セキュリティ

SECURITY

公開：2024-08-05

Johnson Controls製品に複数の脆弱性、exacqVisionシリーズのセキュリティリスクが明らかに

text: XEXEQ編集部

記事の要約

• Johnson Controls製品に複数の脆弱性
• exacqVision client/serverなどが影響受ける
• 不十分な暗号強度など6つの脆弱性を確認

Johnson Controls製品の脆弱性に関する詳細情報

Johnson Controlsは複数の製品に存在する脆弱性について、2024年8月5日に公開した。影響を受ける製品には、exacqVision client 24.06より前のバージョン、exacqVision server 24.06より前のバージョン、exacqVision Web Service 24.03およびそれ以前のバージョンなどがある。これらの製品には、不十分な暗号強度（CVE-2024-32758）や信頼できないドメインを含むクロスドメインポリシーの使用（CVE-2024-32862）など、計6つの脆弱性が確認された。^[1]

これらの脆弱性を悪用された場合、exacqVision serverとexacqVision client間の通信を復号されたり、信頼されていないドメインから不正なリクエストを送信されたりする可能性がある。また、管理者権限で状態変更操作を実行されたり、中間者攻撃によって機微な情報にアクセスされたりするリスクもある。Johnson Controlsは影響を受ける製品のアップデートを提供しており、ユーザーに対して速やかな更新を推奨している。

本脆弱性情報は、JPCERT/CCとIPAが共同で運営するJapan Vulnerability Notes（JVN）によって公開された。JVNは、セキュリティ脆弱性関連情報の届出を受け付け、公表するとともに、脆弱性関連情報のデータベースを一般への提供を行っている。今回の脆弱性情報も、この枠組みの中で適切に処理され、ユーザーの安全を確保するために公開されたものだ。

Johnson Controls製品の脆弱性まとめ

Johnson Controls製品の脆弱性対応に関する考察

Johnson Controls製品における複数の脆弱性の発見は、IoTデバイスやネットワークカメラなどのセキュリティ製品自体のセキュリティ強化の重要性を改めて浮き彫りにした。これらの製品は多くの場合、重要なインフラや施設のセキュリティを担っているため、製品自体の脆弱性は深刻な二次被害につながる可能性がある。今後、製品開発段階からのセキュリティ・バイ・デザインの徹底や、定期的な第三者によるセキュリティ監査の実施など、より包括的なアプローチが求められるだろう。

また、今回の脆弱性対応においては、製品のアップデートが主な対策となっている。しかし、セキュリティ製品のアップデートは、システムの停止や誤動作のリスクを伴うため、多くの組織が慎重にならざるを得ない。今後は、ライブアップデート技術の向上や、セグメント化されたアップデート手法の開発など、より柔軟で安全なアップデート方法の確立が望まれる。これにより、脆弱性への迅速な対応と、システムの安定性の両立が可能になるだろう。

さらに、JVNのような脆弱性情報共有プラットフォームの役割がますます重要になると考えられる。今回の事例のように、複数の製品に跨る脆弱性の場合、情報の一元化と迅速な共有が被害の拡大を防ぐ鍵となる。今後は、AIを活用した脆弱性の早期検知システムの開発や、国際的な脆弱性情報共有ネットワークの強化など、より高度な脆弱性管理エコシステムの構築が期待される。

参考サイト

1. ^ JVN. 「JVNVU#96484355: 複数のJohnson Controls製品における複数の脆弱性」. https://jvn.jp/vu/JVNVU96484355/index.html, (参照 24-08-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧