■08/25(日)~08/31(土) のセキュリティ関連情報
目 次
【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
【2】Moodleにリモートコード実行の脆弱性
【3】Versa Networks製Versa Directorに権限昇格の脆弱性
【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
【5】IPAが「セキュリティ・アクション・ラボ 実践的な学びのためのプロジェクト」を公開
【6】IPAが「サイバーレジリエンスのためのコミュニケーション セキュリティ担当者に必要なコミュニケーションスキル集」を公開
【7】経済産業省が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を改訂
【8】制御システムセキュリティカンファレンス2025講演募集
【9】第10回フィッシング対策勉強会
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
情報源
https://jvn.jp/jp/JVN29238389/
概要
エフサステクノロジーズ株式会社が提供するIPCOMのSSLアクセラレータ機能およびSSL-VPN機能には、処理時間の相違に起因する情報漏えいの脆弱性が存在します。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2024/ipcom-04/index.html
【2】Moodleにリモートコード実行の脆弱性
情報源
https://censys.com/cve-2024-43425/
概要
Moodleには、リモートコード実行の脆弱性があります。本脆弱性を実証するコード(PoC)が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://moodle.org/mod/forum/discuss.php?d=461193
【3】Versa Networks製Versa Directorに権限昇格の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/08/27/versa-networks-releases-advisory-vulnerability-versa-director-cve-2024-39717
概要
Versa Networksが提供するVersa Directorには、権限昇格の脆弱性があります。同社は、今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品にパッチを適用する、あるいは修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/
【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
情報源
https://jvn.jp/jp/JVN24885537/
概要
エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240827-01/
【5】IPAが「セキュリティ・アクション・ラボ 実践的な学びのためのプロジェクト」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-action-lab.html
概要
独立行政法人情報処理推進機構(IPA)が、「セキュリティ・アクション・ラボ 実践的な学びのためのプロジェクト」を公開しました。本プロジェクトは、ITシステム関係社員のセキュリティに関する知識・意識の向上を目的としたセキュリティ教育コンテンツおよび啓発コンテンツとのことです。
関連文書
https://github.com/sal-project/sal-setup-document
【6】IPAが「サイバーレジリエンスのためのコミュニケーション セキュリティ担当者に必要なコミュニケーションスキル集」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/cyber-resilience-communication.html
概要
独立行政法人情報処理推進機構(IPA)が、「サイバーレジリエンスのためのコミュニケーション セキュリティ担当者に必要なコミュニケーションスキル集」を公開しました。本書では、組織でサイバーレジリエンスを実施していくために、セキュリティ担当者と他部署のコミュニケーションに着目し、「サイバーレジリエンスのためのコミュニケーション」としてセキュリティ担当者が認識すべきコミュニケーションスキルがまとめられています。
【7】経済産業省が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を改訂
情報源
https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html
概要
経済産業省は、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOM(ソフトウェア部品表)を導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」をver2.0に改訂しました。ver2.0では新たに、脆弱性管理プロセスの具体化やSBOM対応モデル、SBOM取引モデルに関する内容が追加されています。
【8】制御システムセキュリティカンファレンス2025講演募集
情報源
https://www.jpcert.or.jp/event/ics-conf-cfp2025/
概要
JPCERTコーディネーションセンターは、来る2025年2月5日(水)に「制御システムセキュリティカンファレンス2025」の開催を予定しております。開催にあたり、講演希望者を広く募集することといたします。講演をご希望の方は、URLに記載の開催概要とCFP募集要項をお読みいただき、講演申込事項を記載の上、メールにてCFP担当までお送りください。皆さまからのたくさんのご応募をお待ちしております。
【9】第10回フィッシング対策勉強会
情報源
https://www.antiphishing.jp/news/event/antiphishing_10th_studygroup.html
概要
フィッシング対策協議会は、2024年9月20日(金)に「第10回フィッシング対策勉強会」をオンラインで開催します。協議会会員のみではなく、フィッシング対策やWebサイトのセキュリティに興味がある方向けに参加を受付けています。講演内容や、参加登録の手順については記載のURLをご参照ください。