米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は先日、既知の悪用されている脆弱性(KEV)カタログを更新し、Microsoft OfficeおよびHewlett Packard Enterprise(HPE)OneViewに関連する2つのセキュリティ欠陥を追加しました。これは、これらの脆弱性が現在進行形で悪用されている明確な証拠に基づいています。Web3業界の専門家として、この「Web2」のニュースを看過すべきではありません。
特に注目すべきは、CVE-2009-0556(CVSSスコア 8.8)として識別されるMicrosoft Officeのコードインジェクション脆弱性です。これは驚くべきことに2009年に特定された古い欠陥であり、いまだに活動的な攻撃経路として機能していることは、レガシーシステム管理の失敗とパッチ適用の遅延が深刻なリスクであることを示しています。
Web3プロジェクトの多くは、依然として従来のオペレーティングシステムや一般的な生産性向上ソフトウェアの上で稼働しています。開発者やDevOpsエンジニアが使用するエンドポイントPCが、CVE-2009-0556のような基礎的な脆弱性を通じて侵害された場合、そのデバイス上に保管されているウォレットのシードフレーズ、プライベートキー、ノードアクセス情報、あるいはデプロイメント用認証情報などが危険に晒されます。これは、Web3資産が「従来の」サイバー攻撃によって間接的に標的にされる典型的なケースです。
Web3セキュリティの最前線に立つ私たちは、スマートコントラクト監査だけでなく、開発環境や企業のデスクトップ環境におけるパッチ管理を徹底し、ゼロトラストのアプローチを適用する必要があります。CISAの警告は、基礎的なインフラストラクチャセキュリティが、分散型アプリケーションのセキュリティチェーンにおける最も弱いリンクになり得ることを改めて示しています。
Source: CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
コメント