沖縄のFRTが提供する新サービス『Orion Risk Radar.』が、VLCセキュリティと連携して導入されます。外部資産のリスク管理を効率的に支援します。

認定こども園みのり幼稚園は、登降園管理システムが侵害され、保護者と職員宛てに不正なメールが送信されたことを明らかにした。 ：Security NEXT

TTS株式会社が新たに発売したGPSトラッカー「TTS-03A」。太陽光で最大5年稼働可能で、外部電源は不要。屋外資産管理の強い味方です。

2025年8月、IT資産管理ツール「SS1」に複数の重大な脆弱性が確認され、IPAおよびJVNから注意喚起が発表されました。これらの脆弱性は外部からの不正アクセスやリモートコード実行、権限昇格などにつながる恐れがあり、企業システム全体に深刻な影響を及ぼす可能性があります。 本記事では、JVN#99577552として公開された脆弱性の概要や想定される攻撃シナリオ、影響範囲、そして推奨される対策までをわかりやすく整理して紹介します。 SS1について 出典： SS1は株式会社ディー・オー・エスが提供するIT資産管理ツールです。企業のPCやソフトウェアライセンス、セキュリティパッチ適用状況を一元管理できるため、多くの中堅・大企業で利用されています。オンプレミス版とクラウド版が提供され、セキュリティ対策や内部統制の一環として導入が進んでいることが特徴です。 企業の基盤を支えるシステムであるため、脆弱性が放置されると資産情報や構成データの漏えい、業務停止といったリスクにつながる点に注意が必要です。特に今回のJVN#99577552では、WindowsとMacOSの両環境に影響する複数の問題が含まれており、利用企業は早急な対応を迫られています。 脆弱性の概要 ここでは、JVN#99577552で報告された脆弱性の内容を整理します。脆弱性は全部で8件あり、暗号の強度不足やファイル検証不備、パストラバーサル、ハードコードされたパスワードの使用など多岐にわたります。いずれも遠隔からの悪用が可能で、深刻な被害を引き起こす危険があります。 脆弱性の内容 それぞれの脆弱性は以下のように分類されます。技術的な原因は異なりますが、共通して外部からの不正利用や内部ユーザーによる権限濫用につながる可能性があります。 不十分な暗号強度（CVE-2025-46409） 外部からアクセス可能なファイル/ディレクトリ（CVE-2025-52460） 重要リソースのアクセス権不備（CVE-2025-53396） ファイル検証不備による任意アップロード（CVE-2025-53970、CVE-2025-54762） パストラバーサル（ファイル上書き・CVE-2025-54819／ファイル閲覧・CVE-2025-58072） ハードコードされたパスワードの使用（CVE-2025-58081） このように脆弱性の性質は幅広く、単一の問題ではなく複合的なリスクを抱えています。 影響を受けるバージョン 影響対象は以下の通りです。 SS1 バージョン 16.0.0.10 およびそれ以前（メディアバージョン 16.0.0a 以前） SS1クラウド バージョン 2.1.3 およびそれ以前 なお、CVE-2025-53396やCVE-2025-58081はMacOSのみ、CVE-2025-52460やCVE-2025-53970などはWindows環境に影響するなど、環境によって脆弱性の対象が異なる点も特徴です。 想定される攻撃シナリオ 脆弱性は悪用されるとさまざまな攻撃に発展します。ここでは代表的なシナリオを解説します。攻撃者は単独の脆弱性を突くだけでなく、複数を組み合わせて段階的にシステムを掌握する可能性もあります。 認証バイパスと不正アクセス 暗号の強度不足により、攻撃者が認証情報を解読し、本来は認証が必要な機能に侵入する恐れがあります。これにより管理者権限を持たない状態でも資産情報にアクセスされる危険があります。 ▼ 関連記事 ファイルアップロードを利用した乗っ取り アップロード検証の不備を悪用し、細工されたスクリプトや実行ファイルをアップロードされると、サーバ上でSYSTEM権限によるコード実行につながります。これはリモートコード実行（RCE）攻撃の典型例です。 パストラバーサルと情報窃取 「../」を利用したパストラバーサルにより、本来アクセス不可能なファイルに到達できてしまいます。これを悪用すれば、設定ファイルの改ざんや機密情報の読み取りが可能になります。 影響範囲とリスク SS1の脆弱性が悪用されると、組織全体に深刻なリスクをもたらします。リスクは情報漏えい、業務停止、内部不正など多岐にわたります。 情報漏えいの可能性 構成ファイルやログ、アップロードファイルなどが窃取されることで、社内のシステム構成や利用状況が攻撃者に把握される可能性があります。これにより二次攻撃のリスクが増大します。 システムの改ざん・停止 任意コード実行やファイル上書きにより、システム設定が改ざんされたり、重要サービスが停止する恐れがあります。企業の業務継続に直結するリスクです。 内部不正や権限濫用 MacOS環境ではユーザーがroot権限を奪取できる問題もあり、内部関係者やマルウェアが管理権限を掌握する危険があります。これは内部統制上の大きな懸念点です。 SS1の脆弱性（JVN#99577552｜CVE-2025-53970など）への対策 対策の基本は、開発元が提供する修正プログラムを適用することです。DOS社は脆弱性に対応したアップデートを公開しており、オンプレミス利用者は「CLUB SS1」から、クラウド利用者は管理サイトから適用可能です。 推奨される対応 早急なアップデート適用が最も有効な対策です。開発元の株式会社ディー・オー・エスは、本件脆弱性に対処する修正プログラム（パッチ）をすでにリリース済みであり、ユーザーに対し最新版へのアップデートを呼びかけています。 ▼ 株式会社ディー・オー・エスからのリリース もし何らかの事情で即時にアップデートできない場合は、一時的なリスク低減策として以下のような対応も検討してください。 SS1サーバやエージェントへのアクセス経路を厳格に制限し、信頼できる管理ネットワーク内からのみアクセス可能とする。 不要なアップロード機能や外部公開されたディレクトリがあれば一時的に無効化・遮断する。 クライアントPC上のSS1エージェントの権限を見直し、可能ならば管理者権限で動作しないよう設定を変更する。 しかし、これらの対処はあくまで応急措置であり恒久対応にはアップデートの適用が不可欠です 注意点 アップデートは恒久対策であり、応急措置では根本解決にはなりません。更新を怠った場合、公開情報を元に攻撃が広がるリスクが高まるため、迅速な対応が求められます。 まとめ SS1における脆弱性（JVN#99577552）は、リモートコード実行や認証回避、権限昇格など重大なリスクを含むものです。影響範囲はオンプレミス版・クラウド版双方に及び、企業システム全体を危険にさらす可能性があります。 対策はシンプルで、開発元が提供する修正プログラムを適用することが最重要です。利用中の企業は早急に更新作業を進め、IT資産を守る体制を整えることが求められます。

マンション修繕積立金の横領事件が後を絶たない。共働き家庭の増加や入居住民の高齢化に伴い、管理組合業務を外部委託する需要が高まっているが、不正リスクを排除するためにも住民自身による監視機能をどう維持できるかが課題だ。資金の出入りを透明化しチェックを徹底するなど、資産を守る意識が欠かせない。「住民にどう説明すれば……」。約1年前、大阪府内にあるマンション管理組合の理事を務める女性は、修繕積立金を管

急増するサイバー攻撃を受けて、企業は外部公開IT資産の管理とセキュリティ対策が急務です。ウェビナーではその対策をご紹介します！

サイバー攻撃のリスクが増加する中、企業が外部公開IT資産を適切に管理する方法を解説。ウェビナーでの知見を紹介します。

増える外部公開IT資産とサイバー攻撃の関係についてのウェビナーを開催します。攻撃手法や対策について詳しく解説。

著者：doitsu(著)　個人出版　2025/6/23(月)配信

企業は毎日、新しいデジタルサービス（ウェブサイト、API、クラウドインスタンスなど）を立ち上げており、セキュリティチームがそれらを把握し続けるのは困難です。その過程で、監視されていないサブドメインや誤設定されたバケットが潜んでおり、機会をうかがう攻撃者の侵入を待っています。 外部攻撃対象領域管理（EASM）は従来の考え方を覆します。侵害に対応するのではなく、インターネットに公開されているすべての資産を継続的にマッピングし、監視します。隠れた露出は可視化され、攻撃に利用される前に対処できる脆弱性となります。 EASMはどのように機能するのか？ EASMの本質は、外部からアクセス可能なすべてのデジタル資産を発見・棚卸し・評価することです。これにはドメイン、サブドメイン、IPアドレス、クラウドサービス、IoTデバイス、サードパーティパートナー、その他攻撃経路となり得るすべての公開デジタル資産が含まれます。 従来の脆弱性スキャンが境界内の既知資産に焦点を当てるのに対し、EASMははるかに広範囲をカバーし、既知・未知の両方を発見します： 自動発見：アクティブスキャン、パッシブDNS解析、証明書トランスペアレンシーログ、OSINT（オープンソースインテリジェンス）を活用し、忘れられた資産やシャドーIT資産を発見します。 継続的な監視：時間の経過による変化（新しいサブドメイン、最近展開されたクラウドワークロード、公開された開発サーバーなど）を追跡し、資産棚卸しからの逸脱を検知します。 リスクの優先順位付け：悪用可能性やビジネスへの影響に基づいて露出をスコアリングし、チームが優先度の高い脅威から対処できるようにします。 その結果、攻撃者が見ているものを常に最新の地図として可視化でき、組織は悪用される前に弱点を補強できます。 EASMがサイバーリスクを低減する主な方法 1. 露出状況の完全な可視化：組織は自社が運用しているインターネット接続資産の数を過小評価しがちです。廃止されたテストサーバーを指す期限切れサブドメインや、誤設定されたクラウドストレージバケットなど、管理されていない資産はすべて“開かれたドア”です。EASMツールは以下を提供します： 包括的な資産棚卸し：自動発見により、シャドーITや忘れられたサービスも漏れなく把握できます。 ライブトポロジーマッピング：資産同士の接続状況や重要データの所在を可視化します。 盲点を明らかにすることで、セキュリティチームは意図しない経路を閉じ、一貫したセキュリティコントロールを適用できます。 2. 積極的なリスク低減：従来のセキュリティ体制は受動的で、パッチ適用・スキャン・アラート待ちが中心です。EASMはこのモデルを転換します。セキュリティチームは、攻撃者の手に渡る前にリスク資産を修正または隔離でき、露出期間を劇的に短縮できます： 誤設定の早期検知：認証なしで公開されているデータベース、開放された管理ポート、期限切れのSSL/TLS証明書などを出現と同時に特定します。 脅威主導のインサイト：新たに発見された資産と最新の脅威インテリジェンス（例：特定技術スタックを狙うマルウェアキャンペーン）を関連付けます。 3. 文脈に基づくリスク優先順位付け：すべての発見事項が同等ではありません。EASMプラットフォームは以下を分析してリスクスコアを割り当てます： 資産の重要度：本番のECサイトか、顧客データのないデモ環境か？ 悪用可能性：既知の脆弱性や公開されたエクスプロイトが存在するか？ 脅威環境：同様の資産を狙う偵察やスキャン活動が実際に行われているか？ この文脈により、チームは限られたリソースを高インパクトな課題に集中させ、低優先度のアラートに振り回されずに済みます。 4. チーム間の連携強化：中央ダッシュボードと標準化されたレポートにより、EASMはIT、セキュリティオペレーション、DevOps間の連携を促進します： 共有資産レジストリ：開発者やインフラチームは、どのサブドメインやクラウドバケットがいつ公開されているかを正確に把握できます。 自動チケット連携：重大な露出はITSMシステムで自動的にチケット化・割り当てされ、迅速な対応を実現します。 経営層向けダッシュボード：ビジネスリーダーは全体のサイバー体制や、対応によるリスク低減状況を可視化できます。 EASMを効果的に導入するには メリットは明確ですが、EASMを成功させるには慎重な計画が必要です： 範囲と目的の定義 対象とする事業部門、地域、技術スタックを特定します。 「3か月以内に未知のインターネット公開資産を90%削減」「公開IPのRDP/SSHポートを全廃」など、測定可能な目標を設定します。 既存のセキュリティツールチェーンと統合 EASMの発見結果をSIEM、SOAR、脆弱性管理プラットフォームに連携します。 外部資産データと内部CMDB（構成管理データベース）を突き合わせ、既知・未知資産を照合します。 修正ワークフローの自動化 APIを活用し、インフラストラクチャ・アズ・コード（IaC）プロセスで公開資産を自動的にロックダウンします。 重大なアラートはSlack、Microsoft Teams、PagerDuty経由で担当エンジニアに通知します。 継続的な改善体制の確立 検出された露出について定期的に振り返り（原因分析、教訓、プロセス改善）を行います。 よくある誤設定や資産ドリフトパターンをプレイブックやランブックに反映します。 教育と遵守の徹底 開発者やクラウドアーキテクト向けに、安全な資産プロビジョニングのトレーニングを実施します。 CI/CDパイプラインにガードレールを設け、サービスの意図しない公開を防ぎます。 攻撃対象領域を制する 外部攻撃対象領域管理は、現代のサイバー防御の基盤です。継続的な発見、リスクベースの優先順位付け、自動修正を提供することで、EASMはセキュリティチームを受動的な“火消し役”から、積極的なリスク管理者へと変革します。 効果的に導入すれば、EASMは攻撃対象領域を縮小し、対応速度を向上させ、部門横断のコラボレーションを促進し、最終的には高度化する攻撃者に対する組織の耐性を強化します。 EASMを導入することで、企業は危険が増すデジタルフロンティアを乗り切るために必要な可視性とコントロールを手に入れられます。外部脅威が進化し続ける中、攻撃対象領域を“動的資産”として常に管理し、定期監査だけに頼らない組織こそが一歩先を行くことができるのです。 管理されていない資産が次の情報漏えいの原因とならないようにしましょう。Outpost24のEASMソリューションなら、継続的な可視化、リスクベースの優先順位付け、自動修正を、拡張性と統合性に優れたプラットフォームで実現できます。 今すぐ無料の攻撃対象領域分析を予約しましょう。 スポンサー：Outpost24による寄稿記事。 翻訳元:

サイバー資産攻撃対象領域管理（CAASM）および外部攻撃対象領域管理（EASM）ツールの主な目的は、企業のセキュリティ対策に関する情報を攻撃者から守ることです。ビジネスに最適なツールを選ぶ際に検討すべき9つのツールを紹介します。 サイバー資産攻撃対象領域管理（CAASM）または外部攻撃対象領域管理（EASM）ソリューションは、攻撃対象領域を定量化し、それを最小化・強化するために設計されています。CAASMツールの目標は、重要なビジネスサービスを維持しつつ、攻撃者に企業のセキュリティ体制に関する情報をできるだけ与えないことです。 もしあなたが強盗映画を見たことがあれば、世紀の大仕事を実行する最初のステップは現場の下見です。セキュリティ対策の観察、対応時間の測定、脱出ルートの把握などです。このプロセスは、企業のITリソースを攻撃・防御する際にも似ています。インターネット上で公開されているリソースを把握し、技術スタックを理解し、脆弱性や弱点を見つけます。 攻撃対象領域管理の基本 攻撃対象領域とは、何らかの形でインターネットからアクセス可能な企業のすべてのリソース（資産とも呼ばれる）を指します。これには、社内でホストされファイアウォール越しにポートが開放されているアプリケーション、クラウド上のSaaSアプリケーション、またはパブリックに存在するクラウドホスト型リソースなどが含まれます。攻撃対象領域には、開放ポートやプロトコル、使用されているSSLや暗号化標準、ホストされているアプリケーション、さらにはアプリケーションをホストするサーバープラットフォームなどが含まれます。 攻撃対象領域を構成する単位は資産と呼ばれます。資産はIPアドレスやドメイン名と、それを構成する技術スタックの組み合わせです。 脆弱性とは、設定の不備や未修正のソフトウェアによって、悪意のあるユーザーが1つ以上のシステムを侵害するための隙間を残してしまうことです。 攻撃対象領域管理は主にインターネットに公開された資産に焦点を当てていますが、企業データセンターやクラウドネットワーク内の資産も、適切に監視・管理されていなければリスクとなります。これらの資産は外部からアクセスできないため、監視にはソフトウェアエージェントや監視サービスがネットワーク内にアクセスできる必要があります。 サーバーやアプリケーションは、企業ネットワーク内部から見ると脆弱な部分を持っていることがよくあります。監視ツールは、より広範なサービスを評価し、多くの場合、匿名ユーザーと認証済みユーザーの両方としてサービスをテストする必要があります。 ネットワークの定期的なスキャンだけでは、攻撃対象領域を強化し続けるには不十分です。新しい資産や設定の変化を継続的に監視することが、企業リソースや顧客データのセキュリティを確保するために重要です。 新しい資産は、ブランド攻撃やシャドーITの一部となる可能性があるため、特定して監視ソリューションに組み込む必要があります。設定の変化は設計変更による無害なものかもしれませんが、人為的ミスや攻撃の初期段階によるものの可能性もあります。これらの変化を早期に特定することで、サイバーセキュリティチームが適切に対応し、さらなる被害を防ぐことができます。 リスクの発見と管理に役立つ12のツールを紹介します。 Axonius サイバー資産攻撃対象領域管理 Axoniusは、攻撃対象領域の監視に必要な主要要素を網羅した強力なCAASMスイートを提供しています。資産インベントリから始まり、自動で更新され、社内データソースやAxoniusがユーザーネットワーク外でアクセスできるリソースからのコンテキストで補完されます。また、PCIやHIPAAなどのポリシーセットによるセキュリティコントロールに基づいた監視も可能で、ポリシー違反となる設定や脆弱性を特定し、ユーザーが対応できるようにします。Axoniusクラウド全体のAWSマーケットプレイスでの価格は、500資産で年間90,000ドルからです。 Bugcrowd EASM Bugcrowdは2024年5月にInformerのEASM製品を買収し、自社のセキュリティプラットフォームに統合しました。ウェブアプリケーション、API、その他の公開ITスタックの資産発見を自動化します。これらの資産は継続的に監視され、リスクがリアルタイムで優先順位付けされます。Informerは手動によるリスク検証やペンテストの追加サービスも提供しています。ワークフロー型の対応システムにより、既存のチケッティングやコミュニケーションアプリと連携して複数チームでのインシデント対応を実現します。脅威が特定されて対処された後は、構成変更やシステム更新によるリスクの完全な解消を即座に再テストできます。 CrowdStrike Falcon Exposure Management CrowdStrikeは、Falcon Surfaceを単体のEASMツールから、Falcon Exposure Managementの中核機能へと進化させ、AIネイティブコードを追加して企業リスクを積極的に特定・排除できるようにしました。このソフトウェアはアラートの特定にとどまらず、攻撃者視点のAIを活用して実際のリスク低減を実現します。ビジネスコンテキストと脆弱性を関連付け、エクスプロイト可能性を検証し、Falcon内で直接修復が可能です。企業は外部からの視点で攻撃対象領域を把握し、アクティブ・パッシブ・APIベースのスキャンなど様々な手法でインターネット接続資産を発見できます。独自の継続的インターネットマッピング技術により、位置情報やリアルタイムの変化も把握可能です。顧客は最大98%の重大脆弱性削減、75%の外部攻撃対象領域縮小を実感しています。価格は非公開で、エンタープライズソフトウェアバンドルには含まれません。管理対象エンドポイントごとのサブスクリプションライセンスで購入でき、各階層で未管理資産のカバレッジも含まれます。上記リンクにはインタラクティブデモもあります。 CyCognito 攻撃対象領域管理 CyCognitoのCAASM製品は、オンプレミス、クラウド、サードパーティ、子会社など、どこに存在する資産でも継続的な監視とインベントリを提供します。所有権や資産間の関係などのビジネスコンテキストを追加でき、トリアージやリスク対応の優先順位付けに役立ちます。このコンテキストとインテリジェントな優先順位付け（エクスプロイトの容易さや資産分類などの評価）は、ネットワークで最も重要なリスクに集中するのに役立ちます。CyCognitoは資産の設定変更も追跡し、変更履歴の確認や新たなリスクの特定が可能です。AWSマーケットプレイスでの価格は、250資産で年間30,000ドルです。 JupiterOne サイバー資産攻撃対象領域管理 JupiterOneは、自社のCAASMソリューションを、サイバー資産データをシームレスに集約し統合ビューを提供する方法として提供しています。必要に応じて自動的にコンテキストが追加され、資産間の関係も定義・最適化でき、脆弱性分析やインシデント対応を強化します。カスタムクエリにより、サイバーセキュリティチームが複雑な質問に答えられ、インタラクティブなビジュアルマップで資産インベントリを閲覧し、インシデントの範囲評価や対応優先順位付けが可能です。既存のセキュリティツールへの投資も統合によって活用でき、JupiterOneを企業セキュリティ体制の包括的な中央ビューに変えます。AWSマーケットプレイスでの価格は企業規模に応じており、最大500名の従業員で年間24,000ドルからです。 Microsoft Defender 外部攻撃対象領域管理 Microsoft Defender EASMは、シャドーITや他のクラウドプラットフォームに存在する資産を含む、未管理資産やリソースの発見を提供します。資産やリソースが特定されると、Defender EASMは技術スタックのあらゆる層（基盤プラットフォーム、アプリフレームワーク、ウェブアプリ、コンポーネント、コアコード）で脆弱性を調査します。新たに発見されたリソースの脆弱性を、発見と同時にリアルタイムで分類・優先順位付けし、迅速に修復できます。MicrosoftのSecurity CopilotやExposure Managementと連携し、攻撃対象領域のスナップショットを取得できます。Defender EASMは、より実用的なデータダッシュボードも強化されています。管理資産1件あたり月額1セントで提供されます。 Outpost24 EASM…

株式会社アイティフォーが提供する「XCockpit EASM」は、AIを活用して外部資産のリスク管理を行うサービスです。日本市場でも導入が始まりました。