◇WordPress 用プラグイン「WP Booking」におけるクロスサイト・スクリプティングの脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「WordPress 用プラグイン『WP Booking』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・aviplugins.com が提供する WordPress 用プラグイン「WP Booking」は、予定を視覚的に表示するほか、登録や参加状況を管理することができる機能です。
・「WP Booking」には、クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているサイトにアクセスしたユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

◇「Splunk Config Explorer」におけるクロスサイト・スクリプティングの脆弱性

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2024 年 5 月 24 日に「『Splunk Config Explorer』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

・「Splunk Config Explorer」は、Splunk 用のファイルに関する設定ビューアです。
・「Splunk Config Explorer」には、反射型クロスサイト・スクリプティングの脆弱性が存在します。
・当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

この度、16年間務めさせて頂きました、広島県情報産業協会常務理事を退任する事となりました。

情産協では、人材開発委員会及びHiBiS特別委員会を担当させて頂きましたが、特にHiBiSでは色々な経験をさせて頂きました。

これまでお世話になりました皆様方に御礼を申し上げると共に、広島でのIT業界の更なる発展を願っています。

ドイツ自動車工業会（VDA）が、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求した上で、達成すべき基準となるVDA情報セキュリティ評価基準（以下「VDA ISA」）を策定しました。2017年にはENX（European Network Exchange）と協力し、TISAX（Trusted Information Security Assessment Exchange）を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この流れを受けて、欧州の自動車業界でも同様のTISAX認証の要求が広まっており、中国及び米国までの同調の動きを見せています。

これまでISO27001の審査活動を中心にセキュリティ監査を進めてきましたが、この度TISAX審査員への登録の手続きを行い、今後は国内の自動車サプライヤーに対してもセキュリティ監査を展開してゆきたいと考えています。OEMからTISAXのお話しを聞くようになりましたら、お気軽にご相談下さい！！！

IPA セキュリティセンターでは、脆弱性対策情報データベースJVN iPedia（https://jvndb.jvn.jp/ )を2007年4月25日から運用し、日々公開される国内外の脆弱性対策情報を公開しています。
2024年第1四半期（2024年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件（累計280件）、JVNから収集したもの684件（累計15,239件）、NVDから収集したもの12,010件（累計191,052件）、合計12,699件（累計206,571件）となりました。
また、2024年第1四半期（1月〜3月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計した結果、脆弱性の種類別件数の上位5件は以下となりました。

・CWE-79（クロスサイトスクリプティング）：2,198件
・CWE-787（境界外書き込み）：891件
・CWE-89（SQLインジェクション）：876件
・CWE-352（クロスサイト・リクエスト・フォージェリ）：611件
・CWE-862（認証の欠如）：328件

最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
IPAでは、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料やツールを公開しています。これらを活用し、適切に対策を実施してください。

◆詳細は下記のURLをご覧ください。
https://www.ipa.go.jp/security/reports/vuln/jvn/ipedia2024q1.html

ネットスクエアのISO27001:2022移行審査が無事終了しました。

2022年版では11個の追加の管理策が含まれており、技術的セキュリティに関連する内容が多いことから、弊社にとってもとても参考になったみたいです。

2022年版への移行は2025年10月迄に完了しなければならないので、これから移行に関する引き合いが増えてきそうです。

ISO27001:2013を取得されている組織は、急いでお問い合わせ下さい！