セキュリティ

SECURITY

公開：2024-11-13

【CVE-2024-49340】IBM Watson Studio Local 1.2.3でCSRF脆弱性、不正操作実行のリスクに対応急ぐ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM Watson Studio Local 1.2.3でCSRF脆弱性を確認
• 信頼されたユーザーから不正な操作が実行される可能性
• CVSSスコア4.3のミディアムレベルの脆弱性

IBM Watson Studio Local 1.2.3のCSRF脆弱性

IBMは2024年10月15日、IBM Watson Studio Local 1.2.3においてクロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見されたことを発表した。この脆弱性により、Webサイトが信頼するユーザーから送信された不正な操作要求が実行される可能性が指摘されている。^[1]

この脆弱性はCVE-2024-49340として識別されており、CWEによる脆弱性タイプはクロスサイトリクエストフォージェリ（CWE-352）に分類されている。CVSSスコアは4.3（MEDIUM）であり、攻撃元区分はネットワークで攻撃条件の複雑さは低いとされているが、攻撃の成功には利用者の操作が必要となっている。

IBM Watson Studio Local 1.2.3以外のバージョンは影響を受けないことが確認されており、IBMは対策として修正パッチの適用を推奨している。この脆弱性に関する詳細な情報はIBMのセキュリティアドバイザリページで公開されており、システム管理者は早急な対応が求められている。

IBM Watson Studio Local 1.2.3の脆弱性詳細

セキュリティアドバイザリの詳細はこちら

クロスサイトリクエストフォージェリについて

クロスサイトリクエストフォージェリとは、Webアプリケーションに対する攻撃手法の一つで、以下のような特徴を持つ脆弱性である。

• ログイン済みの正規ユーザーの権限を悪用した不正な操作が可能
• ユーザーの意図しない操作を強制的に実行させる
• Webサイトの信頼関係を悪用した攻撃手法

IBM Watson Studio Local 1.2.3で発見されたCSRF脆弱性は、攻撃者が正規ユーザーのブラウザを介して不正なリクエストを送信することで、ユーザーの意図しない操作を実行させる可能性がある。この脆弱性は適切なCSRFトークンの実装やSameSite属性の設定などで対策が可能であり、早急な修正パッチの適用が推奨されている。

IBM Watson Studio Localの脆弱性に関する考察

IBM Watson Studio Localの脆弱性はCVSSスコアが4.3と中程度の深刻度であるものの、機械学習プラットフォームとしての性質上、データの改ざんやプロジェクトの不正操作などのリスクが懸念される。特に企業の重要なデータ分析基盤として利用されているケースでは、情報漏洩や不正アクセスのリスクを軽減するため、早急な対応が必要とされている。

今後はAIプラットフォームのセキュリティ対策として、多要素認証の導入やアクセス制御の強化などの追加的な防御層の実装が求められるだろう。特にエンタープライズ環境での利用が多いIBM Watson Studio Localでは、セキュリティ機能の強化が製品の信頼性向上につながるものと考えられる。

クラウドネイティブな開発環境が一般化する中、オンプレミス環境でのAIプラットフォームにおいても、継続的なセキュリティアップデートと脆弱性対策が重要性を増している。開発者とセキュリティチームの連携を強化し、早期発見・早期対応の体制を整えることが望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49340, (参照 24-11-13).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧