情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月20日、「脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]:IPA 独立行政法人 情報処理推進機構」において、2020年第4四半期にJVN iPedia日本語版に登録された脆弱性対策情報の概要を伝えた。

  • 脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]:IPA 独立行政法人 情報処理推進機構

    脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]:IPA 独立行政法人 情報処理推進機構

IPAは、2020年第4四半期に注目される脆弱性情報として次の2つに焦点を当てている。

  • 「Zerologon」と呼ばれるMicrosoft Server製品の脆弱性
  • テレワーク等で使われるVPN製品やWeb会議サービスなどの脆弱性

「Zerologon」はWindows Serverのドメインコントローラで使われるNetlogon Remote Protocol(MS-NRPC)に発見された特権昇格の脆弱性。この脆弱性はCVSS v3スコアの最高値10.0と評価されており、深刻度は緊急に位置づけられた。この脆弱性を悪用した攻撃がすでに発覚していたことから、ユーザーは早急に対策を行う必要があった。

また、新型コロナウイルス感染症の影響でテレワークが普及したことで、利用が急増したVPNやWeb会議サービスの脆弱性が攻撃に悪用されるようになったという。IPAはこうしたソフトウェアに対する攻撃を未然に防ぐ方法として、次のアドバイスを行っている。

  • 利用しているソフトウェアの脆弱性対策情報を日ごろから収集し、修正プログラムがリリースされたら速やかに適用する
  • サーバを構築して運用している場合は、クライアント側のソフトウェアのみならずサーバ側のソフトウェアに関しても同様の取り組みを行う
  • システム管理者は外部からサイバー攻撃を受けた形跡がないかを調査するとともに、適宜組織内の手続きや対策の見直しを行う

上記のアドバイスはVPN製品やWeb会議サービスのみならず、ほかのソフトウェアや組み込み機器などにおいても適用できる。サイバー攻撃は絶え間なく行われており、ユーザー側も不断の対策を継続する必要がある。