Fortinet、FortiWLMのCriticalな脆弱性について開示:CVE-2023-34990 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > Fortinet、FortiWLMのCriticalな脆弱性について開示:CVE-2023-34990

デイリーサイバーアラート

Fortinet

Silobreaker-CyberAlert

ソーシャルエンジニアリング

Fortinet、FortiWLMのCriticalな脆弱性について開示:CVE-2023-34990

佐々山 Tacos

佐々山 Tacos

2025.10.30

12月19日:サイバーセキュリティ関連ニュース

Fortinet、FortiWLMのCriticalな脆弱性について開示:CVE-2023-34990

FortiGuardLabs – Dec 18, 2024, FortiGuardLabs – Dec 18, 2024, FortiGuardLabs – Dec 18, 2024

Fortinetは18日、複数製品の脆弱性に関するPSIRTアドバイザリを更新。深刻度が最高レベルの「Critical」評価のCVE-2023-34990を含む、以下の脆弱性について注意喚起した。

  • CVE-2023-34990:FortiWLMにおける、認証不要の限定的なファイル読み取りの脆弱性。相対パストラバーサルの問題に起因するもので、認証されていない遠隔の攻撃者による機微なファイルの読み取りを可能にする恐れがある。これにより、不正なコードやコマンドを実行される可能性があるとされる。CVSS v3スコアは9.6、深刻度の評価は「Critical」。
  • CVE-2024-48889:FortiManagerにおけるOSコマンドインジェクションの脆弱性。認証されていない遠隔の攻撃者が悪用すると、不正なコードの実行が可能になる恐れがある。CVSS v3スコアは7.2、深刻度の評価は「High」。FortiManagerの複数バージョンのほか、FortiAnalyzerの古いモデルでも、特定の機能が有効になっている場合は影響を受ける。
  • CVE-2024-50570:FortiClient Windowsにおける、メモリから認証情報が抜き取られる恐れのある脆弱性。重要な情報の平文保存に起因する問題で、認証されたローカルのユーザーがメモリダンプを介してVPNのパスワードを抜き出せるようになる恐れがある。CVSS v3スコアは4.9、深刻度の評価は「Medium」。

インターポール、「豚の屠殺詐欺」の代わりに「ロマンス・ベイティング」という表現を用いるよう呼びかけ

The Hacker News – Dec 18, 2024

インターポールが、「豚の屠殺詐欺(Pig Butchering)」という名称は避け、代わりに「ロマンス・ベイティング」という用語を使うよう呼びかけ。「豚の屠殺」が被害者を辱めるような表現であるために、当局への通報や情報提供が妨げられてしまうためだという。

豚の屠殺詐欺改めロマンス・ベイティングとは、ターゲットとの間で恋愛関係めいた信頼関係を構築したのちに、偽の暗号資産投資話を持ち掛けて大金を奪い取るというタイプの詐欺。2016年ごろに中国で初めて観測されて以来、世界中に蔓延するようになったとされる。

インターポールによれば、「ロマンス・ベイティング」という用語は詐欺師の用いる心理的なテクニックをイメージさせるものであり、被害者ではなく加害者の方に視線が向くような言葉だと説明。過去に暴力的性犯罪、家庭内虐待、オンライン児童搾取の分野でも用語の変更が有効だったことを踏まえ、これを詐欺の分野でも適用する必要があるなどと述べた。

CISA、メッセージングアプリをSignalなどの暗号化アプリに切り替えるよう政府高官に指示 通信事業者のハッキング受け

BleepingComputer – December 18, 2024

米CISAは18日、政府高官や職位の高い政治関係者に対し、使用するメッセージングアプリをSignalなどのエンドツーエンド暗号化アプリに切り替えるよう要請した。これは、今年10月から報告され始めた中国グループSalt Typhoonによる通信事業者のハッキングインシデントを踏まえての対応だという。

CISAは、「標的にされる可能性の高い個人は、政府支給品と私物デバイスの両方を含むモバイルデバイス間およびインターネットサービス間のすべての通信が傍受または改ざんのリスクに晒されていると想定すべきである」として、すぐさまレビューを実施した上で、主に以下に挙げるような対策を実施するよう推奨している。

  • エンドツーエンド暗号化(E2EE)メッセージングアプリへの切り替え:モバイル端末(iOS、Android)およびデスクトップ(macOS、Windows、Linux)プラットフォーム上でのモバイル通信には、SignalなどのE2EEアプリを使うようにする。
  • FIDO認証の利用:特にマイクロソフトやアップル、Googleのアカウントに関しては、フィシング耐性のあるFIDO準拠のMFA(多要素認証)をハードウェアベースのFIDO準拠セキュリティキーと組み合わせて使うか、FIDO準拠のパスキーを使うようにする。
  • SMSベースのMFAを使用しない:SMSのメッセージは暗号化されない上、フィッシングにより窃取される可能性があるため、MFAの第二の認証要素としてSMSを使用するのは避ける。
  • パスワードマネージャーを使用する:LastPass、1Password、Google パスワード マネージャー、アップルの「Passwords(パスワード)」といったパスワード管理ツールを使ってすべてのパスワードを保管する。

Salt Typhoonの通信事業者ハッキングに関連するその他の記事:

関連記事

デイリーサイバーアラート

APT

Salt Typhoon

Silobreaker-CyberAlert

中国のSalt Typhoon、トップレベルの米高官らの通話を録音していた:ホワイトハウスが報告

佐々山 Tacos

佐々山 Tacos

2024.12.10

APT

Salt Typhoon

Silobreaker-CyberAlert

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ