セキュリティ

SECURITY

公開：2024-11-29

【CVE-2024-35160】IBM Watson QueryとDb2 Big SQLにセッション期限切れの脆弱性、情報漏洩のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM Watson QueryとDb2 Big SQLに情報漏洩の脆弱性
• セッション期限切れの不十分な管理が原因
• 複数のバージョンで認証済みユーザーによる情報取得が可能に

IBM Watson QueryとDb2 Big SQLのセッション期限切れに関する脆弱性

IBMは、IBM Watson Query on Cloud Pak for Data 1.8、2.0、2.1、2.2およびIBM Db2 Big SQL on Cloud Pak for Data 7.3、7.4、7.5、7.6において情報漏洩の可能性がある脆弱性を2024年11月23日に公開した。認証済みユーザーがセッション期限切れの不十分な管理により機密情報を取得できる可能性があることが判明している。^[1]

この脆弱性はCVE-2024-35160として識別されており、CWEによる脆弱性タイプはInsufficient Session Expiration（CWE-613）に分類されている。NVDの評価によると、この脆弱性の深刻度はミディアム（CVSS v3.1スコア4.3）とされており、攻撃の複雑さは低いとされているのだ。

IBMはこの脆弱性に関する詳細な情報とアドバイザリーを公式サポートページで公開している。IBM Watson QueryとDb2 Big SQLの影響を受けるバージョンのユーザーは、セキュリティアップデートの適用を検討する必要があるだろう。

IBM Watson QueryとDb2 Big SQLの脆弱性詳細

IBM Watson Queryの詳細はこちら

セッション期限切れについて

セッション期限切れとは、Webアプリケーションにおけるセキュリティ機能の一つで、ユーザーの認証状態を管理するためのメカニズムのことを指している。主な特徴として、以下のような点が挙げられる。

• ユーザーのログイン状態を一定時間で自動的に終了
• 不正アクセスやセッションハイジャックのリスクを軽減
• セキュリティポリシーに基づいた適切な期限設定が重要

IBM Watson QueryとDb2 Big SQLの脆弱性は、このセッション期限切れの機能が適切に実装されていないことに起因している。認証済みユーザーが本来アクセスできないはずの情報にアクセスできてしまう可能性があり、情報漏洩のリスクが高まる状況が発生しているのだ。

IBM Watson QueryとDb2 Big SQLの脆弱性に関する考察

IBM Watson QueryとDb2 Big SQLにおけるセッション期限切れの脆弱性は、認証済みユーザーによる情報漏洩という限定的な影響に留まっているが、企業の機密データを扱うシステムにとって重要な課題となっている。セッション管理は基本的なセキュリティ機能であり、適切な実装と定期的な見直しが必要不可欠だろう。

今後は単なるセッション期限切れの機能だけでなく、多要素認証やアクセス権限の細分化など、より包括的なセキュリティ対策の実装が求められる。特にクラウド環境では、複数のサービスが連携して動作するため、統合的なセキュリティフレームワークの構築が重要になってくるだろう。

また、IBMには早急なセキュリティパッチの提供と、影響を受けるユーザーへの明確な対応指針の提示が期待される。既存のセキュリティ機能の強化だけでなく、新たな脅威に対応できる柔軟なセキュリティアーキテクチャの設計と実装を進めていく必要があるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-35160, (参照 24-11-29).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧