ウィズセキュアとMend.io、アプリケーションセキュリティプラットフォームの脆弱性に対処

河部恭紀 (編集部)

2023-09-07 13:34

 フィンランドを拠点とするWithSecureは現地時間9月5日、Mend.ioのアプリケーションセキュリティプラットフォームにおいて発見された脆弱(ぜいじゃく)性について、セキュリティアドバイザーを発行した。

 Mend.ioは、ソフトウェア開発者がコードライブラリーに発見された脆弱性やセキュリティ問題を特定し、修正するためのサポートを提供するプラットフォーム。Fortune 100の25%を含む1000社以上の企業を顧客に抱えている。

 同脆弱性は、WithSecureが5月にMend.ioのSecurity Assertion Markup Language(SAML)ログインオプションで発見したもの。Mend.ioのユーザーが攻撃者として行動しようとする場合、脆弱なSAML実装を使用し、ターゲットから有効な電子メールアドレスを推測またはその他の方法で取得することで、同じSaaS環境にある他のMend.ioユーザーのサブセットのデータにアクセスできる可能性があった。Mend.ioには多数のSaaS環境があり、多くの顧客が隔離された環境にあるという。

 Mend.ioのアカウントに含まれるデータは企業によって異なるが、アプリケーションセキュリティプラットフォームとして使用されていることから、攻撃者は、Mend.ioのデータから特定できる脆弱なソフトウェアに対して標的型攻撃を計画するため、情報を利用する可能性があるとWithSecureは説明する。

 WithSecureは、Mend.ioと連絡を取っており、両社は修正のために協力体制を構築。パッチを同プラットフォームに実装済みだという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]