business-and-technology

CVE-2018-13379 に関するアップデート

お客様のセキュリティは、フォーティネットの最優先事項です。 当社の標準的な PSIRT プロセスの一環として、責任ある開示を通じて共有された脆弱性の疑惑が指摘された場合、フォーティネットは、潜在的な脆弱性を修正するために懸命に取り組み、その後、減災のガイダンスを伝えています。また、PSIRTチームとして、また将来を見据えたセキュリティベンダーとして、お客様に減災のためのベストプラクティスを導入し、システムにセキュリティパッチを適用するように働きかけ、教育し、奨励する方法を常に模索しています。

たとえば、フォーティネットは2019年5月にFortiOSのアップグレードで解決するSSL VPNの脆弱性に関するPSIRTアドバイザリ発行し、アップグレードを強く推奨する旨をお客様へ直接伝えたほか、2019年8月2020年7月にはブログ記事を通じて再度伝えており、その後もCustomer Support Bulletin(CSB-200716-1)を発行してアップグレードの必要性を強調しています。

この、18ヶ月前に公開された古い脆弱性の潜在的な危険性は、イギリスの国立サイバーセキュリティセンター(NCSC)とカナダの通信セキュリティ機構(CSE)によって繰り返し報告されており、これらの機関が発行した「Dukes」または「Cozy Bear」としても知られている「APT29」グループの活動に関する調査結果の中でも、このグループが悪用しているとされています。このAPTグループは、カナダ、米国、英国のCOVID-19ワクチン開発に関わる様々な組織を標的とし、COVID-19ワクチンの開発・試験に関連する情報や知的財産(IP)を盗む意図がある可能性が高いとされています。

さらに私達は、過去60日の間に脅威アクターがインターネット上でセキュリティパッチが適用されていないデバイスをスキャンしていることを認識しており、影響を受けるファームウェアを実行していることが確認された50,000以上のお客様に注意喚起を行い、減災のための手順をお伝えしています。

当初PSIRTアドバイザリが発行されて以来、再発防止のためにいくつかのプロセスとベストプラクティスを推奨してきました。しかし、18ヶ月以上にわたり、7回以上フォーティネットから通知が行われ、報道機関や政府機関もリスクの可能性を呼びかけているにも関わらず、セキュリティパッチが適用されていないままのデバイスが残念ながら多数存在し、そのIPアドレスが販売されていることが報告されています。

お客様が直面する可能性のある脆弱性について、より積極的なリスク管理と減災プロセスを採用するようお客様をサポートし、奨励するために、当社が継続的に行っているお客様保護とコミュニケーションの取り組みの一部をご紹介します。

Fortinet Monthly Vulnerability Notification(月例脆弱性通知):12月1日から、フォーティネットは毎月第一火曜日に「Monthly Vulnerability Advisory」を発行し、お客様にインフラのセキュリティパッチ適用に焦点を当てた一貫したスケジュールと特定の日にちを提供します。 潜在的な深刻度の高い脆弱性や既に悪用されている脆弱性については、必要に応じて随時通知されます。

セキュリティレーティング:FortiOS 6.6以降では、お客様が通知を見落とす可能性を排除するために、中程度以上の脆弱性はすべてに組み込まれます。セキュリティファブリック内に脆弱性を持つデバイスが存在する場合、セキュリティチームが潜在的なリスクに気づくための追加的な方法として、セキュリティレーティングを引き下げる原因となります。潜在的な問題を修正すると、セキュリティレーティングのスコアが上昇します。

GUI での脆弱性通知:PSIRT チームからの毎月の定期的な連絡に加え、それらの要因をセキュリティレーティングに反映させることで、アップグレードを必要とする深刻度の高い問題や重要度の高い問題は、影響を受ける可能性のあるデバイスの GUI にフラグが立てられ、FortiGuard アドバイザリーへのリンクが表示されます。

サポートポータルでの脆弱性通知:フォーティネットのデバイスがFortiGuardに接続して最新のセキュリティアップデートをダウンロードする時に、実行中のファームウェアバージョン情報をサポート目的のために通知します。これは、ユーザーのFortiCareサポートアカウント内のすべてのフォーティネットのデバイスのセキュリティレベルを報告するために使用されます。

安定性に注力したリリースと長期のサポート(Long-Term Support):重要インフラ事業者様によるファームウェアの選択を支援し、アップグレードのプロセスを簡素化するために、フォーティネットは安定性に注力したリリースにラベルを付け、そのファームウェアに対して長期サポートを提供します。

フォーティネットでは、お客様の組織を最適に保護し、安全を確保するために、お客様と共に歩んでいきます。その他のご提案やフィードバックは、PSIRT@fortinet.com までご連絡ください。

Fortinet PSIRT ポリシーの詳細および脆弱性の報告については、https://www.fortiguard.com/psirt_policyをご覧ください。