Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?求められる“緊急の脆弱性対策”

Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。

2024年05月14日 05時00分 公開
[Arielle WaldmanTechTarget]

関連キーワード

サイバー攻撃 | セキュリティ | 脆弱性


 セキュリティベンダーFortinetの製品に重大な脆弱(ぜいじゃく)性が見つかった。この脆弱性は、SQLクエリ(データベース言語「SQL」による問い合わせ)に悪意のある操作を挿入して標的システムでの実行を可能にする「SQLインジェクション」だ。共通脆弱性評価システム(CVSS)では最高スコア(10)に近い9.8と評価されている。極めて危険なこの脆弱性の影響を受けるのは、どの製品なのか。

すぐに対策が必要なFortinet製品はこれだ

会員登録(無料)が必要です

 Fortinetは2024年3月、SQLインジェクションと位置付けた脆弱性「CVE-2023-48788」を報告した。同社が英国立サイバーセキュリティセンター(National Cyber Security Centre:NCSC)と共同で発見したという。SQLインジェクションはデータ漏えいだけではなく、攻撃者によるシステムへのリモートアクセスと制御を引き起こす可能性もある。CVE-2023-48788の影響を受けるのは、セキュリティ管理ツール「FortiClient Endpoint Management Server」(以下、FortiClient EMS)のバージョン7.0.1から7.2.2までだ。同製品のユーザー企業は直ちにパッチ(修正プログラム)を適用する必要がある。

 FortiClient EMSのユーザー企業に対して、FortinetはCVE-2023-48788が悪用される恐れがあるとみて注意を呼び掛けている。非営利の情報セキュリティ団体Shadowserver Foundationは2024年3月23日(現地時間、以下同じ)時点で、約130件のCVE-2023-48788の悪用事例を確認したという。同団体によると、特に悪用が活発だったのは米国だ。セキュリティ専門家は、まだ確認されていない悪用事例もある可能性を指摘する。

 米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は2024年3月25日、悪用された脆弱性をまとめたカタログ「Known Exploited Vulnerabilities Catalogue」にCVE-2023-48788を追加。同日に、FortiClient EMSのユーザー企業にセキュリティ対策の強化を推奨した。CISAは、2023年にサイバー犯罪集団「Clop」がソフトウェアベンダーProgress Software(旧Ipswitch)のファイル転送ソフトウェア「MOVEit Transfer」のSQLインジェクションを悪用した一連の攻撃に言及し、SQLインジェクションの危険性を強調している。

 セキュリティベンダーHorizon3 AIの脆弱性調査担当、ジェームス・ホースマン氏によると、攻撃者はCVE-2023-48788の悪用と、データベース管理システム「Microsoft SQL Server」の組み込み機能をうまく組み合わせれば、標的のシステムに対して任意のコード実行が可能になる。同氏は、攻撃者が攻撃を追跡しにくくするためにログを削除する可能性もあると言う。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/04/25 UPDATE

  1. 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
  2. ランサムウェア攻撃の“収益”が30%減 稼げなくなった犯罪者の誤算
  3. Acronis、セグエセキュリティをMSSPに認定 “価格競争力”で乗り換え促す
  4. 「App Store」や「Google Play」で“危険なアプリ”を見極める方法
  5. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  6. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  7. DeepSeekの生成AIにセキュリティ専門家が“絶望した”理由
  8. 従業員によるデータ流出、その対策で大丈夫? 内部脅威はこう防ぐ
  9. 「AI PC」が重いエンドポイントセキュリティを軽くする? ESETの挑戦
  10. データが漏えいしたら、企業はどれだけ損をする? IBM調査で判明

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方