UEC Bug Bounty 2022で発見された脆弱性がJVNに掲載
2023年10月17日
本学の特徴的な取り組みである学内ホワイトハッキングチャレンジUEC Bug Bountyの2022年度大会において、大谷孟宏さん(情報学専攻博士前期2年)とテロイヤン マイケルジョシュアさん(Ⅱ類(融合系)セキュリティ情報学プログラム3年)が発見した脆弱性がJapan Vulnerability Notes(JVN)#58574030として掲載されました。
JVNは、日本国内で使用されているソフトウェアなどの脆弱性等に関する情報を安全に流通させるための脆弱性対策ポータルサイトで、JPCERTコーディネーションセンター(JPCERT/CC)と独立行政法人情報処理推進機構(IPA)が共同で運用しています。
サイバー犯罪にはソフトウェアの脆弱性を悪用するものが多数あります。攻撃者が開発者よりも早く製品の脆弱性に気づくと、同じ製品を利用している多くの利用者が被害を受けます。そこで、脆弱性にいち早く気づいた人がJPCERT/CCおよびIPAにその詳細を報告し、攻撃者に知られる前に開発者に連絡して対策をしてもらうことで、被害を未然に防ぐことができます。
今回報告された脆弱性は、標的型攻撃やフィッシング詐欺につながる攻撃メールを、受信者に届く前にチェック/隔離するセキュリティ製品の脆弱性を報告したものです。
この脆弱性が悪用されると、攻撃者がセキュリティ製品のメールチェック機能を回避して攻撃対象に攻撃メールを送ることができるようになります。
今回の報告により、このセキュリティ製品の開発者は、脆弱性が悪用される前に製品の修正を行うことができました。
また、同じセキュリティ製品の利用者は、製品を開発者の指示通りアップデートするだけで攻撃の被害を未然に防ぐことができるようになりました。
JVNに掲載された本報告の詳細は以下をご覧ください。
- (新しいウィンドウが開きます)Cisco Secure Email Gateway におけるスキャン回避の問題
- (新しいウィンドウが開きます)Cisco Secure Email Gateway におけるスキャン回避の問題(図解解説)
UEC Bug Bountyは、イベントにご協賛いただける企業様を募集しております。
ご興味のあるご担当者様は是非UEC Bug Bountyウェブサイトをご覧ください。
- UEC Bug Bountyの開催と協賛のお願い
- (新しいウィンドウが開きます)UEC Bug Bounty