Web3セキュリティを専門とする編集部として、伝統的なエンタープライズ領域におけるサイバー脅威の動向が、分散型エコシステムに与える潜在的なリスクを分析します。米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は最近、Microsoft OfficeおよびHewlett Packard Enterprise (HPE) OneViewのセキュリティ欠陥2件を、積極的に悪用されている既知の脆弱性(KEV)カタログに追加しました。
特に注目すべきは、Microsoft Officeのコードインジェクションの脆弱性「CVE-2009-0556」(CVSSスコア 8.8)です。これは10年以上前のレガシーバグでありながら、依然として現実の攻撃で活用されています。
なぜこれがWeb3に関わるのか?
DeFiプロトコルやスマートコントラクトの強固な設計とは裏腹に、それらを開発・運用する基盤となるITインフラストラクチャは、しばしば古典的な脆弱性に晒されています。開発者やコアコントリビューターが日常業務でOfficeのような伝統的なソフトウェアを使用している場合、この種の脆弱性を通じてワークステーションが侵害されれば、署名鍵、デプロイメント認証情報、シードフレーズなどの重要情報が盗み出されるリスクがあります。Web3プロジェクトは、レイヤー0(インフラストラクチャ)のセキュリティを疎かにせず、エンドポイントの即時パッチ適用と監視を徹底する必要があります。
Source: CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
コメント