖昧にされている、『コンピュータソフトウェアにおける脆弱性管理』とは実際にどのようなプロセスなのかということを説明します。
2020年2月28日
「政府機関等の対策基準策定のためのガイドライン」に適合する脆弱性管理・運用ツール SIDfm VM
SIDfm VM は、2020年10月から運用開始予定のクラウド上の「政府共通プラットフォーム」に採用されました Amazon Web Services(AWS)にも、簡単にすぐに導入できます。SIDfm VM は、AWS 上で政府統一基準などに沿った「純国産」の脆弱性セキュリティ対策に準拠するツールとして使用できるだけでなく、パッチ対応等の「運用の自動化」も支援する機能を備えています。
2020年2月27日
国連のサーバ 42 台が侵害される - Microsoft SharePoint の脆弱性を悪用 -
The New Humanitarian は 2020年1月29日、国際連合からリークされた内部機密文書を元にサーバの侵害についての調査報告 を公開しました。その報告を元に、判明している過程や被害の状況をご紹介します。
2020年2月23日
脆弱性の「管理単位」を CVE ID ベースで行うと不合理な点とは?
脆弱性対策を行う「管理単位」を CVE ID ベースで行うと、その作業量は非常に多くなるという話をします。一方、SIDfm 脆弱性データベースを使うと、ソフトウェアベンダーが提供する「パッチ」に基づいた情報が管理単位となるため、結果的に現場SEの対策のための工数が大幅に縮減されます。
2020年2月21日
SIDfm vs. JVN iPedia -- 脆弱性の影響範囲に見る両者の「違い」 --
SIDfm と JVN iPedia は、脆弱性情報の提供の観点では同様の機能を持ちますが、脆弱性の影響範囲の記載には次のような違いが存在します...
もっと見る