ニュース
Googleがサプライチェーン攻撃に対する防御を強化 脆弱性報奨金を拡大
サプライチェーンを標的としたサイバーセキュリティ攻撃に対応していくため、Googleが「脆弱(ぜいじゃく)性報奨金プログラム」の拡充を発表した。高額報奨が支払われる対象を拡大することで、より広範囲のソフトウェアに対して開発者らや研究者らの注意を寄せる狙いがある。
Googleは2022年8月30日(現地時間)、Google Security Blogにて「Google Online Security Blog: Announcing Google’s Open Source Software Vulnerability Rewards Program」を公開し、オープンソースソフトウェアプロジェクトにおける脆弱性の発見を支援する取り組み「Google Open Source Software Vulnerability Reward Program」(脆弱性報奨金プログラム)を開始すると発表した。
サプライチェーンはサイバーセキュリティ攻撃の標的としてますますリスクの高い状況になっている。Googleは脆弱性報奨金プログラムの対象をオープンソースソフトウェアへ広げて、サプライチェーンにおけるセキュリティ脆弱性を早期に発見して修正するつもりだ。
Google Security Blog「Announcing Google’s Open Source Software Vulnerability Rewards Program」のトップページ(出典:Google Security Blog)
脆弱性報奨金プログラムの具体的な中身
Googleはすでに10年以上にわたり、バグ報奨金プログラムを実施しており、これまでソフトウェアに存在しているバグや脆弱性の発見を実現し、ソフトウェアをより堅牢なものに改善してきた。
関連記事
Google Chromeに5つ目のゼロデイ脆弱性 脆弱性一覧と対処方法を解説
Google Chromeに2022年に入ってから5つ目となるゼロデイのセキュリティ脆弱(ぜいじゃく)性が修正された。脆弱性の詳細は明らかにされていないが、直ちにアップデートすることでリスクを減らせる。
TwilioとCloudflareへのサイバー攻撃 前例のない規模のフィッシングキャンペーンの一部と判明
TwilioとCloudflareの従業員に対してフィッシング攻撃が行われたが、このサイバーセキュリティ攻撃が130以上の組織、延べ9931アカウントを危険にさらした大規模なフィッシングキャンペーンの一部であったことが判明した。
日本も標的に Hikvisionカメラを悪用したサイバー攻撃に要注意
CYFIRMAの研究者らは約1年前にHikvisionカメラに「コマンドインジェクション」のセキュリティ脆弱(ぜいじゃく)性(CVE-2021-36260)があるのを発見した。しかし現在もこの脆弱性に対する公開パッチが未適用で、インターネットからアクセス可能な状態になっているものが世界に8万台以上存在する。日本にも多く存在しており注意が必要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.