US-CERTは6月5日(現地時間)、Ciscoの複数の製品に脆弱性が存在すると発表した。

発表された脆弱性の中には、悪用されるとリモートからシステムの制御権が不正に乗っ取られる危険もあり、システム管理者は早急に対応する必要がある。

発表された脆弱性は以下の通り。

〇Industrial Network Director Remote Code Execution Vulnerability cisco-sa-20190605-ind-rce
〇Unified Communications Manager IM&P Service, Cisco TelePresence VCS, and Cisco Expressway Series Denial of Service Vulnerability cisco-sa-20190605-cucm-imp-dos
〇Webex Meetings Server Information Disclosure Vulnerability cisco-sa-20190605-webexmeetings-id
〇TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability cisco-sa-20190605-vcs
〇Unified Computing System BIOS Signature Bypass Vulnerability cisco-sa-20190605-ucs-biossig-bypass
〇IOS XR Software Secure Shell Authentication Vulnerability cisco-sa-20190605-iosxr-ssh
〇Industrial Network Director Stored Cross-Site Scripting Vulnerability cisco-sa-20190605-ind-xss
〇Industrial Network Director Cross-Site Request Forgery Vulnerability cisco-sa-20190605-ind-csrf
〇Enterprise Chat and Email Cross-Site Scripting Vulnerability cisco-sa-20190605-ece-xss

(川原 龍人/びぎねっと)

[関連リンク]
US-CERTによる注意喚起

Linus Henze氏は 2月3日(現地時間)、Mac OSに存在するゼロディ脆弱性を突いてパスワードを不正に取得するアプリケーション「KeySteal」に関する動画をYoutubeに公開した。

動画では、KeyStealがMac OS上でパスワードを入力せずにキーチェインアクセスに記録されたパスワードを表示している場面が公開されている。なお、以前もMac OSではゼロディ脆弱性が見つかったことがあるが、今回の脆弱性は以前発見されたものとは異なるとしている。

「キーチェインアクセス」は、パスワードを統合的に管理する技術。この技術に直接アクセスできることは、パスワードの漏えいにつながるため注意が必要。

(川原 龍人/びぎねっと)

[関連リンク]
(Youtube動画)

　富士通は12月26日、NTTドコモの個人情報など重要なデータを取り扱う業務のPCログインシステムにおいて、手のひら静脈認証装置「FUJITSU 生体認証 PalmSecure-F Light」を提供開始したと発表した。

　NTTドコモは従来、業務システムへのPCのログイン時にICカードおよび指紋認証による本人認証を行っていたが、個人情報など重要なデータを取り扱う部門において、よりセキュリティの高い認証方式として、新たに手のひら静脈認証センサーを選定し、運用を開始した。「PalmSecure-F Light」は、本人拒否率0.01%（リトライ1回）、他人受入率0.00001%以下という高い認証精度と合わせて、省スペース型の外付け認証装置。同製品を運用する認証システムと組み合わせることにより、既存のActiveDirectoryサーバや業務アプリケーションサーバとは独立した認証サーバを導入することで、既存のシステムに大きな影響を与えることなく、短期間でのシステム構築を実現したという。

手のひら静脈は体内情報であるため、指紋や顔などの体表情報に比べて偽造が困難という特徴がある。また、太い幹線の血管を認証に用いるため、指の静脈に比べて寒さの影響を受けにくく、安定した認証が行えるという。また、手のひら静脈認証は、センサーに触れることなく認証できるため、衛生的であるとともに、指紋のように表面の摩耗や乾燥などにより登録・照合を行えないということがないというメリットもあるという。

（川原 龍人/びぎねっと）

［関連リンク］
プレスリリース

カスペルスキーは10月5日、法人向けハイブリッドクラウド向けセキュリティ製品「Kaspersky Hybrid Cloud Security」を販売開始した。

「Kaspersky Hybrid Cloud Security」は、パブリッククラウド、プライベートクラウドやオンプレミスを組み合わせたハイブリッドクラウド環境全体を一括して可視化し、透過的かつ効率的に保護・管理するための製品。従来提供してきた仮想インフラストラクチャ用セキュリティ製品をバージョンアップし、既存のWindowsサーバ向け、Linuxサーバ向けセキュリティ製品を加え、さらにAWSおよびAzureのAPIを使用することで、ハイブリッドクラウド環境のセキュリティを単一のコンソールで管理することが可能になった。

「Kaspersky Hybrid Cloud Security」は、ハイブリッドクラウド環境におけるシームレスな管理を実現。パブリッククラウド、プライベートクラウド、オンプレミス上の仮想／物理マシンのセキュリティに関する設定、タスクやステータスを、統合的に単一コンソール「Kaspersky Security Center」で管理することが可能。また、次世代テクノロジーによるワークロードの保護を実現。機械学習を組み込んだ多層型技術と、Kaspersky Security Networkによるクラウドベースのインテリジェンスによって、新しい脅威を迅速に特定しワークロードを強固に保護する。

ライセンス価例は、Standard　デスクトップVDI72,000円（単価 7,200円 x 10ライセンス）、Enterpriseが1サーバ60,000円などとなっている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

大日本印刷株式会社（DNP）と日本電気（NEC）は9月20日、顔認証技術を活用した生体認証サービスを拡充するための製品・サービス開発における協業を発表した。

今回の協業では、DNPの生体認証サービスにNECの顔認証技術を活用した本人認証・本人確認サービスを提供する。今回の協業の第一弾として、DNPが金融機関向けに開発した、スマートフォンでの金融サービスのセキュリティ性と利便性を向上させる「本人認証・本人確認アプリ」や「DNPスマートフォン向け銀行口座開設用アプリ」に、NECの顔認証技術を活用したクラウド基盤｢NeoFace Cloud｣を適用させたサービスを、2019年3月から順次開始する。

また、将来的には「DNPスマートフォン向け銀行口座開設用アプリ」や「DNPカード即時発行サービス（KIOSK端末型）」などの適用も予定している。金融機関などのサービス事業者は、これらのサービスを利用することで、利用者に対して利便性とセキュリティの両立を実現することができる。

（川原 龍人/びぎねっと）

［関連リンク］
ニュースリリース

　Red Hatは7月18日（現地時間）、CPUに存在する脆弱性「Spectre」の変種である「Spectre Variant 1」のスキャンツールを公開した。

　このツールで発見できるのは、Spectreの変種である「Spectre Variant 1」（CVE-2017-5753）。バイナリファイルに潜伏しているため、このツールはバイナリファイルをスキャンし、該当するシーケンスが無いかをチェックする。

　対応するアーキテクチャは、現時点でx86_64とAArch64。Red Hatは今後対応アーキテクチャを拡大する予定。スキャンツールはWebサイトからダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

日立製作所、日立インフォメーションアカデミー、トレンドマイクロの3社は、国内で不足するセキュリティ人材の育成加速を目的に、サイバーセキュリティ分野での人材育成に関する協業について基本合意書を締結した。

本協業では、3社の強みを生かした新たな人材育成事業を推進する。具体的には、トレンドマイクロが有する国内外の脅威動向や最新の攻撃シナリオといったサイバーセキュリティに関する知見と、日立が培ってきたシステムの開発・運用ノウハウ、そして日立グループ内外に研修サービスを提供する日立インフォメーションアカデミーの人材育成ノウハウを活用し、研修カリキュラムや教材といった教育コンテンツの企画・開発から研修サービスの運用までを共同で推進する。

協業第一弾として、日立グループ社員約2,000名の受講実績がある、トレンドマイクロの知見を取り入れた「サイバー攻撃対応研修」を、一般の顧客でも広く活用できるカリキュラムに改訂し、日立インフォメーションアカデミーが2018年10月より提供開始する。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

ファイア・アイは3月1日、国公私立の教育機関（大学、大学院、高等学校、小中学校）を対象としたアカデミックパッケージを刷新すると発表した。

本パッケージは、2016年11月11日に発表したアカデミックパッケージを、最新のFireEye エンドポイント・セキュリティ（HXシリーズ）を対象製品に含めるなど強化したもの。大学などの教育機関に対する標的型サイバー攻撃が巧妙化している現状を踏まえ、「FireEyeエンドポイント・セキュリティ」を対象製品に含めることで、既存の入口対策をすり抜けてきた既知の攻撃、さらに多様化する未知の攻撃をエンドポイントで検知、阻止するとともに、侵害された端末をインターネットから隔離し攻撃者による横展開を防ぎながら、攻撃に関する詳細な解析データをリモートから管理者に提供することにより、迅速な対応とセキュリティ対策の強化が可能となる。

提供予定期間は2019年12月31日まで。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

　富士通ソーシアルサイエンスラボラトリは12月25日、IoT/組み込み機器向けにマルウェア対策ソフトウェア「WhiteSec」を販売開始した。

　「WhiteSec」は、マルウェアの実行を抑止するホワイトリスト実行制御機能や、USBメモリなど外部媒体からのマルウェア侵入を防ぐデバイス制御機能、デバイス上の脆弱性からマルウェア感染を防ぐメモリ保護機能など、IoT/組み込み機器に最適化した高度なセキュリティ機能により、サイバー攻撃からデバイスを保護するソフトウェア。さらなる進展が予測されるIoT機器のセキュリティを高めるソフトウェアとして発表された。特徴としては、
〇予め登録されたホワイトリスト実行制御で未知のマルウェアの活動をブロックする
〇USBメモリなどのデバイス制御で外部からのマルウェア侵入を抑止
〇メモリ保護で脆弱性を突いた不正なコード実行を防止
〇機器の性能に影響を与えないセキュリティ対策
となっている。

対応OSはWindows XP Embedded、Windows Embedded 2009、Windows Embedded 7、Windows 10 IoT、組み込みLinux （2018年4月対応予定）。

販売価格は個別見積り。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

NTTテクノクロスは10月12日、クラウド監視ソリューション「TrustBind/Cloud Daemon」を販売開始した。

「TrustBind/Cloud Daemon」は、情報持ち出しにつながるようなクラウドサービス利用者の行動をリアルタイムに監視・可視化し、情報持ち出し対策や監査対応を実現するクラウドセキュリティソリューション。クラウドサービス利用者のアクセスを監視し、大量ファイルのアップロードやダウンロードといった不適切な行動を検知した場合、管理者へのメール通知や、自動的なアクセス遮断を行うなどの対処が可能。任意の利用者に対するアクセスログを抽出し、利用者単位で行動を可視化することもできる。

また、標準でOffice365・Box・Salesforceの3つのクラウドサービスに対応（順次拡張予定）。IaaS上に構築されたシステムや独自サービスにも対応可能（別途インテグレーションが必要）。社内ネットワーク以外からのアクセスであっても、本サービスを経由してアクセスするように経路を変更することで、アクセシビリティやモビリティといったクラウドやモバイルの利点を損なわずに、不正アクセスに対する高いセキュリティを確保することができる。

価格は月額500円／ID　（※最低利用300ID～、税別）となっている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース