「CVSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
PAN-OSにCVSS v4.0「10.0」の脆弱性　特定の条件で悪用が可能に
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」（Critical）に分類されているため、迅速な対応が求められる。（2024/4/16）

攻撃の成立条件は限定的：
Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。（2024/4/16）

セキュリティニュースアラート：
Rustの標準ライブラリにCVSS 10.0の脆弱性　任意のシェルコマンドを実行されるリスク
Rustセキュリティレスポンスワーキンググループは、Rustの標準ライブラリに脆弱性（CVE-2024-24576）が存在すると報告した。サイバー攻撃者が任意のシェルコマンドを実行できる可能性がある。（2024/4/12）

セキュリティニュースアラート：
SolarWindsのネットワーク管理ツールに「緊急」の脆弱性　急ぎ対処を
Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。（2024/4/4）

セキュリティニュースアラート：
Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性　悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。（2024/4/2）

Cybersecurity Dive：
CI/CDツール「TeamCity」に新たに2つの脆弱性　修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。（2024/3/31）

Cybersecurity Dive：
ConnectWise ScreenConnectにCVSS10.0の脆弱性　サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。（2024/3/30）

セキュリティニュースアラート：
OutlookにCVSS 9.8、「緊急」の脆弱性　急ぎアップデートの適用を
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。（2024/2/28）

セキュリティニュースアラート：
脆弱性に優先度を付けるツール「CVE_Prioritizer」　CVEやCVSSなど複数の評価指標を分析
脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。（2024/2/21）

Cybersecurity Dive：
またファイル転送サービスに脆弱性　GoAnywhereの約800のインスタンスがパッチ未適用
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。（2024/2/17）

セキュリティニュースアラート：
FortiOSに新たなセキュリティリスク　CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。（2024/2/14）

セキュリティニュースアラート：
Cisco ExpresswayにCVSS9.6の脆弱性　回避策はないため急ぎアップデートを
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」（Critital）と評価されている。（2024/2/13）

Cybersecurity Dive：
Citrixの新たな頭痛の種　2つのゼロデイ脆弱性が見つかる
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。（2024/2/10）

IoTセキュリティ：
静的テストだけではなくならない脆弱性、多層的テスト手法が大きな効果
日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97％から2022年には83％となり、減少傾向にあることが分かった。（2024/2/5）

脆弱性が解消しない「Microsoft Outlook」【前編】
Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。（2024/1/24）

「Microsoft Outlook」の脆弱性を狙う攻撃【前編】
「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に
「Microsoft Outlook」に存在する脆弱性を悪用する攻撃者集団の攻撃活動が明らかになった。Microsoftがパッチを公開済みであるにもかかわらず、危険な状況が続いているのはなぜか。（2024/1/18）

ITmedia エグゼクティブセミナーリポート：
「侵入前提の対策」をうんぬんする前に検討を――始点と終点をしっかり抑えることがセキュリティ対策のポイントに
サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。（2024/1/17）

セキュリティニュースアラート：
話題の「EPSS」は「CVSS」と何が違うのか？　使い分けるべきケースを紹介
Mend.ioはセキュリティスコアリング指標「EPSS」について解説した。EPSSのメリットや課題、CVSSとの使い分けなどをまとめた。（2024/1/10）

Cybersecurity Dive：
今度は「ownCloud」で発生　ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。（2024/1/7）

セキュリティニュースアラート：
「VISS」はCVSSとどう違う？　ZVCが新たな脆弱性評価フレームワークを公開
ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System（VISS） version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。（2023/12/19）

セキュリティニュースアラート：
Apache StrutsにCVSS 9.8の脆弱性　PoC公開後にサイバー攻撃への悪用が始まる
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。（2023/12/18）

セキュリティニュースアラート：
Log4Shellから2年　3分の1のアプリが脆弱なバージョンのLog4jを使用していると判明
Veracodeが実施した調査によると、アプリケーションの3分の1以上が脆弱なバージョンのLog4jを使っていることが分かった。Log4Shellが存在しているバージョンをいまだに使っている企業もあるという。（2023/12/12）

VMware製品の注意すべき脆弱性【前編】
VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは？
VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。（2023/12/7）

セキュリティニュースアラート：
サポート終了したExchange Server約2万台が稼働中　複数の脆弱性があり注意
Shadowserver Foundationは、サポートが終了した脆弱なMicrosoft Exchange Serverが約2万台稼働していると報じた。複数の脆弱性が存在しているとされており、注意が必要だ。（2023/12/5）

セキュリティニュースアラート：
CVSS v3スコアは10.0　オンラインストレージownCloudに深刻なリスク
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。（2023/11/28）

Cybersecurity Dive：
Cisco IOS XEのゼロデイ脆弱性は対処済み？　約4万2000台のデバイスが被害
Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。（2023/11/25）

Juniper Junos OSにCVSS 9.8の緊急脆弱性　すぐに対策を
CISAはJuniper Junos OSの5つの脆弱性を新たに脆弱性カタログに追加した。これらはリモートからのコード実行が可能で、CVSSスコア値9.8で「緊急」に分析される。（2023/11/15）

指標グループを拡充、新しい評価スコア名も導入：
共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表
米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。（2023/11/10）

ファイル共有「Citrix ShareFile」の脆弱性を悪用
Citrix製品に見つかった「緊急」の脆弱性とは　1日70件以上の攻撃観測も
ファイル共有サービス「Citrix ShareFile」の脆弱性を悪用した攻撃が活発化し、米国政府機関が注意を呼び掛けている。どのような脆弱性なのか、セキュリティ専門家の見解をまとめた。（2023/11/7）

セキュリティニュースアラート：
CVSS v4.0が正式に発表　新たな命名法によって精密な脆弱性評価が可能に
FIRSTは共通脆弱性評価システム（CVSS）の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。（2023/11/6）

Cybersecurity Dive：
「サイバー犯罪者に攻撃手段を提供した」　WS_FTPの開発元がPoCを公開した第三者を批判
ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。（2023/11/4）

セキュリティニュースアラート：
Cisco IOS XEの脆弱性対応は不適切？　Horizon3.aiがPoCを公開
Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。（2023/11/2）

セキュリティニュースアラート：
VMware Toolsに「重要」の脆弱性　権限昇格が可能になるリスク
VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。（2023/11/1）

セキュリティニュースアラート：
vCenter ServerにCVSS 9.8の脆弱性　回避策なしのため迅速なアップデートを
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」（Critical）に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。（2023/10/27）

「EPSS」は脆弱性管理の新常識になるか？　データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。（2023/10/19）

セキュリティニュースアラート：
CVSSは「10.0」　Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供
CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。（2023/10/18）

半径300メートルのIT：
見るべきは「CVSSスコア」“だけ”でいいのか？　脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。（2023/10/17）

脆弱性「組み合わせ」でSAP攻撃【前編】
SAP製品を狙った“深刻な手口”が判明　複数ツールの脆弱性を悪用か
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。（2023/10/4）

セキュリティ、エンジニアは後回しにすることが多いが、CIOは最優先：
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。（2023/10/2）

Cybersecurity Dive：
もうOSS保守者に頼らない　OpenSSFが「オープンソース消費マニフェスト」を公開
Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。（2023/10/1）

セキュリティニュースアラート：
CVSSは「10.0」　WebPライブラリに脆弱性が見つかる、急ぎ対処を
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。（2023/9/28）

Trend Micro製品に緊急の脆弱性　既に悪用を確認
Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。（2023/9/21）

セキュリティニュースアラート：
iPhoneなどに任意コード実行を可能とする脆弱性　直ちにアップデートを
Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。（2023/9/11）

セキュリティニュースアラート：
ASUSのハイエンドWi-FiルーターにCVSS9.8の脆弱性　迅速にアップデートを
TWCERT/CCはASUSTeKの3つのWi-Fiルーターに「緊急」の脆弱性があると発表した。ルーターが乗っ取られる危険性があり、ユーザーは迅速にアップデートを適用することが求められている。（2023/9/7）

セキュリティニュースアラート：
VMware Aria Operations for NetworksにCVSS v3スコア9.8の脆弱性　SSH認証をバイパス
VMwareのネットワーク監視ツール「Aria Operations for Networks」に「緊急」の脆弱性が見つかった。CVSS v3スコア9.8となっており、該当製品を使っている企業は直ちにアップデートしてほしい。（2023/9/1）

セキュリティニュースアラート：
本当に合ってる？　curlの古いバグが「緊急」の脆弱性としてCVE登録される
CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。（2023/8/29）

犯罪者が狙う「ESXi」【中編】
ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった
VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。（2023/8/24）

Intelプロセッサに新たな脆弱性「Downfall」が見つかる　影響範囲広く注意
Intelのプロセッサに情報漏えいを引き起こす危険がある脆弱性「Downfall」が見つかった。同プロセッサはサーバ市場で70％以上のシェアを占めていることから、インターネットを使用する全てのユーザーが影響を受ける可能性がある。（2023/8/11）

CVSSv4.0は現行のCVSSv3.1とどう違う？　PwC Japanが解説
PwC Japanは2023年10月に公開予定のCVSSv4.0について解説した。新しい評価基準や表記の導入が予定されているため押さえておきたい。（2023/8/10）

FortiOSとFortiProxyにCVSSv3 9.8の脆弱性　直ちにアップデートを
FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。（2023/7/14）