ITシステムをまるっと診断　脆弱性管理ツール「yamory」に新機能　WebアプリやIaaSの設定ミスなどを検知

» 2022年08月24日 19時15分公開

[ITmedia]

　情報セキュリティ企業のアシュアード（東京都渋谷区）は8月24日、脆弱性管理サービス「yamory」に、WebアプリケーションとIaaSの脆弱性を調査する機能を追加したと発表した。

yamoryの対応範囲

　yamoryはこれまで、OSS（オープンソースソフトウェア）やミドルウェア、OSなどに脆弱性がないか調べるツールだったが、今回分析範囲を拡大した。

　アシュアードは今後、情報漏えいなどの原因になるIaaSの設定ミスや、ガイドライン違反などを継続的にチェックする「CSPM」機能を11月に追加する予定。診断結果の一括管理機能にも対応するとしている。

Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める
Twitterは、ゼロデイ脆弱性が悪用され、540万以上のアカウント情報が流出したと発表した。悪用されたのは1月にバグ報奨金プログラムで報告を受けた脆弱性で、修正済みだ。ユーザーに2要素認証を使うよう推奨している。
悪用続く「Log4Shell」　対応放置の企業はランサムウェア感染など二次被害　「パッチ適用を怠れば、コストは増大」
Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。
悪用多発のゼロデイ脆弱性「Follina」　外部の研究者が危険性指摘、Microsoftの対応巡り批判も
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。
富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった　被害状況の調査結果
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、脆弱性のあったロードバランサー内で任意のコマンドが実行できる状態だったことが分かった。