米英豪政府のセキュリティ機関が共同で発表–悪用の多い脆弱性30件

今回は「米英豪政府のセキュリティ機関が共同で発表–悪用の多い脆弱性30件」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)、オーストラリアサイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)、米連邦捜査局(FBI)の4組織は、よく悪用されている脆弱性30件を共同のサイバーセキュリティアドバイザリーで公表した。これらの脆弱性は、2020年に悪質なサイバーアクターが悪用した主なCVE(共通脆弱性識別子)、2021年これまでに広く悪用されているCVEだ。そのうち1つは、2017年に明らかになったものだった。

 問題の脆弱性はCVE-2017-11882だ。この脆弱性の原因は「Microsoft Office」の数式エディタに存在するスタックバッファオーバーフローで、悪用されるとリモートからのコード実行が可能になる恐れがある。このエクスプロイトは、複数のベンダーが何年も前から言及し続けてきたものだ。

 4機関が米国時間7月28日に発表したアドバイザリーでは、この脆弱性をはじめとした、リストに掲載されている30の問題を解決するもっとも簡単な方法は、システムにパッチを適用することだと述べている。

 「サイバーアクターは、既知の(しかも多くの場合、古くから知られている)ソフトウェアの脆弱性を悪用し続けており、世界中の公的機関や民間企業を含む幅広いターゲットとしている。しかし、世界中の組織が提供されているパッチをシステムに適用し、集中型のパッチ管理システムを導入すれば、脆弱性を緩和することができる」と説明されている。

 「Microsoft Officeに影響するCVE-2017-11882などの既知の古い脆弱性が、パッチが適用されずに残っていて悪用できる限り、悪意を持ったサイバーアクターはそれらを悪用し続ける可能性が高い。攻撃者が既知の脆弱性を利用できれば、攻撃者の特定作業も複雑になり、攻撃のコストは削減され、リスクも最小化される。これは、独自の攻撃に利用するためのゼロデイエクスプロイトの開発に投資する必要がないためだ。しかもそれらのエクスプロイトは既知になれば、失われるリスクがある」

 トップ30のリストは、2020年までに公開された14件の古いCVEと、2021年に公開された16件のCVEに分けられている。

 古い脆弱性のリストは、クラウドや、リモートワーク、VPNに関係する4つのCVEから始まっている。

 4機関は、ベストプラクティスとしては、パッチを当てるほか、オーストラリアのACSCが公表している「Essential Eight(8つの必須対策)」と呼ばれる緩和策も実施すべきだと述べている。

トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ~Jvnが注意喚起 - 窓の杜

セキュリティを維持するため、それまでにデバイスの仕様準拠を求める 7月30日 17:28 Mozillaが開発するプログラミング言語「Rust」v1.54.0が公開 ほか

Information security - Wikipedia

Information Security Attributes: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are composed in three main portions, hardware, software and communications with the purpose to help identify and apply information security industry standards, as mechanisms of protection and prevention, at three levels or layers: physical, personal and organizational.

Nttドコモをかたる怪しいsms、偽セキュリティアプリをインストールしてしまった【被害事例に学ぶ、高齢者のための ...

被害事例に学ぶ、高齢者のためのデジタルリテラシー. それってネット詐欺ですよ! nttドコモをかたる怪しいsms、偽セキュリティアプリを ...

セキュリティ診断ツール・サービスおすすめ25選比較!有料・無料どちらも紹介 | マイナビニュース

セキュリティ診断とは、Webアプリケーションやネットワークなどのインフラ、OSやミドルウェアなどのプラットフォームに対して、擬似的に攻撃を行い、セキュリティの脆弱性を発見するツールやサービスのことです。この記事ではおすすめのセキュリティ診断ツール・サービスを有料・無料別に紹介します。

Meetup - We are what we do

Find groups that host online or in person events and meet people in your local community who share your interests.

米英豪政府のセキュリティ機関が共同で発表--悪用の多い脆弱性30件 - ZDNet Japan

米英豪の4つの政府機関が共同でアドバイザリーを公表し、よく悪用されている脆弱性30件のリストを明らかにした。

8割超が「翻訳スキルに不安」 ビジネスパーソンの6割が翻訳ツールのセキュリティを重視/Nttコム調査 ...

NTTコミュニケーションズは、グローバルでのビジネスコミュニケーションがますます増加するなか、業務で外国語を使用する10代から50代のビジネスパーソン500人を対象に実態調査を実施。その結果、有料翻訳...

問題は置き去りにされたまま、突如消失したロシアのサイバー犯罪集団Webサイト|セキュリティ通信

【セキュリティ通信】ロシアを拠点に活動するサイバー犯罪集団「REvil」のWebサイトが消失。サイバー攻撃を受け、身代金を要求され、データをロックされた状態の企業もあるという。

2021-07-30のセキュリティニュース - セキュリティニュースログ

×215 From Stolen Laptop to Inside the Company Network — Dolos Group ×61 トレンドマイクロ製企業向けセキュリティ製品に「緊急」の脆弱性 ~JVNが注意喚起 - 窓の杜 ×45 台湾のハッキング イスラエル製スパイウエア使用か - 産経ニュース ×26 LINE情報流出 国内のハッキング報告なし 官房長官: 日本経済新聞 ×12 Burp Suite Certified Practitioner紹介 - SSTエンジニアブログ ×11 JVNVU#94512552: Microsoft Windows 10におけるシステムフォ…

パッチ適用を:最も悪用された脆弱性トップ30について、米英豪が共同アドバイザリーを発表 | サイバーアラート ...

海外の最新サイバーセキュリティニュースを毎日更新。 マキナレコードが取り扱う「Silobreaker」が自動生成するニュース記事のハイライトを翻訳しています。

SecurityInsight | セキュリティインサイト

SecurityInsight(セキュリティインサイト)は情報セキュリティを中心としたエンタープライズITの情報サイトです。

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ・ポリシー. 当社は、情報セキュリティ理念に基づき、次のとおり、情報セキュリティを確保し、業務を遂行します。. 1.情報セキュリティ管理に関する組織と体制を確立し、維持運営します。. 2.適正かつ適切な情報セキュリティ・ポリシー ...

富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画 (2021年7月30日 ...

東京商工会議所と連携し、中小企業のサイバーセキュリティ対策を支援7月30日富士フイルムビジネスイノベーション株式会社富士フイルムビジネスイノベーションが、「東商サイバーセキュリティコンソーシアム」に参...(2/3)

「東商サイバーセキュリティコンソーシアム」が本日発足 | 東京商工会議所のプレスリリース | 共同通信prワイヤー

 東京商工会議所(三村明夫会頭)は、中小企業のデジタルシフト推進委員会(委員長:金子眞吾副会頭・凸版印刷㈱会長)において、会員企業のサイバーセキュリティ対策支援を目的とした「東商サイバーセキュリティ...

ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

エヌ・ティ・ティ・メディアサプライ株式会社(本社:大阪府大阪市、代表取締役社長:横山 桂子、以下 NTTメディアサプライ)は、ネットワーク/セキュリティ/リモー…

サイベラム社、「車両セキュリティ&リスク評価業界」に於ける、今年度の最優秀企業としてフロスト&サリバン社に認定される:イザ!

Cybellum Ltd.自動車用サイバーセキュリティリスクアセスメントの業界リーダーであるサイベラム社(CEO Slava Bronfman、以下当社)は、2…

[お礼]SG試験終わりました|情報セキュリティマネジメント試験.com

情報セキュリティマネジメント用語辞典. セキュリティ分野の問題500問 [Lv.1] ITパスポート編; 予想問題1; 予想問題2; 予想問題3 [Lv.2] 基本情報技術者編 予想問題4; 予想問題5 [Lv.3] 応用情報技術者編 予想問題6; 予想問題7 [Lv.4] 情報セキュリティSP編; 予想問題8 ...

ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

エヌ・ティ・ティ・メディアサプライ株式会社のプレスリリース:ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をNTTメディアサプライが開設

通販一元管理システム「GoQSystem」 セキュリティ強化のため、IP制限機能を追加|店舗運営|新着情報|ネット ...

株式会社GoQSystemが開発・提供する、通販一元管理システム「GoQSystem」はセキュリティ強化のため、「IP制限機能」を追加した。 IPアドレス制限とは、接続元のIPアドレスを使ってアクセスを制限する機能だ。例えば、 続きは ...

外国株式・海外ETF|SBI証券

外国株式ならsbi証券。外国株式(米国、中国、韓国、ロシア、ベトナム、インドネシア、シンガポール、タイ、マレーシア)、海外etf、ロボアドバイザーなどをご紹介。米国株式を活用して金利が受け取れる米国貸株サービス、定期買付サービスにも注目。

ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメデ..(エヌ・ティ・ティ・メディアサプライ ...

エヌ・ティ・ティ・メディアサプライ株式会社(本社:大阪府大阪市、代表取締役社長:横山 桂子、以下 NTTメディアサプライ)は、ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう) https://www.doracoon.net/navi/ 」を2021年7月14日にリリースしました。

ネットワーク/セキュリティ/リモートワークに役立つ情報を発信するオウンドメディア「活用ナビ 楽空(らくう)」をntt ...

 エヌ・ティ・ティ・メディアサプライ株式会社(本社:大阪府大阪市、代表取締役社長:横山 桂子、以下 NTTメディアサプライ)は、ネットワーク/セキュリティ/リモ…

「医療機器ネットワークセキュリティ登録技術審査ガイドライン」の要約 : Crdb

CRDBは、日本製品を中国市場に参入・拡販する際に避けては通れない法律・規定・技術規格を中心に、中国の製品安全・衛生或いは環境保護等の許認可を取得に関するすべての内容を網羅している日本で唯一の中国製品規制データバンクです。

バイデン政権、重要インフラのサイバーセキュリティ強化に向け対策求める - IT News Checker

Joe Biden米大統領は米国時間7月28日、重要インフラのサイバーセキュリティに関する覚書に署名した。米...

マルチクラウド環境におけるセキュリティの死角に目を配るには - IT News Checker

米国連邦政府は、将来に向けた連邦IT調達改革法(FITARA法)を改正するに当たり、連邦政府のもと各政府機関...

上司「セキュリティソフトなにがいーい?」俺「カスペ…」周り「「「「ウイルスバスター!」」」」|令和の話題

上司「セキュリティソフトなにがいーい?」俺「カスペ…」周り「「「「ウイルスバスター!」」」」|パソコン、ゲーム、アニメ、マンガの話題からビジネス、投資、雑談まで、2ch・にちゃんねる(5ch・ごちゃんねる)の話題をまとめました。

「東商サイバーセキュリティコンソーシアム」が本日発足 - SankeiBiz(サンケイビズ):自分を磨く経済情報サイト

東商とサイバーセキュリティ対策ノウハウを持つ大手5社初連携!サイバーリスクにさらされる中小企業を支援2021年7月30日東京商工会議所東京商工会議所(三村明夫会…

Saseソリューションに関わるユーザー調査 - ハイブリッドワーク時代に求められる企業のセキュリティ対策 - Pr ...

SASEソリューションに関わるユーザー調査 - ハイブリッドワーク時代に求められる企業のセキュリティ対策

富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画|共同通信prワイヤー|Fm ...

FM福岡(FM FUKUOKA)の共同通信「富士フイルムビジネスイノベーションが、 「東商サイバーセキュリティコンソーシアム」に参画」ページです。

COMMENTS


54520:
2021-07-31 23:45

スマホのセキュリティアプリESET Mobile Securityをインストールし、こちらのコードを入力でプレミアム製品版の利用が1ヶ月無料に ! 製品版無料コード 〘G42GJC59〙 ✰利用方法✰ ESETモバイルセキュリ…

54521:
2021-07-31 21:12

Windows 11に必須な「TPM」で保護されたPCから情報を盗み出す手口をセキュリティ企業が解説

54522:
2021-07-31 21:02

車両盗難が相次ぐ中 なかなか高額なセキュリティ等を入れる時間やお金が厳しい方へ ネットで届いてスマホで位置を管理出来る最高のGPS発信器紹介します しかもお値段17800円税込 Googleマップで日本どころか世界まで追跡出来る優れ物 万が一に盗…

54514:
2021-07-31 19:17

?TeamARASHI豆知識? 《お勧め設定》 ①左上『≡』 ②『設定とプライバシー』 ③『プライバシーとセキュリティ』 ④『カスタマイズとデータ』 ➡️オフにする! これでシャドウバンを受けにくくなる らしい← ht…

54515:
2021-07-31 13:33

セキュリティでもいち歯車としては職場を変えることって魅力的なんだよな

54526:
2021-07-31 12:42

個人用の方は別に良いけど、フォロワーが増えていくアカウントの方はしっかりセキュリティ対策するべきだと改めて感じた。TikTokの方も2段間認証にしておこう。

54524:
2021-07-31 10:48

$PEARarZap セキュリティOK ✨ そしてburn?????

54517:
2021-07-31 10:42

Windows 11に必須な「TPM」で保護されたPCから情報を盗み出す手口をセキュリティ企業が解説 - ndows

54513:
2021-07-31 08:31

Windows 11に必須な「TPM」で保護されたPCから情報を盗み出す手口をセキュリティ企業が解説

54523:
2021-07-31 08:28

先日、SoftBankで使っていたGoogle Pixel 5をSIMフリーにてY!mobileに乗り換えたら、SoftBankで使っていたセキュリティソフトが使えなくなりました。 Y!mobileにもS…

54518:
2021-07-31 06:04

印刷やExcel形式でのダウンロード機能などデフォルトで備わってる機能が豊富だし、見た目の細かい要望とかもすぐ対応できる。マクロの実行はGoogleのバックエンドで行われるので、通信内容は見えないしセキュリティ面も比較的安心。 デメリッ…

54525:
2021-07-31 03:59

今はETC品薄ですからね(笑)(笑) とりあえず新セキュリティ対応ETCにするつもりで計画してみます?

54519:
2021-07-31 03:38

そもそもウイルスに注入されたプログラムをそのまま実行しちゃうとか、細胞のセキュリティ、ザルすぎね?ちょっと神様、セキュリティ設計とか勉強しなおしたほうがいい。

54516:
2021-07-31 00:32

その2年後、Blizzardの方からとあるセキュリティ関連のコンサルティングファームに「うちで働けるいい人しらない?」と問い合わせがありましたが、なんと前述の女性がその会社のCOO(最高執行責任者)に就任していたのです。そして彼女は過去の出来事をCEOに報告しました。

Recommended

TITLE
CATEGORY
DATE
Twitterで「♯シンエヴァ」を付けると初号機の絵文字が出現
くらテク
2021-07-21 21:58
[速報]オラクルとAWSが戦略的提携で「Oracle Database@AWS」の提供を発表
AWS
2024-09-11 11:10
Lyftが調整後EBITDAで初の黒字を達成、事業がコロナ打撃からリバウンド
モビリティ
2021-08-05 14:28
アトラシアン、「Confluence」を更新版公開–深刻な脆弱性を修正
IT関連
2022-06-08 11:36
デジタル庁、新型コロナワクチン接種状況のダッシュボードとオープンデータをリニューアル
IT関連
2022-01-26 20:15
インシデントや不正侵入が増加する一方、予算や人材は不足–KPMGコンサルティング
IT関連
2022-01-22 20:51
アジア太平洋地域の企業、セキュリティ対策が万全は38%–Cloudflare調査
IT関連
2023-09-05 14:52
三井住友銀のソースコード流出、埼玉県は関係なし 県庁所在地が含まれていただけ 県が調査【追記あり】
セキュリティ
2021-02-03 20:01
プチプチが進化! 手でスパッと切れる「スパスパ」誕生
くらテク
2021-07-07 07:49
地方政府機関や公共サービス狙うランサムウェア攻撃、FBIが注意喚起
IT関連
2022-04-05 15:09
「脱ハンコ」に続き……河野氏「脱FAX」 霞が関のテレワーク阻害要因を取り除けるか
IT関連
2021-04-28 03:26
Visional、ビズリーチの人材活用システムにダッシュボード機能を追加
IT関連
2023-06-20 11:16
インドネシアの貯蓄・投資アプリのPluangがプレシリーズBで約21.8億円の資金を調達
フィンテック
2021-03-24 19:48
Apple、デベロッパーに「Developer Transition Kit」返却要請を開始 200ドルクーポン付き
アプリ・Web
2021-02-07 01:10