サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 トレンドマイクロ製ウイルスバスタークラウドにディレクトリジャンクションの取り扱い不備の脆弱性

トレンドマイクロ製ウイルスバスタークラウドにディレクトリジャンクションの取り扱い不備の脆弱性

目次
  • 今回の解説ニュース
  • ディレクトリジャンクション取扱不備の脆弱性
  • セキュリティ対策製品に脆弱性が発見されたら?

今回の解説ニュース

トレンドマイクロ製ウイルスバスタークラウドにディレクトリジャンクションの取り扱い不備の脆弱性

独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERT コーディネーションセンターは9月2日、トレンドマイクロ製ウイルスバスター クラウドにおけるディレクトリジャンクションの取り扱い不備の脆弱性について「(JVN)」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ウイルスバスターに脆弱性があり、DoS攻撃を受ける可能性があるということです。対策として、アップデートが必要となりますので、該当するバージョンを使用している方は、今回の配信を聞いて対応を検討してください。

今回、脆弱性が発見されたのは、トレンドマイクロ製ウイルスバスタークラウドバージョンの15.0と16.0と17.0であると、JVNから発表されています。JVNとは、Japan Vulnerability Notesの略で、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイトです。情報セキュリティ早期警戒パートナーシップに基づいて、参加しているベンダの対応状況も確認することができます。

該当するバージョンにはディレクトリジャンクションの取扱い不備の脆弱性があり、第三者によって権限昇格されDoS攻撃を受ける可能性があるということです。現在は公式からアップデートが公開されており、最新版にするよう呼びかけられています。

ディレクトリジャンクション取扱不備の脆弱性

今回発表された、ディレクトリジャンクションの取扱い不備の脆弱性について説明します。

まず、ディレクトリジャンクションは、特定のディレクトリを別のディレクトリの配下に置くことを目的とした機能です。例えば、WindowsのCドライブにあるフォルダを、Dドライブにもあるようにふるまうことが可能です。複数のドライブを1つにまとめたり、古いシステムと互換性を持たせたりするために、別名としてディレクトリジャンクションを作成します。

今回の脆弱性について、CVE IDから発見者と思われるオリジナルの情報を確認しました。公表されていた脆弱性の詳細として、ディレクトリジャンクションを作成することにより、攻撃者はファイルを削除するためにサービスを悪用したり、この脆弱性をシステム上でサービス拒否の状態にすることへ引き上げることができるとされています。

この脆弱性を発見した研究者の方は、過去にも複数の脆弱性を発見してベンダーへ報告しており、セキュリティ業界へ継続的に貢献されている方のようでした。ちなみに、プロフィールには「Linuxが嫌い」と書かれていましたが、Linuxに関連する脆弱性も報告されています。

セキュリティ対策製品に脆弱性が発見されたら?

今回、発表された脆弱性の対策としては、公式からアップデートするよう呼びかけられています。また、組織でシステムを管理する立場の方は、使っているソフトウェアに脆弱性がないか、定期的に確認することが必要です。

セキュリティ製品を活かす定期的なアップデート
セキュリティ対策製品において全般的に言えることですが、最新のサイバー攻撃に対応するためには、定期的なアップデートが必要です。今回のアップデートは脆弱性の対応が目的となりますが、せっかく導入したセキュリティ対策製品ですので、その効果を最大化するために定期的なアップデートはぜひ検討してください。

また、そもそもこのようなセキュリティ情報を入手できていないと、使っているソフトウェアに脆弱性があることへ気が付くことすらできません。とはいえ、セキュリティ情報は毎日大量にインターネットで公開されており、すべての情報を把握することは現実的に困難です。

自身や組織の情報資産の把握から情報収集
そこで、まずは自分や組織が使っている情報資産を把握しましょう。そして、その情報資産に関連するセキュリティ情報に絞り込みます。情報資産の中でも、特にインシデントが発生したら困るものがあれば、集中してセキュリティ情報を収集していいかもしれません。

「セキュリティは情報戦」などと言われることもあり、いかに効率よく自分に関連するセキュリティ情報を集められるかは、組織のセキュリティ対策としても極めて重要です。皆さんにとって、セキュリティ情報を収集する一助となれば幸いです。

クラウドセキュリティ参考リンク

DDoS攻撃へのセキュリティ対策

https://www.shiftsecurity.jp/cloud-blog/20210820-3

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話