🔴 重要情報セキュリティ
JVN、Siemens製品の脆弱性公表方法を変更、緊急脆弱性情報も多数追加
共有:
広告
要約
JVNは2026年5月15日、Siemens製品のセキュリティアドバイザリ公表方法を2026年4月15日以降変更すると発表しました。同月に公表・更新されたアドバイザリを1件にまとめ、更新情報やCISA ICS Advisoryへのリンク掲載を取りやめます。また、GUARDIANWALL MailSuiteの緊急脆弱性や、WPS Office、エレコム製無線LAN関連製品の脆弱性など、多数の新規脆弱性情報が追加されました。特にGUARDIANWALL MailSuiteの脆弱性は悪用が確認されており、早急な対応が求められます。
ポイント
- 1JVNは2026年4月15日以降、Siemens製品のセキュリティアドバイザリ公表方法を変更。同月のアドバイザリを1件に集約し、更新情報やCISA ICS Advisoryへのリンク掲載を停止。
- 2キヤノンマーケティングジャパンのGUARDIANWALL MailSuiteにスタックベースのバッファオーバーフローの緊急脆弱性(CVE-2026-32661)が確認され、悪用が既に確認されているため、オンプレミス版はパッチ適用、SaaS版は2026年4月30日のメンテナンスで修正済み。
- 3WPS Officeに名前付きパイプに対するアクセス制御不備の脆弱性(CVE-2018-6400)が発見され、管理者権限を持たない一般ユーザーによってSYSTEM権限で任意のプログラムを実行される可能性があり、最新版へのアップデートが必要。
- 4エレコム製無線LAN関連製品にクロスサイトリクエストフォージェリ、OSコマンドインジェクション、脆弱な認証情報の使用、スタックベースのバッファオーバーフローなど複数の脆弱性が報告されており、ファームウェアのアップデートと堅牢なパスワードへの変更が推奨される。一部製品はサポート終了のため使用停止が必要。
- 5CISA ICS Advisory / ICS Medical Advisory(2026年05月14日)が新規17件、更新1件公表され、Siemens製品を中心に多数の産業用制御システム関連の脆弱性が含まれている。
💡インサイト
JVNによるSiemens製品の脆弱性情報公開方法の変更は、OT(運用技術)セキュリティ市場の急速な拡大と、それに伴う脆弱性情報の氾濫を背景としています。 情報を月次で集約する動きは、ユーザーの負担軽減を目的としていますが、同時にCISAなど一次情報源の直接監視の重要性を高めています。 一方で、GUARDIANWALLの悪用が確認された脆弱性の公表は、サプライチェーン攻撃の深刻化を浮き彫りにしました。 企業はもはや自社の対策だけでなく、取引先を含めたサプライチェーン全体でのセキュリティ管理が不可欠です。 これらの動向は、企業に対し、CVSSスコアといった静的な評価だけでなく、実際の攻撃で悪用されているかといった脅威インテリジェンスを重視し、ITとOTを統合した迅速な脆弱性管理体制の構築が事業継続の鍵となることを示唆しています。
#脆弱性#セキュリティ#JVN#Siemens#GUARDIANWALL MailSuite#WPS Office#エレコム#CISA ICS Advisory
ソースURL
https://jvn.jp/広告
共有:
このようなニュースを自動で受け取りませんか?
気になるWebページを登録するだけで、変更をAIが記事にしてお届けします
無料で始める