Check Point Press Releases

メディア・アラート:チェック・ポイント、ネットワーク・セキュリティ・ベンダー3社のシステム管理ポータルに脆弱性を発見

Web UIの脆弱性により、管理者の認証情報を盗み出され、セキュリティ・ゲートウェイのシステム機能が乗っ取られるおそれ

2014年10月23日

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するCheck Point® Software Technologies Ltd.(インターナショナル本社:イスラエル、会長兼CEO:ギル・シュエッド)は本日、弊社のセキュリティ調査グループが、ネットワーク・セキュリティ・ベンダー3社の管理用Web UIポータルに脆弱性を発見したと発表しました。これらの脆弱性が悪用された場合、セキュリティ・ゲートウェイの管理権限を乗っ取られ、内部ネットワークが攻撃を受けるおそれがあります。Bashの脆弱性「Shellshock」に起因するWeb UIの問題に続いて、今回のような脆弱性が、特定のセキュリティ・ベンダーにおいてさらに露見される可能性が一層高まっています。

チェック・ポイントのセキュリティ調査グループのマネージャを務めるオーデッド・ヴァヌヌ(Oded Vanunu)は、「チェック・ポイントは、『脆弱性の責任ある開示』の責務を果たすため、今回見つかった脆弱性の情報を当該ベンダーに報告しました。あらゆる組織のセキュリティ向上に努める立場としては、管理用Web UIポータルに存在する今回の脆弱性の情報を周知する責任があります。セキュリティ製品でWeb UIポータルを使用している場合には、未公開の脆弱性が存在していないかどうか、当該ベンダーに問い合わせることを強く推奨します」と述べています。

今回の脆弱性は、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエスト・フォージェリ(CSRF)、フィッシング攻撃の組み合わせによって悪用されます。セキュリティ製品でWeb UIポータルを使用している場合は、この攻撃のリスクを軽減するため、次のベスト・プラクティスの実施を強く推奨します。

  • セキュリティ・デバイスのWeb UIへのアクセスには、専用のWebブラウザを使用する。安全に思える場合でも、電子メールに記載されたいかなるリンクでもこのWebブラウザで開かない。
  • セキュリティ・デバイスへのアクセスには、ユーザが使用するローカル・エリア・ネットワーク(LAN)から物理的または論理的に切り離された、専用の管理ネットワークを使用する。
  • 管理サーバを使用する場合には、セキュリティ・デバイスだけに接続され、インターネットには接続されていない専用のサーバを使用する。この専用サーバには、ターミナル・サーバまたはVPN接続経由でリモート・アクセスし、認証には強固な2ファクタ認証を使用する。

「Web UIを乗っ取る攻撃は、複数の経路から行われます。チェック・ポイントの調査によると、ネットワーク・セキュリティ・ベンダー23社中21社が、製品のセキュリティ設定の管理にWeb UIを使用しています」とヴァヌヌは述べています。

チェック・ポイントのマルウェアおよびセキュリティ調査チームは、世界中のインターネット・ユーザを保護するため、広く利用されているセキュリティ製品を対象に、定期的に脆弱性評価を実施しています。チェック・ポイントが発表したその他の研究結果と脆弱性の調査については、http://www.checkpoint.com/advisories/3rd-party-security-vulnerabilities-advisories/をご覧ください。

チェック・ポイントの最新情報:
Twitter : www.twitter.com/checkpointjapan
Facebook : https://www.facebook.com/checkpointjapan
YouTube : http://www.youtube.com/user/CPGlobal

Check Point Software Technologies Ltd.について

チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。