ニュース

ウェブ会議サービスなどの脆弱性を狙ったサイバー攻撃に注意、2020年第4四半期「JVN iPedia」登録状況

 独立行政法人情報処理推進機構(IPA)は、脆弱性対策情報データベース「JVN iPedia」日本語版への登録件数が、2020年第4四半期(10月1日~12月31日)は1423件に上ったことを発表した。

 JVN iPediaでは、国内のソフトウェア開発者が公開した脆弱性対策情報のほか、脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」、米国国立標準技術研究所(NIST)の脆弱性データベース「NVD(National Vulnerability Database)」が公開した脆弱性情報を集約している。

JVN iPedia登録件数の推移

 同四半期に登録された1423件のうち、国内製品開発者による登録件数は3件、JVNは179件、NVDは1241件だった。一方、JVN iPedia英語版の登録件数は29件で、内訳は国内製品開発者が3件、JVNが26件だった。

アップデートの適用方法を知らないまま利用され続けるケースも

 新型コロナウイルス感染症(COVID-19)の影響により、テレワークの普及が急速に進んだ一方で、テレワーク環境で使われるVPN製品やウェブ会議サービスなどの脆弱性を狙ったサイバー攻撃が発生している。

 2020年にJVN iPediaへ登録されたVPN製品で深刻度が3段階中で最も高い「レベルIII(危険)」に分類された脆弱性は、Palo Alto Networksの「PAN-OS」が23件、Fortinetの「FortiOS」が4件、Pulse Secureの「Pulse Policy Secur」および「Pulse Connect Secure」が6件だった。

2020年に登録されたVPN製品の深刻度別割合(CVSSv2)

 また、ウェブ会議サービスで深刻度が「レベルIII(危険)」に分類された脆弱性は、Microsoftの「Microsoft Teams」が1件、Cisco Systemの「Cisco Webex Meetings(Desktop/Onlineを含む)」が8件、Zoom Video Communicationsの「Zoom(Client/Meetingsを含む)」が6件だった。

2020年に登録されたウェブ会議サービスの深刻度割合(CVSSv2)

 テレワークで利用するVPN製品やウェブ会議サービスのソフトウェアは、利用者が初めて使うものや緊急時用に導入したまま使われていなかったソフトウェアも多く、情報の収集先やアップデートの適用方法を知らないまま利用を続けているケースが見受けられるという。

 攻撃者に脆弱性を悪用され、組織の機密情報などが外部に流出する被害を防ぐために、利用しているソフトウェアの脆弱性対策情報を日ごろから収集することや、修正プログラムがリリースされた際には速やかに適用するなどの対策実施が求められるという。

 なお、IPAはテレワーク環境で働く勤務者を対象とした「テレワークを行う際のセキュリティ上の注意事項」や、ウェブ会議サービスの利用において留意すべきセキュリティ上のポイントをまとめた「Web会議サービスを使用する際のセキュリティ上の注意事項」をウェブサイト上で公開している。テレワークやウェブ会議を実施する際はこれらの資料を参照することを推奨している。