米英豪政府のセキュリティ機関が共同で発表–悪用の多い脆弱性30件

今回は「米英豪政府のセキュリティ機関が共同で発表–悪用の多い脆弱性30件」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国のサイバーセキュリティー・インフラセキュリティー庁（CISA）、オーストラリアサイバーセキュリティセンター（ACSC）、英国の国家サイバーセキュリティセンター（NCSC）、米連邦捜査局（FBI）の4組織は、よく悪用されている脆弱性30件を共同のサイバーセキュリティアドバイザリーで公表した。これらの脆弱性は、2020年に悪質なサイバーアクターが悪用した主なCVE（共通脆弱性識別子）、2021年これまでに広く悪用されているCVEだ。そのうち1つは、2017年に明らかになったものだった。

　問題の脆弱性はCVE-2017-11882だ。この脆弱性の原因は「Microsoft Office」の数式エディタに存在するスタックバッファオーバーフローで、悪用されるとリモートからのコード実行が可能になる恐れがある。このエクスプロイトは、複数のベンダーが何年も前から言及し続けてきたものだ。

　4機関が米国時間7月28日に発表したアドバイザリーでは、この脆弱性をはじめとした、リストに掲載されている30の問題を解決するもっとも簡単な方法は、システムにパッチを適用することだと述べている。

　「サイバーアクターは、既知の（しかも多くの場合、古くから知られている）ソフトウェアの脆弱性を悪用し続けており、世界中の公的機関や民間企業を含む幅広いターゲットとしている。しかし、世界中の組織が提供されているパッチをシステムに適用し、集中型のパッチ管理システムを導入すれば、脆弱性を緩和することができる」と説明されている。

　「Microsoft Officeに影響するCVE-2017-11882などの既知の古い脆弱性が、パッチが適用されずに残っていて悪用できる限り、悪意を持ったサイバーアクターはそれらを悪用し続ける可能性が高い。攻撃者が既知の脆弱性を利用できれば、攻撃者の特定作業も複雑になり、攻撃のコストは削減され、リスクも最小化される。これは、独自の攻撃に利用するためのゼロデイエクスプロイトの開発に投資する必要がないためだ。しかもそれらのエクスプロイトは既知になれば、失われるリスクがある」

　トップ30のリストは、2020年までに公開された14件の古いCVEと、2021年に公開された16件のCVEに分けられている。

　古い脆弱性のリストは、クラウドや、リモートワーク、VPNに関係する4つのCVEから始まっている。

　4機関は、ベストプラクティスとしては、パッチを当てるほか、オーストラリアのACSCが公表している「Essential Eight（8つの必須対策）」と呼ばれる緩和策も実施すべきだと述べている。

トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ～Jvnが注意喚起 - 窓の杜

セキュリティを維持するため、それまでにデバイスの仕様準拠を求める 7月30日 17:28 Mozillaが開発するプログラミング言語「Rust」v1.54.0が公開 ほか

Information security - Wikipedia

Information Security Attributes: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are composed in three main portions, hardware, software and communications with the purpose to help identify and apply information security industry standards, as mechanisms of protection and prevention, at three levels or layers: physical, personal and organizational.

Nttドコモをかたる怪しいsms、偽セキュリティアプリをインストールしてしまった【被害事例に学ぶ、高齢者のための ...

被害事例に学ぶ、高齢者のためのデジタルリテラシー. それってネット詐欺ですよ! nttドコモをかたる怪しいsms、偽セキュリティアプリを ...

セキュリティ診断ツール・サービスおすすめ25選比較!有料・無料どちらも紹介 | マイナビニュース

セキュリティ診断とは、Webアプリケーションやネットワークなどのインフラ、OSやミドルウェアなどのプラットフォームに対して、擬似的に攻撃を行い、セキュリティの脆弱性を発見するツールやサービスのことです。この記事ではおすすめのセキュリティ診断ツール・サービスを有料・無料別に紹介します。

Meetup - We are what we do

Find groups that host online or in person events and meet people in your local community who share your interests.

米英豪政府のセキュリティ機関が共同で発表--悪用の多い脆弱性30件 - ZDNet Japan

米英豪の4つの政府機関が共同でアドバイザリーを公表し、よく悪用されている脆弱性30件のリストを明らかにした。

8割超が「翻訳スキルに不安」 ビジネスパーソンの6割が翻訳ツールのセキュリティを重視／Nttコム調査 ...

NTTコミュニケーションズは、グローバルでのビジネスコミュニケーションがますます増加するなか、業務で外国語を使用する10代から50代のビジネスパーソン500人を対象に実態調査を実施。その結果、有料翻訳...

問題は置き去りにされたまま、突如消失したロシアのサイバー犯罪集団Webサイト｜セキュリティ通信

【セキュリティ通信】ロシアを拠点に活動するサイバー犯罪集団「REvil」のWebサイトが消失。サイバー攻撃を受け、身代金を要求され、データをロックされた状態の企業もあるという。

2021-07-30のセキュリティニュース - セキュリティニュースログ

×215 From Stolen Laptop to Inside the Company Network — Dolos Group ×61 トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ～JVNが注意喚起 - 窓の杜 ×45 台湾のハッキング イスラエル製スパイウエア使用か - 産経ニュース ×26 LINE情報流出 国内のハッキング報告なし 官房長官: 日本経済新聞 ×12 Burp Suite Certified Practitioner紹介 - SSTエンジニアブログ ×11 JVNVU#94512552: Microsoft Windows 10におけるシステムフォ…

パッチ適用を：最も悪用された脆弱性トップ30について、米英豪が共同アドバイザリーを発表 | サイバーアラート ...

海外の最新サイバーセキュリティニュースを毎日更新。 マキナレコードが取り扱う「Silobreaker」が自動生成するニュース記事のハイライトを翻訳しています。

SecurityInsight | セキュリティインサイト

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ・ポリシー. 当社は、情報セキュリティ理念に基づき、次のとおり、情報セキュリティを確保し、業務を遂行します。. 1.情報セキュリティ管理に関する組織と体制を確立し、維持運営します。. 2.適正かつ適切な情報セキュリティ・ポリシー ...

富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画 (2021年7月30日 ...

東京商工会議所と連携し、中小企業のサイバーセキュリティ対策を支援7月30日富士フイルムビジネスイノベーション株式会社富士フイルムビジネスイノベーションが、「東商サイバーセキュリティコンソーシアム」に参...(2/3)

「東商サイバーセキュリティコンソーシアム」が本日発足 | 東京商工会議所のプレスリリース | 共同通信prワイヤー

　東京商工会議所（三村明夫会頭）は、中小企業のデジタルシフト推進委員会（委員長：金子眞吾副会頭・凸版印刷㈱会長）において、会員企業のサイバーセキュリティ対策支援を目的とした「東商サイバーセキュリティ...

ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

エヌ・ティ・ティ・メディアサプライ株式会社(本社：大阪府大阪市、代表取締役社長：横山 桂子、以下 NTTメディアサプライ)は、ネットワーク／セキュリティ／リモー…

サイベラム社、「車両セキュリティ&リスク評価業界」に於ける、今年度の最優秀企業としてフロスト&サリバン社に認定される：イザ!

Cybellum Ltd.自動車用サイバーセキュリティリスクアセスメントの業界リーダーであるサイベラム社（CEO Slava Bronfman、以下当社）は、2…

[お礼]SG試験終わりました｜情報セキュリティマネジメント試験.com

情報セキュリティマネジメント用語辞典. セキュリティ分野の問題500問 [Lv.1] ITパスポート編; 予想問題1; 予想問題2; 予想問題3 [Lv.2] 基本情報技術者編 予想問題4; 予想問題5 [Lv.3] 応用情報技術者編 予想問題6; 予想問題7 [Lv.4] 情報セキュリティSP編; 予想問題8 ...

ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

エヌ・ティ・ティ・メディアサプライ株式会社のプレスリリース：ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をNTTメディアサプライが開設

通販一元管理システム「GoQSystem」 セキュリティ強化のため、IP制限機能を追加｜店舗運営｜新着情報｜ネット ...

株式会社GoQSystemが開発・提供する、通販一元管理システム「GoQSystem」はセキュリティ強化のため、「IP制限機能」を追加した。 IPアドレス制限とは、接続元のIPアドレスを使ってアクセスを制限する機能だ。例えば、 続きは ...

外国株式・海外ETF｜SBI証券

外国株式ならsbi証券。外国株式（米国、中国、韓国、ロシア、ベトナム、インドネシア、シンガポール、タイ、マレーシア）、海外etf、ロボアドバイザーなどをご紹介。米国株式を活用して金利が受け取れる米国貸株サービス、定期買付サービスにも注目。

ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメデ..（エヌ・ティ・ティ・メディアサプライ ...

エヌ・ティ・ティ・メディアサプライ株式会社(本社：大阪府大阪市、代表取締役社長：横山 桂子、以下 NTTメディアサプライ)は、ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう) https://www.doracoon.net/navi/ 」を2021年7月14日にリリースしました。

ネットワーク／セキュリティ／リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

　エヌ・ティ・ティ・メディアサプライ株式会社(本社：大阪府大阪市、代表取締役社長：横山 桂子、以下 NTTメディアサプライ)は、ネットワーク／セキュリティ／リモ…

「医療機器ネットワークセキュリティ登録技術審査ガイドライン」の要約 : Crdb

CRDBは、日本製品を中国市場に参入・拡販する際に避けては通れない法律・規定・技術規格を中心に、中国の製品安全・衛生或いは環境保護等の許認可を取得に関するすべての内容を網羅している日本で唯一の中国製品規制データバンクです。

バイデン政権、重要インフラのサイバーセキュリティ強化に向け対策求める - IT News Checker

Joe Biden米大統領は米国時間7月28日、重要インフラのサイバーセキュリティに関する覚書に署名した。米...

マルチクラウド環境におけるセキュリティの死角に目を配るには - IT News Checker

米国連邦政府は、将来に向けた連邦IT調達改革法（FITARA法）を改正するに当たり、連邦政府のもと各政府機関...

上司「セキュリティソフトなにがいーい？」俺「カスペ…」周り「「「「ウイルスバスター!」」」」｜令和の話題

上司「セキュリティソフトなにがいーい？」俺「カスペ…」周り「「「「ウイルスバスター!」」」」｜パソコン、ゲーム、アニメ、マンガの話題からビジネス、投資、雑談まで、2ch・にちゃんねる（5ch・ごちゃんねる）の話題をまとめました。

「東商サイバーセキュリティコンソーシアム」が本日発足 - SankeiBiz（サンケイビズ）：自分を磨く経済情報サイト

東商とサイバーセキュリティ対策ノウハウを持つ大手5社初連携！サイバーリスクにさらされる中小企業を支援2021年7月30日東京商工会議所東京商工会議所（三村明夫会…

Saseソリューションに関わるユーザー調査 - ハイブリッドワーク時代に求められる企業のセキュリティ対策 - Pr ...

SASEソリューションに関わるユーザー調査 - ハイブリッドワーク時代に求められる企業のセキュリティ対策

富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画｜共同通信prワイヤー｜Fm ...

FM福岡（FM FUKUOKA）の共同通信「富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画」ページです。