セキュリティ

SECURITY

公開：2025-02-22

【CVE-2024-13843】Ivanti製品で機密データの平文保存の脆弱性、管理者権限で機密情報が閲覧可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ivanti Connect SecureとPolicy Secureに機密データ漏洩の脆弱性
• 管理者権限を持つ攻撃者が機密情報を閲覧可能に
• Ivanti Connect Secure 22.7R2.6とPolicy Secure 22.7R1.3で修正

Ivanti製品における機密データの平文保存の脆弱性

2025年2月11日、IvantiはConnect SecureとPolicy Secureにおける機密データの平文保存に関する脆弱性【CVE-2024-13843】を公開した。この脆弱性は管理者権限を持つローカル認証済みの攻撃者が機密データを読み取ることを可能にするもので、CVSSスコア6.0のミディアムリスクと評価されている。^[1]

Connect Secureに関してはバージョン22.7R2.6未満、Policy Secureではバージョン22.7R1.3未満が影響を受けることが判明している。この脆弱性はCWE-312（機密情報の平文保存）に分類され、攻撃者が管理者権限を持っている必要があるものの、特別なユーザー操作は不要とされている。

CISAによるSSVC評価では、この脆弱性の自動化された悪用の可能性は「なし」と判断されており、技術的な影響は「部分的」とされている。Ivantiはこの脆弱性に対する修正パッチをConnect SecureとPolicy Secureの最新バージョンで提供しており、影響を受けるユーザーには速やかなアップデートを推奨している。

Ivanti製品の脆弱性情報まとめ

セキュリティアドバイザリの詳細はこちら

機密情報の平文保存について

機密情報の平文保存とは、パスワードやAPIキーなどの機密性の高いデータを暗号化せずにそのまま保存することを指す。主な問題点として、以下のような点が挙げられる。

• 権限を持つ者なら誰でも機密データを読み取り可能
• システムが侵害された場合にデータが直接露出
• 規制やコンプライアンス要件への違反リスク

機密情報の平文保存の脆弱性は、特に認証情報や個人情報を扱うシステムにおいて重大なセキュリティリスクとなる。攻撃者が管理者権限を取得した場合、暗号化されていない機密データに直接アクセスできてしまうため、二次被害につながる可能性が高くなっている。

Ivanti製品の脆弱性に関する考察

Ivanti製品における機密データの平文保存の脆弱性は、管理者権限が必要という点で直接的な影響は限定的だと考えられる。しかし、管理者アカウントが侵害された場合のリスクは非常に大きく、特に重要なインフラやシステムで使用されている環境では、情報漏洩による二次的な被害が懸念されるだろう。

今後の課題として、管理者権限を持つユーザーの認証強化や、アクセスログの詳細な監視体制の構築が重要になってくる。特に多要素認証の導入や、特権アカウント管理（PAM）ソリューションの活用により、管理者権限の不正利用のリスクを最小限に抑えることが期待されるだろう。

機密データの保護に関して、今後はゼロトラストアーキテクチャの採用や、より強固な暗号化方式の実装が求められる。管理者であっても必要最小限の権限しか持たせない最小権限の原則を徹底し、機密データへのアクセスには常に監査可能な承認プロセスを設けることが望ましい。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13843, (参照 25-02-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧