今日を知り、明日を変えるシステム運用メディア

最新の注目ニュースをまとめてチェック!【2025年1月12日週】

最新の注目ニュースをまとめてチェック!【2025年1月12日週】

ニュース #ダイジェスト #セキュリティ

「FortiOS」「FortiProxy」に複数の脆弱性を確認 すでに本脆弱性を悪用したゼロデイ攻撃も

「FortiOS」「FortiProxy」に複数の脆弱性を確認 すでに本脆弱性を悪用したゼロデイ攻撃も

1月15日、Fortinet社は、同社が提供する「FortiOS」および「FortiProxy」に複数の脆弱性が確認されたと発表した。特に、認証を回避できる脆弱性(CVE-2024-55591)については、すでに本脆弱性を悪用したゼロデイ攻撃が確認されているとのこと。

本脆弱性のCVSSv3.1スコアは9.8と非常に高く、今後の被害拡大が懸念されることから、IPA(独立行政法人情報処理推進機構)やJPCERT/CCも注意喚起を行っている。

すでに修正プログラムが提供されているため、迅速な適用が求められる。すぐに適用できない場合は、以下の回避策の実施を推奨する。

  • HTTP/HTTPS 管理インターフェースを無効化する
  • 管理インターフェースにアクセスできるIPアドレスを制限する

▼ Fortinet社からのリリース

Authentication bypass in Node.js websocket module

マイクロソフト、2025年1月の月例セキュリティ更新プログラムを公開

マイクロソフト、2025年1月の月例セキュリティ更新プログラムを公開

1月14日、マイクロソフト社は月例のセキュリティ更新プログラムをリリースしたと報告した。この更新プログラムの適用により、「クリティカル(Critical)」と判断された10件を含む158件の脆弱性が修正される。

このうち、「CVE-2025-21333」、「CVE-2025-21334」、「CVE-2025-21335」についてはすでに悪用した攻撃が確認されており、 共通脆弱性評価システム「CVSSv3」のベーススコアが「9.0」以上とされる脆弱性は3件あることから、できるだけ早急に適用することが推奨されている。

▼ マイクロソフト社からのリリース

セキュリティ更新プログラム ガイド – Microsoft

Google 同社製ブラウザ「Chrome」の最新バージョンをリリース 16件のセキュリティ修正を実施

Google 同社製ブラウザ「Chrome」の最新バージョンをリリース 16件のセキュリティ修正を実施

Googleは現地時間1月14日、ブラウザ「Chrome」の最新バージョンをリリースした。

WindowsとmacOS向けには「Chrome 132.0.6834.84」および「Chrome 132.0.6834.83」、Linux向けには「Chrome 132.0.6834.83」が提供されている。

今回のアップデートでは16件の脆弱性が修正され、スクリプトエンジン「V8」における域外メモリアクセスの脆弱性(CVE-2025-0434)や、ナビゲーションに関する実装不備による脆弱性(CVE-2025-0435)、「Skia」における整数オーバーフローの脆弱性(CVE-2025-0436)などに対応した。

なお、アップデートは数日から数週間をかけて順次展開される予定である。同製品を利用の場合には、配布され次第迅速なアップデートを推奨する。

省庁ウェブサイトのドメイン管理 5省庁でセキュリティ上の不備を確認

省庁ウェブサイトのドメイン管理 5省庁でセキュリティ上の不備を確認

総務省などの一部の省庁ウェブサイトについて、セキュリティー対策が不十分で、第三者が不正利用できる状態になっていると、先月、外部から指摘があったということが報告された。

問題があったのは、政府のものを指す分野別トップレベルドメイン「go.jp」。2020年に新型コロナ対策として作られた特別定額給付金について周知するため作成されたウェブサイトを開設。サイトを閉鎖したあと、必要な対策がとられていなかったため、第三者が不正利用できる状態になっていた。

現時点で、第三者による不正な利用はなかったということだが、以前、地方自治体が期間限定で開設したサイトで使用したドメインがオークションにかけられていたり、フィッシングサイトやカジノサイトなどに悪用されたりと本来の目的とは異なるサイトに利用されているケースが確認されている。

国や自治体、企業などが使っていたドメインは信頼性が高く、悪用の危険性が高い。深刻な被害が出る前に、サイト閉鎖後のドメインの管理も重要となっている。

政府「能動的サイバー防御」導入に向け 法案概要をまとめる

政府「能動的サイバー防御」導入に向け 法案概要をまとめる

政府は「能動的サイバー防御」の導入に向けた法案の概要を16日、自民党の安全保障調査会などの幹部会で示した。通信情報の収集や攻撃元サーバーへの侵入・無害化を可能にするなど政府の権限を大きく強化する内容となっており、主な概要は以下のとおりである。

  • 重要インフラの監視強化
    • 電気や鉄道などの関連事業者と協定を結び、サイバー攻撃の監視を強化
    • 通信情報を取得し、攻撃の兆候を監視
    • 事業者に対し、攻撃を受けた場合の報告を義務化
  • 攻撃への対策強化
    • 警察や自衛隊は、新たに設置する独立機関の事前承認を得て対処可能
    • 攻撃元のサーバーなどにアクセスし、無害化措置を実施
  • 情報漏えいへの対応
    • 取得した情報が漏えいした場合、罰則を適用

政府は、与党などと調整して法案を固め、来週召集される通常国会に提出する方針としている。

AWS障害情報を確認する方法とは?障害に備える4つの対策も解説!

AWSを利用する企業にとって、突然障害が発生した際にその情報を確認する手段の確保は必須です。

本記事では、「リアルタイムな障害の情報はどこで確認するの?」「障害に備えるにはどんな対策が必要?」といった疑問にお答えします。AWS障害の概要、確認方法、障害の実例、障害が発生することによって想定されるリスク、障害の対策について解説していますので、ぜひご覧ください。

▼詳細はこちらをチェック!

AWS障害情報を確認する方法とは?障害に備える4つの対策も解説!
ケイ
ケイ
このライターの記事をもっと読む

専門であるセキュリティマネジメント業務に従事。クラウドサービス(AWSやAzureなど)やサイバーセキュリティ、セキュリティマネジメントやガバメントクラウドに精通。

関連記事

ニュース

パブリック プレビュー: Azure Monitor を使用して Azure Container Storage メトリックを収集する Prometheus のマネージド サービス

【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty
ノウハウ

【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty(講演レポート)

ニュース

【AWS re:Invent 2024】KEY001 | Monday Night Live with Peter DeSantis(講演レポート)

人気の記事

ニュース

注目のアタックサーフェスマネジメント(ASM) 実行方法とそのポイントとは?

OpenAI社、AIエージェントの「Operator」を発表。予約や買い物も可能に
ニュース

OpenAI社、AIエージェントの「Operator」を発表。予約や買い物も可能に

ニュース

新登場「DeepSeek-R1」、OpenAIの最新モデルo1並みの性能!API価格は衝撃の27分の1

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録
TOP - ニュース - 最新の注目ニュースをまとめてチェック!【2025年1月12日週】