管理対象でないフリーソフトの脆弱性を狙ったサイバー攻撃

オープンソースによるフリーソフトは、ちょっとしたPC作業を助けてくれる機能をもったものがたくさんあります。会社のPCであっても従業員にとってはセキュリティ意識よりも業務をすすめることを優先して利用することがあるのかもしれません。

 

今回脆弱性が共通脆弱性評価システム”CVSSv3.1”による評価が”9.0”とされた Ffmpeg の脆弱性は、悪意あるMP4ファイルを読み込むとコードが実行されてしまう危険があるとのことです。ビジネスにおいて様々な説明に動画が利用されており、だれもが動画を扱うようになった現状では、ちょっとした分割や連結などをすぐに行いたいというニーズが生まれます。

 

ちょっとした音声や動画の処理をテンポラリーにする場合は、高価な動画編集ソフトの購入はためらってしまい、Ffmpeg のようなオープンソースやフリーソフトを使ってしまうことが、企業で利用するPCやテレワークで利用するPCで起こっているかもしれません。

 

テンポラリーで利用した後に、削除をせずにPCに残っていた場合には、WEBサイトに置かれた悪意あるMP4ファイルを開くことになってしまうかもしれません。わざわざ脆弱性情報を確認してアップデートするようなことはもちろんしないはずです。

 

企業活動を安心安全に行うためには、安全と認められたソフトウェアを最新状態にアップデートして利用し続けることが脆弱性を狙った攻撃から守るために有効です。そのためには企業の中で利用してよいソフトウェアと利用してはいけないソフトウェアをしっかり決めることが必要です。利用を決めたソフトウェアに対してはアップデートのルールを決めて脆弱性を残さない利用とすべきです。

 

また、インターネット上にたくさん存在するソフトウェアの利用は厳しく制御する必要があります。

 

クオリティソフトが提供するISMCloudOneは、自動脆弱性診断機能において怪しいと思われるソフトウェアをグレイネットソフトウェアとして、利用中のPCを毎日診断して見つけ出すことができます。さらにソフトウェア起動制御機能によりそれらのソフトウェアの軌道を止めることができるのです。

 

グローバルで300社を超えるグループ会社のPCの管理をISMCloudOneをベースとしたNRIセキュアの「PC CheckCloud」で実施中の豊田通商株式会社様の事例では、日々のセキュリティ情報を把握する中に危険なソフトウェアの起動制御も含まれています。各国の事情により制御するソフトウェアも違いがあるようです。

 

ISMCloudOneでは、危険かもしれない怪しいグレイネットソフトウェアをセキュリティ辞書として日々情報を更新しています。この辞書の更新こそが、禁止ソフトを起動させずにPCやネットワークをサイバー攻撃から守るために役立っています。

 

このグレイネットソフトウェア辞書は、無償で毎日PCを診断できるPCドックで利用しています。ISMCloudOneを導入する前でも自分たちのグループ会社や、サプライチェーンにおいて危険なソフトウェアが利用されていないかをチェックすることが可能です。

 

PCドックは、無償で何台でも毎日診断を行い、その結果をWEBコンソールにより危険度を把握できます。

 

導入に予算が必要な管理ソフトですが、サイバー攻撃は待ってくれません。まずは無償のPCドックで診断してみてはいかがでしょう。

It's only fair to share...
Share on Facebook0Tweet about this on TwitterShare on LinkedIn0

クラウドサービス製品

  1. インターネットを利用する上ではフィッシング被害の増加やマルウエア感染からランサムウエアによる被害…
  2. オンプレミスで社内のIT資産管理を行ってきたQNDが、クラウドを使えるようになりました。この新機…
  3. SaaS利用とオンプレミス どっちが得か? ITを利用する業務において昨今ではクラウドからSa…

働き方改革

  1. VPN経由の被害が目立っているサイバー攻撃は、なぜ起きるのか

    警察庁が9月9日に発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によ…
  2. ローテーション勤務を安全に実施する「セキュリティガイドライン」

    緊急事態宣言の延長されましたが、陽性者数は減少しない状況です。ワクチン接種が進ま…

構成管理/サポート

  1. Microsoft Office 2013は、2023年4月11日に延長で続いていたサポートも終…
  2. 2022年12月20日より厚生労働省がソフトウェア協会に委託して、医療機関向けのサイバーセキュリ…

このサイトをシェア

Share on FacebookTweet about this on TwitterShare on LinkedIn

管理ノウハウ

  1. 情報セキュリティ監査とは? 情報セキュリティ監査とは、組織や企業で管理すべき情報システムが正常に動…
  2. 普段使っているスマートフォンやPCは、脆弱性がないか、不正アクセスされた痕跡がないか、セキュ…
  3. Microsoft Officeとは、Excel、Word、Powerpoint、Outlo…

セキュリティ対策

  1. 7月19日に、CrowdStrike(クラウドストライク)社のソフトウェアアップデートを起因…
  2. 本記事では、AIサービスの業務利用を検討している方向けに、生成AIを企業で業務利用する際の注…
  3. セキュリティパッチとは、公開されているシステムやソフトウェアに発見された不具合を解消するため…
ページ上部へ戻る