ニュース

「GMOサイバー攻撃 ネットde診断」OpenSSHの脆弱性検知に対応~国産脆弱性診断・ASMツールとして重大な脆弱性に対して迅速に対応~

2024.07.08
プレスリリース

GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティbyイエラエ)は、2024年7月5日(金)より、自動脆弱性診断・ASM(※1)ツール「GMOサイバー攻撃 ネットde診断」の診断機能を拡張し、glibcベースのLinuxシステム上のOpenSSH(※2)サーバにおけるシグナル処理の競合状態に起因してリモートでコードを実行される脆弱性(CVE-2024-6387)の検知が可能になりました。

(※1)Attack Surface Management:インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みです。
(※2)SSHプロトコルを利用して安全な遠隔通信を実現するオープンソースソフトウェアです。

【OpenSSHの重大な脆弱性に対応する機能拡張の背景】

この脆弱性は現地時間7月1日(月)に米国Qualys 脅威研究ユニット(※3)により発見され、この脆弱性が悪用された場合は、認証されていない攻撃者によってroot権限で任意のコード実行による攻撃が行われる可能性があり、速やかにOpenSSHの最新バージョンへのアップデートが推奨されます。

発表されている情報によると世界中で1,400万台以上のコンピューターが攻撃を受けやすい状態でインターネットに接続されていることが特定されています。(※4)また、Qualys CSAM 3.0 (※5)の匿名データによると、約 70 万台のコンピューターが既にサポートが終了している古いバージョンのOpenSSHを使用しているためより危険な状態にあるとされています。これは、世界中の顧客ベースでインターネットに接続されているOpenSSHを使用するコンピューターの31%に相当します。

(※3) Qualys 脅威調査部門シニアディレクターBharat Jogi氏のブログ記事より引用(https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
(※4) クラウドベースのIT、セキュリティ、コンプライアンスソリューションを提供する企業(https://www.qualys.com/
(※5) Qualys社が提供するサイバーセキュリティ資産管理ツール

【OpenSSHの脆弱性による重大なリスク】

 このOpenSSHの脆弱性が悪用されると、システムが完全に侵害され、攻撃者が最高権限で任意のコードを実行できるようになるため以下のような深刻な事態が発生する可能性があります。そのため、迅速な対応が求められます。

1. システムの完全掌握:攻撃者が最高権限を持ち、システムを完全に乗っ取ることが可能
2. マルウェアのインストール:悪意あるソフトウェアがインストールされる可能性がある
3. データの改ざん:システム内のデータが操作される恐れがある
4. バックドアの作成:攻撃者が長期的なアクセスを保持するための抜け道が作られる
5. ネットワーク内の広範な侵害:他のシステムにも攻撃が広がる可能性がある
6. セキュリティ対策の無効化:侵入検知システムが突破され、攻撃が発見されにくくなる
7. 重大なデータ漏洩:機密情報が盗まれたり公開されたりするリスク

特にランサムウェア感染によるサービスの停止や重要情報の漏えいは連日ニュースを騒がす程の大きな事件 として取り上げられる例も多く、企業組織の運営やビジネスへの影響が大きい傾向があります。 また ITシステムや Webサービスのデータが攻撃者によって改ざんされることでシステム・サービスが停止してしまい、業務そのものが停止するなど深刻な被害も数多く報告されています。

【初めての方でも使いやすい国産ASM「GMOサイバー攻撃 ネットde診断」】

 「GMOサイバー攻撃 ネットde診断」は、初めての方でも使いやすい国産ASMツールです。お客様からいただいた社名やサービス情報をもとに、攻撃面となる可能性があるWebサイトやネットワーク機器を洗い出し、ツールによる定期的なセキュリティ診断を実施します。これにより、簡単に自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を行うことができます。

定期的に診断機能のアップデートを行っており、今回、多くの方への影響が予想されるOpenSSHの脆弱性診断に対応しました。

経済産業省「情報セキュリティサービス基準」に適合 複数のガイドラインに準拠

 「GMOサイバー攻撃 ネットde診断」は経済産業省が定める「情報セキュリティサービス基準」に適合しています。また、独立行政法人情報処理推進機構セキュリティセンター(IPA)が発行する「安全なウェブサイトの作り方」や、ソフトウェア開発におけるセキュリティ対策を推進する国際的な非営利団体であるOWASPが公表している、Webアプリケーション・セキュリティに関する最も重大な10のリスト「OWASP Top 10」、さらにデジタル庁が発行する「政府情報システムにおける 脆弱性診断導入ガイドライン」などの基準・ガイドラインに対応しています。

 さらに現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠するための脆弱性スキャンを行う資格を有するベンダである「ASV」認定取得準備を進めており、様々な基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとしてさらなる発展を目指しています。

【ASMの一連の流れを体験できるトライアルを実施中!】

 「GMOサイバー攻撃 ネットde診断」では2週間でASMの一連の流れを体験いただけるトライアルを実施しています。トライアル期間内で、自社が保有するWebサイトやネットワーク機器を洗い出し、セキュリティ診断まで実施します。また、診断結果に対して報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理が不安なお客様、全社で保有するVPN機器の診断を行いたいお客様など、ぜひお気軽にお問い合わせください。

 サービスの詳細やトライアルのお申し込みについては「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトよりお問い合わせください。

お問い合わせ先:https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/

【ホワイトハッカーによるセキュリティ解説動画を配信中!】

 GMOサイバーセキュリティ byイエラエでは、急増するサイバー攻撃に対する正しい情報を発信するため、GMOイエラエSOC用賀より専門家によるサイバーセキュリティに関する情報発信を開始しました。下記よりご覧ください。

(最新版「ランサムウェアの実態 身を守るための4つのポイントと身代金支払の是非」公開!)
https://www.youtube.com/@IeraeSecurity

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード