ウィズセキュアとMend.io、アプリケーションセキュリティプラットフォームの脆弱性に対処

今回は「ウィズセキュアとMend.io、アプリケーションセキュリティプラットフォームの脆弱性に対処」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　フィンランドを拠点とするWithSecureは現地時間9月5日、Mend.ioのアプリケーションセキュリティプラットフォームにおいて発見された脆弱（ぜいじゃく）性について、セキュリティアドバイザーを発行した。

　Mend.ioは、ソフトウェア開発者がコードライブラリーに発見された脆弱性やセキュリティ問題を特定し、修正するためのサポートを提供するプラットフォーム。Fortune 100の25％を含む1000社以上の企業を顧客に抱えている。

　同脆弱性は、WithSecureが5月にMend.ioのSecurity Assertion Markup Language（SAML）ログインオプションで発見したもの。Mend.ioのユーザーが攻撃者として行動しようとする場合、脆弱なSAML実装を使用し、ターゲットから有効な電子メールアドレスを推測またはその他の方法で取得することで、同じSaaS環境にある他のMend.ioユーザーのサブセットのデータにアクセスできる可能性があった。Mend.ioには多数のSaaS環境があり、多くの顧客が隔離された環境にあるという。

　Mend.ioのアカウントに含まれるデータは企業によって異なるが、アプリケーションセキュリティプラットフォームとして使用されていることから、攻撃者は、Mend.ioのデータから特定できる脆弱なソフトウェアに対して標的型攻撃を計画するため、情報を利用する可能性があるとWithSecureは説明する。

　WithSecureは、Mend.ioと連絡を取っており、両社は修正のために協力体制を構築。パッチを同プラットフォームに実装済みだという。