MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題(JVN) | ScanNetSecurity
2026.01.03(土)

MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題(JVN)

IPAおよびJPCERT/CCは、一部のモバイルデバイス管理(MDM)ツールで使用される「Simple Certificate Enrollment Protocol(SCEP)」の実装に問題が存在するとJVNで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
108 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月29日、一部のモバイルデバイス管理(MDM)ツールで使用される「Simple Certificate Enrollment Protocol(SCEP)」の実装に問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

SCEPを実装しているシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されている。この問題が悪用されると、他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性がある。JVNでは「認証にSCEPではなくCMPや Certificate Management over CMSを使用する」「信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する」「同一のチャレンジパスワードを使いまわししない」「証明書発行依頼ができるユーザを制限する」といったことで、本問題の影響を軽減することが可能としている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  2. 海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

    海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

  3. 請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

    請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

  4. fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

    fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

  5. 41歳コンビニ店長の転職

    41歳コンビニ店長の転職PR

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP