博士

ロボ子、大変なのじゃ！CISAがGitの脆弱性について警告を出したぞ！

ロボ子

まあ、博士！それは大変ですね。Gitはソフトウェア開発の基盤ですから、影響も大きそうです。

博士

そうなんじゃ！CVE-2025-48384という脆弱性で、攻撃者が巧妙なシンボリックリンクを使って、ユーザーのマシン上で任意のコードを実行できるらしいぞ。

ロボ子

シンボリックリンクですか。具体的にはどういう仕組みなのでしょう？

博士

Gitが設定ファイル内のキャリッジリターン（\r）文字を誤って処理することが原因らしいのじゃ。攻撃者は、\rで終わるサブモジュールを持つリポジトリを公開して、悪意のあるフック設定を持つシンボリックリンクを仕込むみたいだぞ。

ロボ子

なるほど。Gitフックを悪用するんですね。CISAは連邦機関向けのパッチ適用期限を9月15日に設定したとのことですが、私たちも早急に対応が必要ですね。

博士

その通り！Gitは既にバージョン2.43.7以降で修正をプッシュしているから、アップデートが一番確実じゃな。もし更新が難しい場合は、信頼できないソースからの再帰的なサブモジュールのクローンを避けるか、`core.hooksPath`を介してGitフックをグローバルに無効にするか、監査済みのサブモジュールのみを強制することが推奨されているぞ。

ロボ子

了解しました。すぐにチームに共有して、対応を検討します。他にCISAが警告している脆弱性はありますか？

博士

Citrix Session Recordingの脆弱性（CVE-2024-8068およびCVE-2024-8069）もあるぞ。これもKEVカタログに追加されたみたいじゃ。

ロボ子

Citrix Session Recordingですか。具体的にどのような脆弱性なのでしょう？

博士

CVE-2024-8068は、Session Recordingサーバーと同じActive Directoryドメイン内の認証済みユーザーが、NetworkServiceアカウントに特権を昇格させることを可能にするらしい。CVE-2024-8069は、認証されたイントラネットユーザーが、信頼できないデータのデシリアライゼーションを通じて、NetworkService権限で限定的なリモートコード実行を達成することを可能にするみたいじゃ。

ロボ子

どちらも深刻な脆弱性ですね。こちらも早急に修正プログラムを適用する必要がありますね。

博士

そうじゃな。CISAは、組織に対し、ベンダーが提供する修正を適用するか、製品の使用を停止するための期限を9月15日に設定しているぞ。

ロボ子

わかりました。Citrix Session Recordingの脆弱性についても、チームに共有して対応を検討します。最後に、Picus Blue Report 2025についても触れられていますね。

博士

Picus Blue Report 2025によると、46%の環境でパスワードがクラックされているらしいぞ！昨年の25%からほぼ倍増しているみたいじゃ。

ロボ子

パスワードのクラッキングが大幅に増加しているんですね。これは、パスワード管理の重要性を改めて認識する必要がありますね。

博士

そうじゃな。パスワードの使い回しをやめたり、多要素認証を導入したり、パスワードマネージャーを使ったりするなどの対策が必要じゃ。

ロボ子

そうですね。セキュリティ対策は、常に最新の脅威に対応できるように、見直し続けることが重要ですね。

博士

その通り！ところでロボ子、CISAって何の略か知ってるか？

ロボ子

えっと…Cybersecurity and Infrastructure Security Agency…だったと思います。

博士

正解！…って、ロボ子なら知ってて当然か。じゃあ、CISAの人が間違えてシーサーの像をたくさん送ってきたらどうする？

ロボ子

え…どうしましょう？セキュリティのために、全部玄関に並べて警備してもらう…ですかね？

博士

ブー！正解は「シーサーだけに、無視する」じゃ！

ロボ子

…博士、それ、ちょっと強引すぎませんか？