ウィズセキュア、Mend.ioアプリケーションセキュリティプラットフォームの脆弱性を発見

~ 2023年5月に発見された脆弱性は両社の協力により解決済み ~

ウィズセキュア株式会社

2023-09-07 09:30

ウィズセキュアはMend.ioにおける脆弱性を発見し、両社の協力によりパッチがプラットフォームに実装されたことを発表しました。Mend.ioはソフトウェア開発者がコードライブラリに発見された脆弱性やセキュリティ問題を特定し、修正するためのサポートを提供するプラットフォームであり、今回発見された問題は、Mend.ioのユーザーが攻撃者として行動しようとする場合、脆弱なSAML実装を使用し、ターゲットから有効な電子メールアドレスを推測またはその他の方法で取得することで、同じSaaS環境にある他のMend.ioのユーザーのサブセットのデータにアクセスできる可能性がある、というものでした。
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) は、Mend.ioのアプリケーションセキュリティプラットフォームにおいて発見された脆弱性について、セキュリティアドバイザーを発行しました。Mend.ioは、ソフトウェア開発者がコードライブラリに発見された脆弱性やセキュリティ問題を特定し、修正するためのサポートを提供するプラットフォームでありFortune 100の25%を含む1,000社以上のユーザー企業を顧客に抱えています。

ウィズセキュアが2023年5月に発見したこの脆弱性は、Mend.ioのSAML (Security Assertion Markup Language) ログインオプションにおける問題でした。SAMLはシングルサインオン認証の一種であり、ユーザーは単一のログイン認証情報でさまざまなオンラインサービスにアクセスすることができます。ウィズセキュアはMend.ioにその旨を通知し、この間両社は修正のために協力体制を敷き、パッチはプラットフォームに実装されました。

この脆弱性は、Mend.ioのユーザーが攻撃者として行動しようとする場合、脆弱なSAML実装を使用し、ターゲットから有効な電子メールアドレスを推測またはその他の方法で取得することで、同じSaaS (Software-as-a-Service) 環境にある他のMend.ioのユーザーのサブセットのデータにアクセスできる可能性がありました。Mend.ioには多数のSaaS環境があり、多くの顧客が隔離された環境にあります。

Mend.ioのアカウントに含まれるデータは企業によって異なりますが、アプリケーションセキュリティプラットフォームとして使用されていることから、攻撃者はMend.ioのデータから特定できる脆弱なソフトウェアに対して標的型攻撃を計画するために情報を利用する可能性があります。

ウィズセキュアのチーフアーキテクトであるAri Inki (アリ・インキ) は、この脆弱性について次のように話しています。
「基本的に、シングルサインオンサービスは、追加認証なしに、正規の顧客の電子メールアドレスを受け入れます。攻撃者は、特定のSaaS環境でMend.ioのアカウントを取得し、シングルサインオン認証方式を受け入れるように設定し、ターゲット企業のアカウントの電子メールアドレスを使用するだけです。これらは全てサイバー攻撃者たちが実行可能なステップなのです。」

Mend.io社のカスタマーエクスペリエンス担当エグゼクティブバイスプレジデントであるRobert Nilsson (ロバート・ニルソン) 氏は今回の脆弱性の発見について以下のように語っています。
「ウィズセキュアがこの問題の特定と修正に積極的に協力してくれたことを嬉しく思います。ウィズセキュアのサポートにより、サイバー攻撃者によって利用され当社の顧客を攻撃する前に、この問題を確実に修正することができましたのです。」

今回発見された脆弱性の詳細については、以下のページをご覧ください:
(リンク »)

ウィズセキュアWebサイト:
(リンク »)
ウィズセキュアプレスページ:
(リンク »)

このプレスリリースの付帯情報

Mend

用語解説

WithSecureについて
ウィズセキュアは、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を検出し、当社のセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。当社は30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたウィズセキュアは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。
詳細は www.withsecure.com をご覧ください。また、Twitter @WithSecure_JP でも情報の発信をおこなっています。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]