IT資産管理ツール・情報資産管理ソフト『AssetView』

IT資産管理ツール・情報資産管理ソフト『AssetView』

▶︎ 保守ユーザー様専用サイト ▶︎ 販売パートナー様専用サイト
資料ダウンロード お問い合わせ
  • 製品別でみる
  • 業界別でみる
外部システム連携オプションはこちら
  • 一覧で見る

    • AssetView セキュリティ情報

    JVN#26321838 : AssetViewにおける2件の脆弱性

    公開日:2025年3月25日
    最終更新日:2025年3月25日

    概要

    AssetViewの重要な機能に対する認証の欠如と、開発者への送信データからの機微な情報の取得に関する2件の脆弱性が存在することが判明しました。

    これらの問題の影響を受ける AssetView のバージョンを以下に示しますので、対策方法をご覧いただき、セキュリティ対策の適用をお願いいたします。


    該当製品の確認方法

    影響を受ける製品は以下の製品です。

    ・AssetView
      ・Ver 13.2.4.3408 (13.2.4O)より前のバージョン
       ※Ver 13.2.0より前のバージョンは、保守期間が終了しており脆弱性対策済みのバージョンに直接バージョンアップが行えません。
         弊社サポートグループへお問い合わせください。

    ・AssetView CLOUD
      ・Ver 13.2.4.3408 (13.2.4O)より前のバージョン
      ・Ver 13.3.4.3004 (13.3.4K)より前のバージョン

    ※AssetView Cloud +は、当該脆弱性の対象外です。

    ご利用中のAssetViewのバージョンが不明な場合は、管理コンソールを起動してウィンドウタイトルに表示されるAssetViewのバージョン情報をご確認ください。


    脆弱性の説明

    ●重要な機能に対する認証の欠如

    サーバー間の通信および、管理コンソールとサーバー間の一部の通信において認証が欠如しているため、外部の第三者からの偽装した通信により、サーバー内のファイルが漏えいしたり、ファイルを削除されたりする脆弱性が存在します。

    ●開発者への送信データからの機微な情報の取得

    管理コンソールからハンモック社へ送信するデータに機微な情報が含まれており、管理コンソールとハンモック社間の通信を読み取ることのできる攻撃者によって、中間者攻撃(man-in-the middle attack)が⾏われると、機微な情報が取得される脆弱性が存在します。


    脆弱性がもたらす脅威

    この脆弱性をついた攻撃が成功すると、悪意のある第三者によって、サーバー内のファイルの漏えいやファイルの削除が行われ、ハンモック社へ送信する機微な情報が取得される可能性があります。


    対策方法

    ●AssetView

    保守契約ユーザー様専用Webサイト(要ログイン)の「AssetView 2件の脆弱性対応(JVN#26321838)」にアクセスいただき、必要なAssetViewのインストーラーとマニュアルをダウンロードしていただきます。
    ご入手いただいたマニュアルに従って、脆弱性対策済みのAssetViewへのバージョンアップを実施ください。
    ※サインインには、メールアドレスとパスワードが必要です。


    ●AssetView CLOUD

    AssetView CLOUDでは、HTTPS接続が有効化されており、本脆弱性をついた悪用の可能性は低いと考えております。 ただし、契約者様によって一部セキュリティ設定が異なるため、該当の契約者様には弊社から順次バージョンアップのご案内をさせていただきます。
    ※ご不安な場合は、優先的にバージョンアップ調整を実施させていただきますので、弊社サポートグループへご連絡ください。


    回避策

    この脆弱性を緩和する要素、回避策はございません。対策済みバージョンへのバージョンアップをお願い申し上げます。


    謝辞

    この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPAに報告し、JPCERT/CC が開発者との調整を行いました。
    報告者:株式会社ベリサーブ 近藤 隆雄 ⽒


    ソフトウェア開発における情報セキュリティ基本方針

    「AssetView セキュリティ情報」にアクセスいただき、「ソフトウェア開発における情報セキュリティ基本方針」項目をご確認ください。


    更新履歴

    2025.3.25 この脆弱性情報ページを公開しました。


    連絡先

    【保守契約ユーザー様のお問い合わせ】

    AssetView サポートグループ

    電話:0120-994577(平日9:00~12:00、13:00~17:00 弊社休業日を除く)
       海外・携帯電話・PHSからは 03-5291-6137

    お問い合わせフォーム


    【保守契約が終了しているユーザー様のお問い合わせ】

    EC営業部

    電話:0120-922786(平日9:00~12:00、13:00~17:00 弊社休業日を除く)
       海外・携帯電話・PHSからは 03-5291-6121

    お問い合わせフォーム


    JVN#26321838 : AssetViewにおける2件の脆弱性

    『JVN#26321838 : AssetViewにおける2件の脆弱性』のページです。 IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』はPCのセキュリティ対策や情報漏洩対策を強化し、業務効率化やPCのライフサイクル管理を支援します。 IT管理スタイルの数だけ、変幻自在。必要な機能やサービスをオーダーメイド感覚でご提供します。 多彩な機能から必要なもののみを選んで導入することができ、それぞれが安価なためコスト削減を実現します。

    sp