セキュリティ

SECURITY

公開：2024-10-17

【CVE-2024-38037】EsriのPortal for ArcGISにオープンリダイレクトの脆弱性、情報取得や改ざんのリスクに注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Portal for ArcGISにオープンリダイレクトの脆弱性
• CVE-2024-38037として識別される深刻な問題
• 情報取得や改ざんのリスクがある

Esri製品Portal for ArcGISの脆弱性発見

Esriは地理情報システム（GIS）ソフトウェアPortal for ArcGISにおいて、オープンリダイレクトの脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-38037として識別され、CVSS v3による基本値は6.1（警告）と評価されている。影響を受けるバージョンはPortal for ArcGIS 10.9.1およびPortal for ArcGIS 11.0であることが明らかになった。^[1]

この脆弱性の影響により、攻撃者が情報を取得したり改ざんしたりする可能性がある。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは不要だが、利用者の関与が必要とされており、影響の想定範囲に変更があるとされている。

Esriは本脆弱性に対する対策として、ベンダアドバイザリまたはパッチ情報を公開している。ユーザーは参考情報を確認し、適切な対策を実施することが推奨されている。この脆弱性はCWE-601（オープンリダイレクト）に分類されており、National Vulnerability Database (NVD)にも登録されている。

Portal for ArcGIS脆弱性の詳細

オープンリダイレクトについて

オープンリダイレクトとは、Webアプリケーションにおける脆弱性の一種であり、攻撃者が意図しない外部サイトにユーザーを誘導できる問題を指す。主な特徴として、以下のような点が挙げられる。

• 信頼されたドメインを経由して悪意のあるサイトにリダイレクトが可能
• フィッシング攻撃やマルウェア配布に悪用される可能性がある
• ユーザーの信頼を悪用して、セキュリティ意識を回避できる

Portal for ArcGISにおけるこの脆弱性は、攻撃者がユーザーを偽のログインページや悪意のあるサイトに誘導する可能性がある。これにより、ユーザーの認証情報が盗まれたり、マルウェアに感染したりするリスクが高まる。Esriの製品を利用している組織は、この脆弱性に対する対策を早急に実施することが重要だ。

Portal for ArcGIS脆弱性に関する考察

Esriが迅速に脆弱性情報を公開し、対策を提供したことは評価できる点だ。GISソフトウェアは企業や政府機関で広く使用されており、地理情報の扱いにおいて重要な役割を果たしている。しかし、このような脆弱性が存在することで、セキュリティリスクが高まり、機密性の高い地理データが危険にさらされる可能性がある。

今後の課題として、GISソフトウェアのセキュリティ強化が挙げられるだろう。特に、オープンリダイレクトのような基本的な脆弱性が発見されたことは、開発プロセスにおけるセキュリティレビューの重要性を再認識させる。解決策としては、開発段階でのセキュリティテストの強化や、定期的な脆弱性診断の実施が考えられる。

今後、EsriにはPortal for ArcGISの機能拡張だけでなく、セキュリティ機能の強化も期待したい。例えば、ユーザー認証の多要素化や、リダイレクト先のホワイトリスト管理機能の追加などが有効だろう。GIS業界全体としても、セキュリティ意識の向上と、脆弱性情報の共有体制の確立が重要になってくるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-010266 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010266.html, (参照 24-10-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧