セキュリティエンジニアが気になったニュースまとめ 2024/9/23～9/29

1 OAuth2 client id and secret exposed through the web browser in pgAdmin 4
2 セキュアイノベーション、欧州のRE指令のセキュリティ要件を満たすEN 18031に準拠したIoTセキュリティ試験サービスの提供を開始
3 ホームゲートウェイ/ひかり電話ルータの脆弱性に対応したファームウェア提供について

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2024/9/23

OAuth2 client id and secret exposed through the web browser in pgAdmin 4

https://www.cve.org/CVERecord?id=CVE-2024-9014

pgAdmin versions 8.11 and earlier are vulnerable to a security flaw in OAuth2 authentication. This vulnerability allows an attacker to potentially obtain the client ID and secret, leading to unauthorized access to user data.

＜日本語訳＞「pgAdmin バージョン 8.11 およびそれ以前のバージョンは、OAuth2 認証のセキュリティ上の欠陥に対して脆弱です。この脆弱性により、攻撃者がクライアント ID とシークレットを取得し、ユーザーデータへの不正アクセスが発生する可能性があります。」

「pgAdmin」は、データベースであるPostgreSQLの操作用GUIツールです。その「pgAdmin」に対して、CVSSv3.1のベーススコア9.9の深刻な脆弱性が明らかとなりました。脆弱性が悪用されると、ブラウザ上でクライアントのIDなどが取得され、ユーザーデータに不正アクセスされる恐れがあります。
GUIツールを利用することで、操作性は増し便利にはなりますが、同時にこういったリスクにも注意を払う必要があります。

2024/9/25

セキュアイノベーション、欧州のRE指令のセキュリティ要件を満たすEN 18031に準拠したIoTセキュリティ試験サービスの提供を開始

https://www.secure-iv.co.jp/news/18238

SOC（セキュリティオペレーションセンター）や脆弱性診断などのサイバーセキュリティ事業を展開する株式会社セキュアイノベーション（本社：沖縄県那覇市上之屋、代表取締役社長栗田智明、以下、当社）は、2024年9月25日、来年適用予定の欧州におけるIoTセキュリティ関連の法案、無線機器指令「Radio Equipment Directive（RED：以下、RE指令）」のセキュリティ要件を満たすEN 18031に準拠したIoTセキュリティ試験サービスの提供を、EN 18031シリーズの1、2から先行開始し、3も順次展開いたします。

欧州ではIoT分野におけるセキュリティ対策の規格やガイドラインの整備、または法制化が急速に進んでおり、デジタル製品のセキュリティ要件の整備が進んでいます。

日本でも先日、「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」についての概要が発表され、一定の基準でセキュリティ機能を評価・可視化できる状況が整いつつあります。
セキュリティと一言で言っても幅広いため、このような法整備は一般消費者のためにも、一刻も早く進めて欲しいところです。

2024/9/26

ホームゲートウェイ/ひかり電話ルータの脆弱性に対応したファームウェア提供について

https://www.ntt-east.co.jp/info/detail/240926_01.html

現在、NTT東日本が提供するホームゲートウェイ/ひかり電話ルータ（以下、本機器）におけるアクセス制限不備の脆弱性に対応したファームウェアを提供しております。
本機器の初期設定では自動アップデートとなっておりますが、手動アップデートに変更しているお客さまにおいてはご自身でアップデートをしていただく必要がございます。
なお、当該アップデートはすでに99％以上の対象機器に適用済みです。（9/26時点未適用数：約360台）
本件に関するご不明点がございましたら、お問い合わせ先までご連絡をお願いいたします。
お客さまにご迷惑をおかけしておりますことを深くお詫び申し上げます。

サイバー攻撃の入り口の1つとして、ルータの脆弱性をついてVPN機能を利用しネットワーク内部に入り込む方法があります。
PC端末のOSやソフトウェアのアップデートはしっかりと行っていても、ルータのファームウェアのアップデートは気にしていない方も多いのではないでしょうか。

ルータのファームウェアアップデートは、デフォルトでは自動アップデートになっていることが多いかとは思いますが、手動アップデートになっている場合は脆弱性が残り外部から侵入されてしまうリスクが高まりますので、ご自宅、ご自身の会社の設定内容を今一度ご確認ください。

まとめのまとめ

セキュリティは、攻撃側も製品側も日々進歩しており、それに遅れてガイドラインの整備や法整備がなされていきます。
今後AIが発達していく中でセキュリティの技術革新のスピードがより増していった時に、果たして法整備は追いつくのでしょうか。

今年も残すところ3か月足らずとなりました。
季節の変わり目ですので、皆様体調にはお気を付けください。

担当：YO