【CVE-2024-21285】Oracle Banking Liquidity Management 14.5.0.12.0に重大な脆弱性、金融システムのセキュリティに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Oracle Banking Liquidity Managementに脆弱性が発見
機密性、完全性、可用性に影響のある深刻な脆弱性
CVSSスコア7.1の重要な脆弱性として分類

Oracle Banking Liquidity Management 14.5.0.12.0の脆弱性

オラクルは2024年10月15日に、Oracle Banking Liquidity Management 14.5.0.12.0のReportsに関する処理に不備があり、機密性、完全性、および可用性に影響のある脆弱性を公開した。この脆弱性は【CVE-2024-21285】として識別され、CVSSスコアは7.1と重要な脆弱性として評価されている。^[1]

この脆弱性は攻撃元区分がネットワークであり、攻撃条件の複雑さは高いとされている。攻撃に必要な特権レベルは低く設定されており、利用者の関与が必要とされているが、影響の想定範囲に変更はないとされている。

リモート認証されたユーザにより、情報の取得や改ざん、サービス運用妨害攻撃が行われる可能性が指摘されており、ベンダより正式な対策が公開されている。NVDの評価によると、CWEタイプは不正な認証と情報不足に分類されている。

Oracle Banking Liquidity Management 14.5.0.12.0の脆弱性詳細

項目	詳細
CVSSスコア	7.1（重要）
攻撃条件	ネットワーク経由、攻撃条件の複雑さ高
必要な特権	低、利用者の関与必要
影響範囲	機密性、完全性、可用性に影響
CWEタイプ	不正な認証、情報不足

不正な認証について

不正な認証とは、システムやアプリケーションにおいて認証プロセスが適切に実装されていない、または検証が不十分である状態を指す。主な特徴として、以下のような点が挙げられる。

認証バイパスの可能性
権限昇格のリスク
不正アクセスの脆弱性

Oracle Banking Liquidity Management 14.5.0.12.0の脆弱性では、不正な認証によってリモート認証されたユーザによる情報の取得や改ざんが可能になる危険性が指摘されている。CVSSスコア7.1という高い値は、この認証に関する脆弱性が重大なセキュリティリスクとなることを示している。

Oracle Banking Liquidity Managementの脆弱性に関する考察

Oracle Banking Liquidity Managementの脆弱性対策として公開された修正パッチは、金融機関のセキュリティ強化において重要な役割を果たすことが期待される。しかしながら、パッチ適用には慎重なテストと計画が必要であり、金融システムの特性上、即座の適用が困難なケースも想定されるだろう。

今後の課題として、金融システムにおけるセキュリティ対策の迅速な展開と、業務継続性の確保のバランスが重要となる。特に、Reportsに関する処理の不備は、日次や月次の決算処理に影響を与える可能性があり、修正パッチの適用タイミングには十分な検討が必要になるだろう。

金融システムのセキュリティ強化には、定期的な脆弱性診断と迅速な対応体制の整備が不可欠である。今回のような重要な脆弱性の発見を契機に、金融機関全体でセキュリティ意識の向上と対策の強化が進むことが望まれる。