【セキュリティ ニュース】三菱電機製品の「TCPプロトコルスタック」に脆弱性 - 制御システムなどに影響(1ページ目 / 全1ページ):Security NEXT
三菱電機の製品で採用されているTCPプロトコルスタックに脆弱性が含まれていることが明らかとなった。制御システムなど、幅広い製品が影響を受ける。 セッション管理不備の脆弱性「CVE-2020-16226」が判明したもの。「なりすまし」に悪用されるおそれがあり、任意のコマンドを実行され、情報の漏洩や改ざん、破壊などが生じるおそれがある。 シーケンサ「MELSECシリーズ」やインバータ「FREQROLシリーズ」をはじめ、ロボット「MELFAシリーズ」、ACサーボ「MELSERVOシリーズ」、データ収集アナライザ「MELQIC IU1-1M20-D」、テンションコントローラ「LE7-40GU-L」、表示機「GOTシリーズ」、省エネデマンド監視サーバ「E-Energyシリーズ」など幅広い製品が影響を受けるという。 三菱電機では、同脆弱性の周知のため、JPCERTコーディネーションセンターへ報告。調整
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由(1/2 ページ) 新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。 テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター(NISC)はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。 具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用
【セキュリティ ニュース】F5「BIG-IP」の脆弱性狙う攻撃を国内で観測(1ページ目 / 全1ページ):Security NEXT
F5 Networks製のネットワーク機器「BIG-IP」シリーズに深刻な脆弱性「CVE-2020-5902」が見つかった問題で、国内において脆弱性を悪用するアクセスが観測されている。 今回明らかとなった「CVE-2020-5902」は、管理画面である「トラフィックマネジメントユーザーインタフェース(TMUI)」に明らかとなったもので、リモートよりコードを実行されるおそれがある脆弱性。悪用されると機器の制御を奪われるおそれがある。 脆弱性の実証コードが7月5日に公開されており、JPCERTコーディネーションセンターでは脆弱性を探索するスキャン行為や脆弱性の悪用を試みる通信を観測している。 またラックも、実証コードの公開直後より、脆弱性を狙った通信を同社セキュリティオペレーションセンターで観測していることを明らかにした。7月6日の11時ごろからは、特定の送信元から大量のスキャン行為が行われ、
マイクロソフト、「Windows Codecs Library」の脆弱性に対処--定例外パッチリリース
これら脆弱性は「Windows 10」と「Windows Server」に影響を及ぼすものであり、「CVE-2020-1425」と「CVE-2020-1457」という共通脆弱性識別子が割り当てられている。 Microsoftのセキュリティアドバイザリーによると、これら2つの脆弱性は、特定の仕掛けを施した画像ファイルを用いることで悪用が可能だという。 この脆弱性が悪用された場合、Windows Codecs Libraryを利用してマルチメディアコンテンツを処理するアプリなどが不正な形式の画像ファイルをオープンしようとした際に、不正なコードの実行を許してしまう可能性がある。その結果、攻撃者が「Windows」上で悪意あるコードを実行できるようになり、デバイスの乗っ取りにつながる可能性もある。 遠隔地からのコード実行(RCE)の危険性があると判断された、これら2つの脆弱性は同日にパッチがリリー
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
Googleは2020年6月18日(米国時間)、汎用ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開したと発表した。Tsunamiは、重大な脆弱(ぜいじゃく)性を高精度で検出するための拡張可能なプラグインシステムを備えている。現在はα版の前の段階(pre-alpha)にある。 Googleは、Tsunamiを開発した背景を次のように説明している。 「攻撃者がセキュリティ脆弱性や構成ミスを悪用し始めたら、企業は資産保護のために迅速に対応する必要がある。攻撃者が自動化への投資を拡大しているため、新たに見つかった重大な脆弱性に企業は数時間単位で対処しなければならなくなっている。これは、インターネットに接続された数千、あるいは数百万のシステムを持つ大企業にとって、大きな課題だ。そうしたハイパースケール環境では、セキュリティ脆弱性の検出と理想を言えば修正も、完全に自動化
IoT機器のセキュリティレベルを無償で診断、CCDSがイスラエル企業と提携
IoTセキュリティプラットフォームを展開するイスラエルのVDOO Connected Trustは、日本法人のビドゥジャパン株式会社の設立を発表。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進で提携することも明らかにした。 IoT(モノのインターネット)セキュリティプラットフォームを展開するイスラエルのVDOO Connected Trust(以下、VDOO)は2020年6月19日、オンラインで会見を開き、日本法人のビドゥジャパン株式会社(東京都港区)の設立を発表した。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進するために提携することも明らかにした。 VDOOは、2017年に設立されたIoTセキュリティに特化した企業だ。米国Palo Alto Networksに買収され
【セキュリティ ニュース】IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性(1ページ目 / 全3ページ):Security NEXT
ネットワーク接続機器で広く採用されているプロトコルスタック「Treck TCP/IP Stack」に、複数の深刻な脆弱性が明らかとなった。サプライチェーンを通じて多くの製品が同ソフトウェアを利用しており、影響が広がっている。 同ソフトウェアは、組み込みシステムにおいて「TCP/IPプロトコル」によるネットワーク接続機能を実装するために提供されているTreck製のライブラリ。 調整を経て、JSOFの研究者があわせて19件の脆弱性を公表した。リモートでコードを実行されたり、バックドアの設置、情報漏洩などにつながるおそれがある。同研究者は、これら脆弱性群を「Ripple20」と命名した。 ブロードキャストによってネットワーク内の脆弱な機器をすべて同時に乗っ取るといった攻撃や、NATをバイパスした攻撃シナリオなども想定されている。また今回判明した脆弱性のいくつかは、同プロトコルスタックと歴史的に関
TCP/IPライブラリに重大な脆弱性、世界で数億台のIoTデバイスや産業制御装置に影響
イスラエルのセキュリティ企業JSOFは、IoT(モノのインターネット)デバイスや産業制御装置などに幅広く使われているTCP/IPソフトウェアライブラリに、19件の脆弱(ぜいじゃく)性を発見したと発表した。 JSOFによると、脆弱性はTreckが開発したTCP/IPソフトウェアライブラリに存在する。同ライブラリは、過去20年で全世界に幅広く普及した。影響を受けるデバイスは数億台、あるいはそれ以上に及ぶとみられる。 広範囲の産業に影響――重大な脆弱性「Ripple20」への対処状況は
人気の高いオープンソースプロジェクトで脆弱性が増加--RiskSense調査
Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部 村上雅章 野崎裕子 2020-06-11 08:30 RiskSenseが公開した、オープンソースソフトウェアの脆弱性に関するレポート「The Dark Reality of Open Source」(オープンソースの暗たんたる現状)によると、人気のある54のオープンソースプロジェクトを分析した中で、共通脆弱性識別子(CVE)が発番された脆弱性は2018年の421件から、2019年の968件に増加していたという。 レポートによると、これらのプロジェクトでは2015年〜2020年3月に2694件の脆弱性が報告されていたという。 なお同レポートは、Linuxのほか、「WordPress」や「Drupal」をはじめとする、人気の高い無償ツールを調査対象外としている。というのも、そういったツールはたいていの場合、しっかりと
組織にとってリスクとなりつつあるOSS、脆弱性の情報公開が遅れる傾向
RiskSenseはこのほど、「Open Source Spotlight Report」において、50のオープンソース・ソフトウェア(OSS)・プロジェクトを調査した結果を公表した。脆弱性について調査が行われており、OSSが組織にとってリスクになりつつあると指摘している。 報告書の主なポイントは次のとおり。 OSSにおいて発見される脆弱性の数が歴史的なペースで増加している。 OSSの脆弱性情報がNVDに登録されるのが遅い。深刻度が緊急なものほど遅れる傾向が見られる。 脆弱性は開発、テスト、オーケストレーション、コンテナ、ワークロードなどすべてのフェーズに存在している。 オープンソーススポットライトレポート OSSはソフトウェア開発において重要な役割を担っている。特にライブラリは多くのソフトウェアで使用されており、こうしたライブラリに重大な脆弱性が存在した場合、影響を受けるソフトウェアの数
最新の「iOS 13.5」も脱獄できるツールが公開
ハッカー、セキュリティ研究者、リバースエンジニアからなるチーム「Unc0ver」が米国時間5月23日、「iOS」デバイス向けの新たなジェイルブレイク(脱獄)パッケージをリリースした。 Appleはセキュリティの観点から、「iPhone」をはじめとするiOSデバイスのデフォルト設定で、ユーザーに完全な権限を与えないようにしている。 Unc0verは23日、ジェイルブレイクソフトウェアの最新版「Unc0ver 5.0.0」をリリースした。このパッケージを使うと、iOSの最新版「iOS 13.5」を実行するデバイスを含むほとんどのiOSデバイスをルート化し、ロック解除することができる。 こうしたことが可能になるのは、Appleが認識していないiOSのゼロデイ脆弱性をUnc0ver 5.0.0が利用しているからだという。 そのゼロデイ脆弱性は、Unc0verのメンバーの1人(Pwn20wnd氏とし
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう
2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。 なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。 さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今
ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
Web会議サービス「Zoom」のWindowsクライアントに、ログイン情報を盗まれる恐れのある脆弱性があると、PC情報サイトの米Bleeping Computerが3月31日(現地時間)に報じた。 Zoomがサービス内で利用しているURLをハイパーリンクに変換する方法が問題という。URLだけでなくUNC(Universal Naming Convention、「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換する。不注意なユーザーがたとえばパブリックグループに投稿されたおもしろそうな名称のハイパーリンクをクリックすれば、Windowsがリモートファイルにアクセスしようとする過程でPCのユーザー名とパスワードのハッシュがリモート先から見えるようになるので、悪意ある攻撃者がこのハッシュを入手してユーザーのPCや参加するネットワークに侵入しようとする可
【セキュリティ ニュース】Linuxなどに含まれる「pppd」に脆弱性 - root権限でコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
モデム接続やPPPoE接続、VPN接続の「PPTP」など、ノード間の接続に用いる「Point-to-Point Protocol(PPP)」の接続セッションを管理する「pppd」に、深刻な脆弱性が含まれていることがわかった。 Linuxなどで広く採用されているPaul's PPP Packageの「pppd」に脆弱性「CVE-2020-8597」が明らかとなったもの。 「同2.4.8」から「同2.4.2」までが影響を受ける。 認証プロトコル「EAP(Extensible Authentication Protocol)」のパケットを処理する際、データサイズの検証処理に問題があり、バッファオーバーフローが生じるという。 脆弱性を悪用されると、任意のコードを実行されたり、サービス拒否に陥るおそれがある。認証に「EAP」を用いていない環境でもパケットを受け付け、脆弱性の影響を受ける可能性があるた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】トヨタ自動車の故障診断ツールに脆弱性 - ECU間の通信に判明(1ページ目 / 全1ページ):Security NEXT
https://jp.techcrunch.com/2020/07/02/2020-06-30-cyber-command-palo-alto-vpn-flaw/
ソニーの複数のBluetoothヘッドホンに脆弱性、第三者によるペアリングで音量変更などの操作が行われる恐れ 
https://jp.techcrunch.com/2020/05/27/2020-05-26-strandhogg-malicious-apps-android/
https://jp.techcrunch.com/2020/05/24/2020-05-23-hackers-iphone-new-jailbreak/
ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 ~現在は多くのソフトで修正済み
