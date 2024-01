米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月19日(米国時間)、「CISA Issues Emergency Directive Requiring Federal Agencies to Mitigate Ivanti Connect Secure and Policy Secure Vulnerabilities|CISA」において、米連邦政府機関に、IvantiのVPN製品「Ivanti Connect Secure」および「Policy Secure」の脆弱性に対する軽減処置を実施するよう求める緊急指令を発行した。これは、サイバー攻撃者により、脆弱性の積極的かつ広範囲の悪用が観察されたことを受けての処置となる。

緊急指令対象の脆弱性の概要

軽減処置を求められた脆弱性について、本誌は2024年1月16日、「IvantiのVPN製品に緊急の脆弱性、国内でも攻撃への悪用を確認か | TECH+(テックプラス)」において報じている。対象となる脆弱性は「CVE-2023-46805」と「CVE-2024-21887」で、これらが悪用されると認証がバイパスされ、コマンドインジェクションにより任意のコマンドを実行される可能性がある。

CISA長官はこれら脆弱性は重大かつ容認できないリスクをもたらすとして、利用者に警告している。この緊急指令は連邦政府機関を拘束するものだが、このリスクは当該製品を使用しているすべての組織に影響するとして、すべての組織に対してこの指令に記載している軽減策を講じることを強く求めている。

軽減策

軽減策は発行された緊急指令「ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities | CISA」に記載されている。その概要は次のとおり。

軽減策を実施する場合、CISAが公表した緊急指令に基づいて実施することが推奨されている。また、侵害された製品を完全に復旧してサービスを再開するには、Ivantiの指示に従い追加の作業を実施することが望まれている。