SolarWinds製品に3件の深刻な脆弱性–修正済み

今回は「SolarWinds製品に3件の深刻な脆弱性–修正済み」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバーセキュリティ企業Trustwaveの研究者らは米国時間2月3日、大規模なハッキング攻撃の余波も冷めやらぬSolarWindsの製品に、深刻だが悪用されていない3件の脆弱性があったことを発表した。これらの新たな脆弱性はすでにパッチが適用されており、ロシア諜報機関との関連性が疑われている2020年3月からの侵害とは無関係だという。

 Trustwaveの研究者らは、これらの脆弱性を攻撃者がどのように悪用する可能性があったのか、その技術的な詳細については明らかにしなかった。SolarWindsのソフトウェアは、連邦政府、州、地方の政府機関や民間企業の多数のシステムにインストールされているため、同社製品でセキュリティ侵害が発見されて以来、ハッカーがその悪用方法を探そうとしていた可能性がある。

 Trustwaveの脅威インテリジェンスマネージャーであるKarl Sigler氏は、「SolarWindsに(攻撃が)集中しているため、これらのパッチサイクルに注意を払うことが非常に重要だ」と語った。同社は9日にさらなる情報を公開するという。

 SolarWindsは声明で、脆弱性は1月に修正済みだと述べ、「全てのソフトウェア製品には、程度の差こそあれ何らかの脆弱性があるのが一般的だが、現在SolarWindsへの注目が高まっていることは理解している」と付け加えた。

 3件の脆弱性のうち最も深刻なものが悪用された場合、攻撃者はSolarWindsの「Orion」プラットフォームで動作する「User Device Tracker」を使用しているシステムで、自身のコードを実行できた可能性がある。つまりハッカーは、監視ソフトや悪意のあるコードをインストールして、自由にシステムにアクセスできる機会を得ていたかもしれない。また、この脆弱性は被害者の内部システムにアクセスすることなく、リモートから悪用できたという点で深刻だ。

 2つ目の脆弱性は、ハッカーが被害者のOrionプログラムを乗っ取り、そこに保存されているファイルにアクセスできていた可能性があるというものだ。そして3つ目の脆弱性により、SolarWindsのServ-U FTP製品を通じて、被害者のコンピューターやサーバーにあるファイルにアクセスが可能になっていたかもしれない。

 これら2つの脆弱性は、攻撃者が被害者のネットワーク内から、ソフトウェアが動作しているサーバーにログインする必要があったため、悪用するのは困難だっただろう。しかし、例えばハッカーがフィッシング攻撃でユーザーのパスワードを盗んだ場合、脆弱性を悪用できた可能性がある。

 SolarWindsの声明は、以下の通り。

Esetの法人向けセキュリティ製品の最新版 - テレワークリスク対策 | Tech+

キヤノンマーケティングジャパン(キヤノンMJ)は2月3日、法人向けエンドポイントセキュリティ製品「ESET Endpoint Protection シリーズ」のWindows用プログラムおよび統合管理システムの新バージョンV8の提供を同10日から開始すると発表した。

【情報セキュリティサミット開催決定】10社以上の注⽬のセキュリティツールをスピーディーに知れるオンライン展⽰会 ...

LRM株式会社のプレスリリース(2021年2月3日 12時00分) 情報セキュリティサミット開催決定 10社以上の注目のセキュリティツールをスピーディーに知れるオンライン展示会

キヤノンMJ、法人向けセキュリティ製品「ESET Endpoint Protectionシリーズ」の新バージョンを ...

キヤノンマーケティングジャパン株式会社(以下、キヤノンMJ)は3日、法人向けエンドポイントセキュリティ製品「ESET Endpoint Protectionシリーズ ...

デジタルデータソリューション、情報セキュリティ会社勤務者に聞いたセキュリティ対策に関するアンケート調査の結果を発表 ...

SecurityInsight(セキュリティインサイト)は情報セキュリティを中心としたエンタープライズITの情報サイトです。

Amazon.co.jp: セキュリティテープ

サンワサプライセキュリティテープ(デュアルック25mm幅・20m)LB-SLTP25. 5つ星のうち2.9 11 ¥756 ¥756. 8ポイント(1%)

代金は見つかった脆弱性の分だけ 成果報酬型セキュリティ監査事業提供開始 | ScanNetSecurity

株式会社techfundは2月2日、成果報酬型セキュリティ監査事業の提供を開始したと発表した。 同社では既に、プライバシー保護ブロックチェーンプロジェクトのqurasや、日本円ステーブルコインのjpycをはじめ、海外の暗号資産取引システムや、ウォレット、トークンなど各種ブロックチェーン関連 ...

「Google Chrome 88」に6件のセキュリティ修正 ~時刻が正しく表示されない問題にも対処 - 窓の杜

米Googleは2月2日(現地時間)、デスクトップ向け「Google Chrome」の最新安定版v88..4324.146を公開した。6件の脆弱性を修正したセキュリティ ...

【2/25】オンラインセミナー「 セキュリティ対策の始め方:事例に学ぶ 10 のポイント」を開催いたします ...

あらゆるシステムの情報管理が可能 | System Answer G3 は、さまざまなシステムの状態を正確かつ詳細に把握することができます。監視対象は、社内のネットワーク/サーバーからデータセンター、プライベートクラウド/パブリッククラウド、仮想環境まで多岐にわたります。各種機器の稼働状況や性能情報を収集することにより、システム全体を包括して一元監視することが可能となります。

汎用暗号化ライブラリLibgcryptに緊急のセキュリティ脆弱性、すぐにアップデートを - ITmedia エンタープライズ

暗号化ライブラリ「Libgcrypt」に緊急リリースがあった。公開されたばかりのLibgcrypt 1.9.0にセキュリティ脆弱性が発見されたためだ。深刻度の評価値はまだ公開されていないが、脆弱性の種類と攻撃の容易さを考慮すると、深刻度は高い値になる可能性が高い。

Amazon.co.jp: 電池式防犯カメラ

【2020新型 超高画質】 トレイルカメラ 防犯カメラ 屋外カメラ 監視カメラ 電池式 wifi機能 暗視カメラ 120°撮影範囲 人感センサー ip66防水防塵 野外用 2000万画素 夜間赤外線ライト搭載 動物撮影 野外監視 配線不要 迷彩 カモフラージュ 18ヶ月保証 日本語取扱説明書

【情報セキュリティサミット開催決定】10社以上の注目のセキュリティツールをスピーディーに知れるオンライン展示会 ...

LRM株式会社10社以上が連続5分プレゼン/情報セキュリティやサイバーセキュリティ分野で注目の企業多数/視聴無料LRM株式会社(以下 LRM、兵庫県神戸市、代表…

Google Chrome 88公開。セキュリティ強化やパフォーマンス向上を実施。|セキュリティ通信

【セキュリティ通信】米Googleは1月19日、Webブラウザ「Google Chrome」の最新バージョン88(バージョン88.0.4324.96)をWindows、Mac、Linux向けに公開した。今回の更新では、パスワード管理機能の強化、拡張機能の仕様変更によるセキュリティ強化、パフォーマンスの向上などを実施している。

【セキュリティ ニュース】Apple、macOS向けにアップデート - ゼロデイ脆弱性3件に対処(1ページ目 / 全 ...

Appleは、Mac向けの最新OSとなる「macOS Big Sur 11.2」やセキュリティアップデート「Security Update 2021-001 Catalina」「Security Update 2021-001 Mojave」をリリースした。:Security NEXT

サイバーセキュリティクラウド、「サイバー攻撃検知レポート2020」を発表 〜コロナ禍の2020年は過去3年間で最多の ...

株式会社サイバーセキュリティクラウド(本社:東京都渋谷区、代表取締役社長 兼 CTO:渡辺洋司、以下「当社」)は、2020年(2020年1月1日〜12月31日)を対象とした、サイバー攻撃検知レポートを発表いたします。なお、本データは当社が提供する、Webサイトへのサイバー攻撃を可視化・遮断 ...

Armのセキュリティ認証「PSA Certified」をリッチOSに広げる「PARSEC」とは:Arm最新動向報告 ...

Armが開催した年次イベント「Arm DevSummit 2020」の発表内容をピックアップする形で同社の最新動向について報告する本連載。今回は、「PARSEC」と「PSA Certified」を中心としたセキュリティ周りのアップデートについて紹介する。 (1/3)

【情報セキュリティサミット開催決定】10社以上の注目のセキュリティツールをスピーディーに知れるオンライン展示会 ...

神戸経済新聞は、広域神戸圏のビジネス&カルチャーニュースをお届けするニュースサイトです。イベントや展覧会・ライブなどのカルチャー情報はもちろん、ニューオープンの店舗情報から地元企業やソーシャルビジネスの新しい取り組み、エリアの流行・トレンドまで、地元のまちを楽しむ「ハッピーニュース」をお届けしています。

イベント案内 Ccds

CCDS IoTセキュリティシンポジウム2021 13:00~13:05 開会挨拶 13:05~13:45 基調講演 「Cyber New Normalにおけるサイバーセキュリティ政策」 経済産業省サイバーセキュリティ・情報化審議官

Wadaxレンタルサーバーのサービス概要 Wadaxレンタルサーバーは 「セキュリティ」と「サポート」に関して万全の ...

WADAXレンタルサーバーのサービス概要WADAXレンタルサーバーは「セキュリティ」と「サポート」に関して万全の体制を用意しており、ビジネス用途で人気の高いレンタルサーバーです。主に法人(ビジネス)向けとして販売されている為、レンタル料金は他社と比較すると少し高めですが「セキュリティ」と「サポート」などの安定性はトップクラスです!,プロが設計した美しいデザイン、100種類以上の美しいデザインテンプレート、専門知識不要、ドラッグ&ドロップで直感的なホームページ作成、自分好みにカスタマイズしたホームページを作れます必要な機能が自動でセットアップ、ネットショップもかんたん開設、

シスコ、「2021年セキュリティ成果調査」の日本語版を発表(2021年2月3日)|BIGLOBEニュース

シスコシステムズは2月3日、世界25カ国(アジア太平洋地域(APJC)では13カ国が参加)、4,800人の回答者の協力を得てサイバーセキュリティの調査行い、その…(2021年2月3日 14時42分35秒)

シスコ、「2021年セキュリティ成果調査」の日本語版を発表:マピオンニュース

マピオンが提供するマピオンニュースへようこそ。シスコシステムズは2月3日、世界25カ国(アジア太平洋地域(APJC)では13カ国が参加)、4,800人の回答者の協力を得てサイバーセキュリティの調査行い、その...

政府、「ラブライブ!」で啓発 サイバーセキュリティ月間:北海道新聞 どうしん電子版

 政府は1日、人気アニメ「ラブライブ!サンシャイン!!」と連携し「サイバーセキュリティ月間」の啓発活動を開始した。3月18日まで。若年層を中心に広くサイバー攻撃対策の意識を高めてもらう狙い。 アニ...

ASCII.jp:受取請求書クラウド「sweeep」が情報セキュリティマネジメントシステム(ISMS)の国際規格認証を取得

受取請求書クラウド「sweeep」が情報セキュリティマネジメントシステム(ISMS)の国際規格認証を取得

シスコ、「2021年セキュリティ成果調査」の日本語版を発表(マイナビニュース) - goo ニュース

シスコシステムズは2月3日、世界25カ国(アジア太平洋地域(APJC)では13カ国が参加)、4,800人の回答者の協力を得てサイバーセキュリティの調査行い、その成果として2つの...

ヤフオク! - 最終値下げ カーメイト 車用 カーセキュリティ ...

最終値下げ!カーメイト 車用 カーセキュリティ ナイトシグナル EZ ブルー SQ39商品説明型番:SQ39 ブランド: カーメイト(CARMATE) □支払詳細Yahoo!かんたん決済□発送詳細~以下ご理解の上、ご入札ください。~・送料は一律5500円です。※新型ウイルスの影響により、発送・配送

ワクチン接種状況管理のための新システムへのデータ移動はusbメモリ経由? | スラド セキュリティ

菅義偉首相は2日夜に記者会見を行い、栃木県を以外の10都府県に関しては緊急事態宣言を3月7日まで延長すると表明した。そんな中、政府はのワクチン接種時の個人情報を一元管理する新システムの導入を進めている。とくに厚労省の承認が12日にも行われる見込みのファイザー製に関しては2回の接種が必要なため、摂取時期などの...

セキュリティ・アプリケーションエンジニア(3343490) | リクルートのハイクラス転職・求人サービス ...

CAREER CARVER(キャリアカーバー)はリクルートキャリアが運営する、ハイクラス・エグゼクティブ限定の会員制転職サイトです。ハイクラス・エグゼクティブの方にご満足いただくために、厳選した優良なヘッドハンターだけがサービスに登録しています。

2021年2月3日 Canonical,セキュリティを強化したIoTシステム「Ubuntu Core 20」を ...

Canonicalは2月2日,「Ubuntu 20.04 LTS(開発コード"Foscal Fossa")」をベースにIoTコンピューティングに最適化した「Ubuntu Core 20」の一般提供を開始した。

【情報セキュリティサミット開催決定】10社以上の注目のセキュリティツールをスピーディーに知れるオンライン展示会 ...

10社以上が連続5分プレゼン/情報セキュリティやサイバーセキュリティ分野で注目の企業多数/視聴無料 LRM株式会社(以下 LRM、兵庫県神戸市、代表取締役CEO 幸松哲也)は、サイバー攻撃が世界的にも我が国でも増加傾向であることから、3月10日(水)に情報セキュリティサミットを初開催します。ここから各社の情報セキュリテ...

「新型レヴォーグ用オリジナルledパーツ!第2弾発売開始!!」☆Aquaのブログ | ☆Aqua☆ セキュリティ ...

「新型レヴォーグ用オリジナルLEDパーツ!第2弾発売開始!!」☆AQUAのブログ記事です。自動車情報は日本最大級の自動車SNS「みんカラ」へ!

COMMENTS


2057:
2021-02-04 23:29

老害と言われてるけど『森喜朗さんは20年前からあんな人だったよ』との説。 老害とは加齢の問題というより、常時更新される『一般社会の価値観のアップデート』に責任ある立場の人の頭がついていけなくなる現象を指すと理解する。 更新されなくなったOSとおんなじ。セキ…

2058:
2021-02-04 23:10

Android(セキュリティ)アプデしたら音声録音アプリタヒんだ。 心音録音すると鈴虫が鳴いてるように録音されてる?

2063:
2021-02-04 21:12

【新サービスをリリースしました!】 ISMS・Pマークの事務局作業をLRM情報セキュリティコンサルタントにアウトソーシングできる新プランです! ・セキュリティに割く人的リソースがない ・より効率的にセキュリティに取り組みたい という方…

2064:
2021-02-04 18:17

【貴社に代わってISMS・Pマーク事務局作業のお手伝い!】 LRMでは今日から事務局業務のアウトソーシング『セキュリティBPO』の提供を開始します。 「情報セキュリティに取り組みたいけど人手が足りないよ…」という方、ぜひお声がけください…

2062:
2021-02-04 17:00

技術ブログを書きました。 初心者向けの記事です。 「発信元 IP アドレスの制限をかけるとはどういうことか」|みどりのウェブ開発日記

2052:
2021-02-04 14:53

【ウォレット】 仮想通貨を管理するお財布のようなものだよ^^ 取引所のウォレットで管理することもできますけどセキュリティ面で別のウォレットへ移す人のが多いかな^^

2060:
2021-02-04 14:39

え?セキュリティ力0じゃね?

2065:
2021-02-04 13:23

22時頃になるとサーバーが落ちがちなubhouse から落とされない裏ワザ ①VPNネコ? ダウンロード ②アメリカ??のサーバーを選択 ③クラブハウス?再起動 ▶︎▶︎▶︎ぜんぜん落ちない!!!! ※ちなみにセキュリティ的問…

2054:
2021-02-04 12:08

車両盗難が相次ぐ中 なかなか高額なセキュリティ等を入れる時間やお金が厳しい方へ ネットで届いてスマホで位置を管理出来る最高のGPS発信器紹介します しかもお値段17800円税込 Googleマップで日本どころか世界まで追跡出来る優れ物 万が一に盗…

2059:
2021-02-04 06:06

Seculioを効果的に使いながらご支援させていただきます!? 認証取得(維持)したいけど、人手が…? という方々は、検討の価値があります!! 情報セキュリティコンサルティングのLRMが、ISMS・Pマーク事務局業務のアウトソーシングサービス…

2056:
2021-02-04 05:26

COCOAやらかししたの別にセキュリティ案件では無いならアンイストールしたとかはいらないのでは感あるんだけどそうじゃない?

2055:
2021-02-04 04:30

捕まった男って、本当にシステムエンジニアなのかしら? システムを作っているのがこの程度のばかりだったら、セキュリティホールがガバガバあるのも仕方ないわよね。

2061:
2021-02-04 04:17

中国・百度(バイドゥ)のネットセキュリティサービスの広告。ネット上で受け取る甘い誘い文句や無邪気な顔文字の裏側には凄まじい悪意が隠されているかもしれないので、注意が必要です。(Cannes Lions 2015: Outdoor/Silver) h…

2053:
2021-02-04 02:41

柏崎刈羽原子力発電所のID不正使用の問題は核セキュリティ上の機密すべき点はあるけど第三者機関を入れてしっかり調査して公にしないと規制庁、規制委員会、東電という電力事業者が秘密を共有したなんてなったら本当に同じ穴の狢でズブズブの関係になって信用・信…

Recommended

TITLE
CATEGORY
DATE
TikTokで聴くキャッチーなヒット曲は偽情報キャンペーンの操作とほぼ同じもの
ネットサービス
2021-04-27 16:52
マイクロソフトが「.NET Aspire」発表。クラウドネイティブの開発と運用を容易にする新ソフトウェアスタック。.NET 8の一部として提供予定
.NET
2023-11-16 23:51
.NET MAUIがバージョン1.0に到達。C#/.NETのシングルコードベースでWin/Mac/iOS/Androidのネイティブアプリを開発可能に。Microsoft Build 2022
.NET
2022-05-25 14:38
「メーカーの都合に振り回されたくない」–新日本製薬が“第三者保守”を選択した理由
IT関連
2022-11-18 17:11
アマゾン、「Alexa」に3つの生成型AIスキルを搭載
IT関連
2024-01-12 03:59
マイクロソフトの1Q決算、11%増収–クラウドが依然好調
IT関連
2022-10-27 20:01
メニーコアと大容量メモリに最適化したインメモリデータベース「劔(Tsurugi)」正式版リリース、ノーチラス・テクノロジーズが発表。サポートサービスも提供開始
RDB
2024-09-03 16:30
法務管理クラウド「GVA manage」、「ドキュサイン」とAPI連携
IT関連
2023-03-26 13:11
東芝テック、マイクロサービスによる流通向けプラットフォームの構造を解説
IT関連
2023-10-14 12:12
アークサーブ、ランサムウェア対策を施したバックアップストレージを発表
IT関連
2022-05-24 10:35
HashiCorpのライセンス変更–意図や影響を製品マーケティング担当幹部に聞く
IT関連
2023-11-07 02:07
日立製作所、エクイニクスと協業強化–DX通じて持続可能な社会や事業の実現に取り組む
IT関連
2023-04-27 21:32
シンガポール、AIシステムを保護するための技術ガイドラインを策定
IT関連
2024-07-10 20:45
ヤフー、「PayPayボーナスライト」の配布を終了 有効期限付き残高を撤廃へ
企業・業界動向
2021-01-17 02:22