トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」、2023年に1,000件以上の脆弱性アドバイザリを報告

2023年9月28日

※ 本リリースは、2023年8月9日に米国にて発表されたプレスリリースの抄訳です。

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative:ゼロデイイニシアティブ(以下、ZDI)」が2023年7月末までに1,000件以上の脆弱性アドバイザリを報告したことをお知らせします
ZERO DAY INITIATIVE PUBLISHED ADVISORIES

トレンドマイクロ COOのKevin Simzerは次のように述べています。「ZDIによる脆弱性の調査と購入に毎年数百万ドルを積極的に投資することで、お客さまやセキュリティ業界全体が数十億ドルを節約していることに繋がると考えています。法人組織が脆弱性開示ベンダーに対する修正プログラム適用における透明性の欠如を懸念していることが報告されており、そのことがデジタル世界のセキュリティへの脅威に繋がっています」。

クラウドベースのサービスを強化し、ユーザを潜在的なリスクから守るためには、修正プログラムの優先順位を決め脆弱性に対処することや、研究者、サイバーセキュリティベンダー、クラウドサービスプロバイダー間の連携を促進するといった対策が必要です。
トレンドマイクロは、透明性の高い修正プログラムの適用に取り組んでおり、ZDIプログラムを通じて業界全体のセキュリティ体制を強化することを目指しています。ZDIでは、今回以下のゼロデイ脆弱性に関するアドバイザリを報告しています。

ZDI-CAN-20784 Github (CVSS 9.9)

  • この脆弱性により、攻撃者はMicrosoft GitHub のインストール時に権限を昇格できる可能性があります。この脆弱性を悪用するには認証が必要です。
  • この脆弱性はDev-Containersの設定に存在します。アプリケーションは、Dev-Containersの構成内で権限フラグを実装していません。攻撃者はこの脆弱性を利用することで、権限を昇格させ、ハイパーバイザーのコンテキストでコードを実行できます。
     

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

  • この脆弱性により、攻撃者は Microsoft Azure上の情報を閲覧できます。攻撃者がこの脆弱性を悪用するためには、ターゲット環境上でコードを実行するための高い権限の認証情報の窃取など、前段階のプロセスが必要となります。
  • この脆弱性は証明書の取り扱いにおいて存在します。この問題は、リソースが誤った制御領域にさらされることに起因しています。攻撃者はこの脆弱性を利用して、保存されている認証情報を閲覧し、さらなる侵害につなげる可能性があります。



トレンドマイクロのブラックハット USA 2023での活動について(英語)

ZDIにより報告されたアドバイザリ一覧(英語)

ZDIは、脆弱性分野のパイオニアであり、脆弱性を合法的に購入することで、情報が一般に公開される前に影響を受けるベンダーに開示しています。それにより攻撃者の活動を妨げることで、デジタルインフォメーションを安全に交換できる世界の実現に寄与しています。

  •  
  • 2023年9月28日現在の情報をもとに作成したものです。今後、内容の全部もしくは一部に変更が生じる可能性があります。
  • TREND MICROおよびZERO DAY INITIATIVEは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。