FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか：FortinetのVPNに「緊急」の脆弱性【前編】

FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。

[Arielle Waldman，TechTarget]

　セキュリティベンダーFortinetによると、同社のVPN（仮想プライベートネットワーク）製品に存在する深刻な脆弱（ぜいじゃく）性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の評価では、深刻度が最も高い「緊急」（スコア9.3）となった。悪用されれば、攻撃者が認証なしで任意のプログラムを実行できる恐れがあるとFortinetは説明している。

「バッファオーバーフロー」を引き起こす　CVE-2022-42475への対処法とは

併せて読みたいお薦め記事

企業は脆弱性対策が欠かせない

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは？

　CVE-2022-42475について、Fortinetはバッファー（データの一時記憶領域）に想定以上の長さのデータが入力される現象「バッファオーバーフロー」を引き起こす脆弱性だと説明する。同社は「CVE-2022-42475が悪用された1件の事案を確認している」と言い、ユーザー企業に対して直ちにシステムを検証することを勧告している。

　FortinetはCVE-2022-42475を修正するパッチ（更新プログラム）を公開し、VPN製品のバージョンを問わず、適用を促している。米TechTargetの取材に対し、同社は「引き続き状況を監視する」と説明した。

　CVE-2022-42475についてFortinetが情報を公開したのは、2022年12月12日（米国時間）だ。しかしそれより前に、CVE-2022-42475の存在が指摘されていた。フランスのセキュリティベンダーOlympe Cyberdefenseは2022年12月9日（現地時間）、「修正されていない深刻な脆弱性がFortinetのVPN製品に存在する」とみて警戒を呼び掛けていた。

---

　後編は、CVE-2022-42475の発見を巡る経緯を整理する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。