MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題(JVN) | ScanNetSecurity
2026.07.03(金)

MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題(JVN)

IPAおよびJPCERT/CCは、一部のモバイルデバイス管理(MDM)ツールで使用される「Simple Certificate Enrollment Protocol(SCEP)」の実装に問題が存在するとJVNで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月29日、一部のモバイルデバイス管理(MDM)ツールで使用される「Simple Certificate Enrollment Protocol(SCEP)」の実装に問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

SCEPを実装しているシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されている。この問題が悪用されると、他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性がある。JVNでは「認証にSCEPではなくCMPや Certificate Management over CMSを使用する」「信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する」「同一のチャレンジパスワードを使いまわししない」「証明書発行依頼ができるユーザを制限する」といったことで、本問題の影響を軽減することが可能としている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

ランキングをもっと見る
PageTop