データサイエンスチーム「Tenable Research」大手ビルセキュリティシステムに複数のゼロデイ脆弱性を発見
PR TIMES / 2019年1月22日 15時40分
~偽造バッジを作成して施錠システムをハッキングされる可能性~
※本リリースは2019年1月14日(米国時間)に米国で発表されたプレスリリースの抄訳版です。原文は下記URLを参照ください。
https://www.tenable.com/press-releases/multiple-zero-day-vulnerabilities-discovered-by-tenable-research-in-building-access
企業の様々な情報資産の脆弱性を手間なく自動で可視化、改善するソリューションを提供する『Tenable Network Security』(以下:テナブル、所在地:メリーランド州コロンビア、代表:Amit Yoran (アミット・ヨーラン))が結成したデータサイエンスチーム「Tenable Research」は、IDenticardが開発したPremiSys™のアクセスコントロール・システムに複数のゼロデイ脆弱性を発見したことを発表しました。最も深刻な脆弱性を悪用すれば、攻撃者は自由にバッジシステム・データベースにアクセスが可能になり、偽造バッジを作成して施錠システムを操作することで、ビル内に侵入することができてしまいます。IDenticardは世界中に数万社以上の顧客を持っており、その中にはフォーチュン500企業、K-12教育機関、大学、医療施設、および政府機関も含まれます。
現代の企業は、ワークステーション、社内サーバーからビル警備システムやスマート機器に至るまで、従来および最新のアセットから構成される非常に複雑なデジタル・インフラを構築しています。インフラが複雑化されていくこの状況において、企業のセキュリティ・チームは、ダイナミックな企業環境下で安全なネットワークを構築することがさらに困難になっています。PremiSys™のゼロデイ脆弱性はその顕著な例であり、新技術の大量導入により物理的安全性とデジタル上の安全性の間の線引きが曖昧になってきています。テナブル・リサーチがこの脆弱性を発見したのは、監視カメラソフトウェアPeekabooのゼロデイ脆弱性を発見してからわずか数カ月後のことでした。
PremiSys™の技術は、ドア・アクセスの権限付与を操作できる他、設備を施錠したり、内臓カメラで録画した動画データを確認することができます。攻撃者が最も深刻な脆弱性をエクスプロイトした場合、PremiSys Windows Communication Foundation (WCF) サービスのエンドポイントを経由し、バッジシステム・データベース全体への管理者アクセスが可能となります。攻撃者はこの管理者権限を利用して、システムデータベースのあらゆるコンテンツのダウンロード、書き換え、ユーザー削除など、様々なアクションを実行できてしまいます。
【米国テナブル社Renaud Deraison氏(最高技術責任者・テナブルの共同創始者)のコメント】
「デジタル時代が到来したことで、IoTの導入も相まって、サイバー世界と現実世界は一体化しつつあります。組織のセキュリティ範囲は、もはやファイア・ウォールやサブネット、または物理的範囲にとどまらず、境界が無くなっています。このため、セキュリティ・チームは、自身の情報資産におけるサイバー・エクスポージャーを完全に可視化することが非常に重要です。残念ながら、IoTという新世界における製造業者の多くは、パッチが適用されていないソフトのリスクを完全には理解していないことから、消費者や企業はサイバー攻撃の脆弱性に晒されています。今回の例では、アクセス管理にPremiSys™を導入している組織は膨大なリスクにさらされています。今回の例に限らず、セキュリティ業界は、エンベデッド・システムとその後の保守に関する幅広い議論を行う必要があります。デジタル・インフラはますます複雑化しており、その管理方法もまた同様です。我々は、セキュリティ・パッチを迅速かつ完全自動化された方法で確実に供給してくれるベンダーを必要としています。テナブル・リサーチは消費者と組織の安全を等しく確実に守るため、協調開示に賛同するベンダーと連携しています。業界の連携は、消費者のエクスポージャーリスクを管理・測定・軽減する上で非常に重要です。」
テナブル・リサーチは、脆弱性の開示方針に記載されている標準手法に基づき、IDenticardのバージョン 3.1.190における脆弱性(CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3909)を開示しました。IDenticardは、問題の解決に取り組んでいるものの、現在もパッチは公開されていません(2019年1月17日時点)。被害リスクを軽減するには、ユーザーは自社ネットワークを切り放し、PremiSys™のようなシステムを内外の脅威からできるだけ隔離するといった対策を確実に実行する必要があります。
【米国テナブル社プロフィール】
Tenable Network Securityは、世界中の24,000社を超える組織に対し、総合的なセキュリティソリューションにより、将来のビジネスニーズに合わせてそのテクノロジーを変革し、組織の情報保護に向けた有効的な対策を提供しています。Nessus(R)を開発したTenableは、脆弱性対策の技術をさらに発展させることで、あらゆる情報資産やデバイスの脆弱性を管理、保護できる世界初のセキュリティプラットフォームを展開。Tenableのセキュリティプラットフォームは、大規模行政機関ならびに、米国ビジネス誌Fortuneが選定する『Fortune 500』(総収入に基づいた全米上位500社)に選ばれている組織の50%以上、世界の有力組織2000社の25%以上に導入されています。詳細は tenable.com へ
【米国テナブル社企業概要】
商号: Tenable Network Security
代表: Amit Yoran アミット・ヨーラン
住所: 7021 Columbia、
Gateway Drive Suite 500 Columbia,
MD 21046
【テナブル社企業概要】
商号:Tenable Network Security Japan K.K.
住所:東京都千代田区丸の内2-3-2
郵船ビルディング1階
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Vectra AI, Midnight Blizzardからの攻撃・脅威を防御するためにセキュリティ担当者が確認すべき8つのポイントを発表
PR TIMES / 2024年4月25日 11時0分
-
Criminal IP, 米 Sumo Logic(スモーロジック)との技術パートナーシップで海外販路を拡大
PR TIMES / 2024年4月22日 12時15分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
国産脆弱性診断・ASMツール『GMOサイバー攻撃 ネットde診断』機能拡張で「FortiGate」の脆弱性診断が可能に【GMOサイバーセキュリティ byイエラエ】
PR TIMES / 2024年4月5日 14時15分
-
Androidに緊急の脆弱性、アップデートを
マイナビニュース / 2024年4月4日 17時39分
ランキング
-
1サイゼリヤ、ギリギリ「国内黒字化」も残る難題 国内事業の利益率0.05%、値上げなしで大丈夫か
東洋経済オンライン / 2024年4月24日 7時30分
-
2山手線沿線の再開発が進む 「新宿、渋谷、品川」駅の工事はいつ終わるのか
ITmedia ビジネスオンライン / 2024年4月25日 7時10分
-
3イトーヨーカドー、祖業のアパレル復活なるか アダストリアとの新ブランドが生んだ“相乗効果”
ITmedia ビジネスオンライン / 2024年4月25日 10時0分
-
4アキレス、シューズの国内生産終了へ コスト増や少子化など背景
ロイター / 2024年4月25日 16時27分
-
5過度の変動望ましくない、動向注視し万全の対応行う=円安で官房長官
ロイター / 2024年4月25日 11時35分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください