エフサステクノロジーズ株式会社のID リンク・マネージャーとFUJITSU Software TIME CREATORに、パストラバーサルや不適切な認証、情報漏えいなどの脆弱性が発見された。これらの脆弱性を悪用されると、認証なしでサーバ上の機微な情報を含むファイルが参照されたり、データベース内の情報が改ざんされる危険性がある。^[1]

脆弱性の影響を受けるのは、FUJITSU Business Application ID リンク・マネージャーII V1.8以前、FUJITSU Software ID リンク・マネージャー V2.0、FUJITSU Software TIME CREATOR ID リンク・マネージャーの複数バージョンだ。オンプレミス版とSaaS版の両方が該当する。

脆弱性への対策としては、開発者から提供されるパッチの適用が必要不可欠だ。FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSについては、2024年6月16日のメンテナンスですでに修正が完了しており、自社システムへの影響を確認し速やかにパッチを適用することが求められる。

認証不備により機微情報が流出する可能性も

ID リンク・マネージャーおよびTIME CREATORの脆弱性の中でも特に深刻なのが、認証を適切に行わないことに起因する情報漏えいの危険性だ。攻撃者によって悪用されれば、データベース内の機微情報への不正アクセスや改ざんのリスクは高い。

また、認証なしでユーザ名の有無を参照される脆弱性は一見すると軽微に見えるが、攻撃者にとってはアカウント名を推測する手がかりになり得る。パスワードリスト攻撃など、他の手法と組み合わせることでアカウントへの不正ログインに悪用される可能性は排除できない。

認証やアクセス制御は、情報システムのセキュリティを確保する上で極めて重要な要素だ。脆弱性対策としてのパッチ適用に加え、日頃からの適切な設定と運用監視も併せて実施する必要がある。特権アカウントの管理方法や多要素認証の導入など、多層防御の視点からの見直しが望まれる。

おすすめのPython研修一覧

Python研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Python研修の一覧を見る

おすすめのDX研修一覧

DX研修を提供しているおすすめの企業・法人を一覧で掲載しております。

DX研修の一覧を見る

おすすめのJava研修一覧

Java研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Java研修の一覧を見る

おすすめのJavaScript研修一覧

JavaScript研修を提供しているおすすめの企業・法人を一覧で掲載しております。

JavaScript研修の一覧を見る

trends編集部「K」の一言

今回のID リンク・マネージャーとTIME CREATORの脆弱性問題は、認証やアクセス制御の重要性を改めて浮き彫りにした。特にSaaSのようにインターネット経由でアクセス可能なシステムでは、堅牢な認証基盤の構築が不可欠だろう。多要素認証の採用など、アカウントの不正利用を防ぐための仕組み作りを急ぐ必要がある。

オンプレミス環境でもセキュリティ対策の緩みは許されない。自社で導入している製品やOSSライブラリに関する脆弱性情報を日頃から収集し、パッチ適用を迅速に行える体制整備が求められる。特にアクセス制御に関わる設定ミスは大きな穴になるため、定期的な点検や監査を欠かさないことが重要だ。

脆弱性対策には企業のリソースを投入せざるを得ないが、それ以上に情報漏えいによる損失は計り知れない。サイバー空間の安全を脅かすリスクは日々高まっており、セキュリティは経営課題として真剣に取り組むべき時代が到来している。システム開発者とユーザー企業がそれぞれの立場から脆弱性対策を強化し、デジタル社会の信頼を支えていくことが強く期待される。

また、脆弱性情報の開示と共有を通じて、ソフトウェア製品の品質向上を促すエコシステムの発展も急務だ。脅威の芽を早期に摘み取るには、セキュリティ研究者と開発者の協力関係の構築が不可欠である。バグバウンティ制度の普及をはじめ、発見者に適切なインセンティブを提供する仕組みについても、官民を挙げて検討すべき段階に来ているのではないだろうか。