全1679文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを紹介する。ネットワークライブラリーに見つかった脆弱性と警察庁の偽サイトを使ったフィッシング、2019年度下半期のサイバー攻撃に関する資料である。

NISCがライブラリーの脆弱性を注意喚起(6月24日)

 内閣サイバーセキュリティセンター(NISC)は多くの機器に採用されているネットワークライブラリー(プログラム部品)に19件もの脆弱性が確認されたとして注意を呼びかけた。発見者はこれらの脆弱性の総称を「Ripple20」と名付けられた。

ネットワークライブラリーに見つかった複数の脆弱性に関する注意喚起
ネットワークライブラリーに見つかった複数の脆弱性に関する注意喚起
(出所:内閣サイバーセキュリティセンター)

 Ripple20には、脆弱性の深刻度を評価するCVSSが9以上の「緊急」に分類される脆弱性が4つも含まれる(CVSSの最大値は10)。NISCに先だってUnited States Computer Emergency Readiness Team(US-CERT)が2020年6月18日にRipple20に関する注意喚起を出している。

 JPCERTコーディネーションセンター(JPCERT/CC)などが運用する脆弱性情報データベースJVNによれば、Ripple20の影響を受けるライブラリーは米Treck(トレック)のTCP/IPスタックと、それを起源とする図研エルミックが提供するKASAGOだとしている。これらのライブラリーはルーターなどのネットワーク機器やプリンター、産業用制御機器、医療機器などに利用されている。

 NISCは注意喚起を出した時点で、修正プログラムが提供されている製品は一部だけだと指摘。ほとんどの製品には脆弱性を修正する手段が提供されていないという。また基礎的なライブラリーであることから、サプライチェーンの特性上、影響を受ける製品を特定するのは容易ではないとしている。

https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf