編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」

トレンドマイクロの法人向け複数製品に多数の脆弱性、悪用攻撃も発生

ZDNet Japan Staff

2020-03-16 20:04

 トレンドマイクロは3月16日、法人向けセキュリティ製品「Trend Micro Apex One」「ウイルスバスター コーポレートエディション」「ウイルスバスター ビジネスセキュリティ」の3製品に脆弱性が存在し、一部の脆弱性を悪用する攻撃が発生していることを明らかにした。脆弱性を解決する修正プログラムの早期適用をユーザーに呼び掛けている。

 同社によると、これら製品には深刻度の高い脆弱性が複数あり、このうち幾つかの脆弱性を悪用する攻撃が確認された。なお、脆弱性を悪用するには、Apex Oneとウイルスバスター コーポレートエディションでは管理サーバー、ウイルスバスター ビジネスセキュリティでは同サービスのサーバーに攻撃者がネットワーク経由でアクセスする必要があり、攻撃者が外部からリモートで直接内部のこれらサーバーを攻撃できるものではないという。サーバーへのアクセス許可を信頼されたネットワークからのみに限定することで、脆弱性の悪用リスクを軽減できるとする。

 Apex Oneとウイルスバスター コーポレートエディションには5件の脆弱性があり、うち2件で悪用攻撃が発生している。脆弱性の概要は、リモートからのコード実行やコンポーネントダウンロード時の整合性チェックの回避、システム権限レベルでの問題(サーバー上の任意ファイルの削除、リモートでの任意のコード実行、任意ファイルのアップロード)。共通脆弱性評価システム(CVSS)バージョン3による評価は8.0~10.0(最大値は10.0)とされ、深刻度は4件が「緊急」、1件が「高」となっている。

 ウイルスバスター ビジネスセキュリティには4件の脆弱性があり、うち1件で悪用攻撃が発生、また、4件のうち3件はApex Oneとウイルスバスター コーポレートエディションに存在する脆弱性となる。脆弱性の概要は、コンポーネントダウンロード時の整合性チェックの回避、ディレクトリートラバーサル、システム権限レベルでの問題(サーバー上の任意ファイルの削除、リモートでの任意のコード実行)。CVSSバージョン3による評価は8.0~10.0(同)とされ、深刻度は2件が「緊急」、2件が「高」となっている。

 今回の問題を受ける製品と修正プログラムは下記の通り。

Trend Micro Apex One

脆弱性の影響を受ける対象:Apex One バージョン 2019

修正プログラム:Apex One バージョン 2019 CP 2117

ウイルスバスター コーポレートエディション

脆弱性の影響を受ける対象:ウイルスバスター コーポレートエディション XG SP1およびXG(GM)

修正プログラム:ウイルスバスター コーポレートエディション XG SP1 CP 5474

ウイルスバスター ビジネスセキュリティ

脆弱性の影響を受ける対象:ウイルスバスター ビジネスセキュリティ バージョン 10.0 SP1、9.5、9.0 SP3

修正プログラム:ウイルスバスター ビジネスセキュリティ バージョン 10.0 SP1 Patch 2190、9.5 CP 1525、9.0 SP3 CP 4417

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]