• Spring Frameworkの脆弱性へのUdemyの対応について

    最近のセキュリティ調査により、Spring Frameworkで3つのリモートコード実行(RCE)の脆弱性(CVE-2022-22965、CVE-2022-22963、CVE-2022-22947)が確認されました。 さらに、Springの4つ目のDoS攻撃の脆弱性もあり(CVE-2022-22950)、こちらは重要度Medium(中)に分類されます。

    これらの問題が最初に確認されて以来、Udemyのセキュリティチームでは、システムを注意深くチェックし、保護してきました。現時点において、これらの脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません

    このようにリスクが高く、深刻な影響を及ぼす脆弱性について、Udemyのチームは、脆弱性レベルの確認、ネットワーク接続の制限、ソフトウェアやシステムのアップデートの適用、必要に応じたワークアラウンドの実行など、多くの対策を速やかに講じています。セキュリティチームとエンジニアリングチームでは、Udemyの環境、主要な復処理者、これらの脆弱性インスタンスのベンダー、攻撃未遂、契約関係にあるサードパーティからの通知を監視していきます。

    追加の情報が入りましたら、このページでお知らせします。Udemyのセキュリティチームは、セキュリティ専門家の推奨事項に随時従い、Udemyシステムの安全性を確保するよう努めています。そのため現在は、個別の対応を行っておりません。Udemyの対応に関する詳細は、以下のよくある質問を参照してください。 

    Spring Frameworkのより安全なバージョンにアップデートしましたか?

    以前にSpring Framework、およびこれに関連する脆弱性のあるバージョンが使用されていた箇所については、推奨される新しいバージョンへのアップグレードや、ワークアラウンドの実行といった是正措置を慎重に講じてきました。また、Udemyのシステムをグローバルな規模で保護するため、多層防御も整備しました。

    是正措置が完了するのはいつですか?

    Udemyのセキュリティチームでは、Spring Frameworkの脆弱性による攻撃パターンが進化するなか、セキュリティ専門家やベンダーの推奨事項を常にチェックし、そのような推奨事項が共有され次第、是正措置や軽減措置を継続していきます。 

    顧客データの漏洩などはありましたか?

    現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。 

    Spring Frameworkが与える影響について、Udemy環境で使用しているサードパーティのベンダーに確認していますか?

    Udemyでは、すでにUdemy Businessの主要サブプロセッサーに連絡し、ベンダーがリリースするアップデートをツールに適用しました。 

    記事を読む
  • Udemy Businessの機能を許可リストに登録する

    ユーザーが、会社のネットワークを通じて自分のUdemy Businessアカウントにアクセスする場合、組織のIT部門でいくつかドメインやサブドメインを許可リストに登録しておかないと、正常に利用できないことがあります。 

    この記事では、Udemy Businessの機能を利用するために、どのドメインやサブドメインを許可リストに加えるべきかについて説明します。

    コンテンツを許可リストに登録する(動画ストリーミング)

    会社のネットワークから動画をストリーミングしてコンテンツを表示しているときに、パフォーマンスの大幅な低下(再生の遅延など)が見られる場合は、Udemy Businessが使用する動画ストリーミングドメインを許可リストに登録する必要があります。

    Udemy Businessのコンテンツをユーザーが問題なく視聴できるように、ネットワークのファイアウォール/ゲートウェイの許可リストに動画ストリーミングドメイン「*.udemycdn.com」を登録するよう組織のIT部門に依頼してください。

    問題が解決しない場合: 組織のIT部門が上記のドメインを許可リストに登録した後も問題が解決しないユーザーには、Udemy BusinessサポートHARファイルを提供させてください。HARファイルの情報は、Udemyのエンジニアが問題を特定して解決への糸口を見つける上で役に立ちます。

    メールの許可リストへの登録

    会社のファイアウォールで制限をかけている(よく使用される特定のサイトをブロックしている)場合は、招待メールやパスワードリセット、その他の重要なメールの配信を可能にするために、Udemy Businessからのメールの送信元である以下のドメインとすべてのサブドメインを許可リストに登録する必要があります。

    • a) *.udemy.com 
    • b) *.udemymail.com

    重要: 特定のドメインのすべてのサブドメインを許可リストに追加する方法はプロバイダーによって異なります。ご利用のメールサービスプロバイダーにご確認ください。サブドメインが許可リストに正しく登録されていないと、これらのドメインから送信されるUdemy Businessからのメールがブロックされます。

    許可リストレポートのダウンロード

    会社のファイアウォールの制限が強い(一般に使用されているサイトの一部がブロックされている)場合は、レポートが正常にダウンロードできるよう、以下のサイトを許可リストに登録してください。

    • *amazon.com

    ラボとワークスペースを許可リストに登録する(Udemy Business Proユーザー)

    会社のネットワーク内からUdemy BusinessにアクセスするUdemy Business Proユーザーは、ワークスペースラボが正常に機能するように、以下のドメインを許可リストに登録するよう組織のIT部門に依頼してください。

    • *.udemy.com
    • *.udemycdn.com
    • *.udemylabs.com
    • *.vocareum.com
    • *.amazon.com

    Azureを許可リストに登録する

    Microsoftが推奨するAzureの許可リストへの登録方法はこちらのMicrosoftのリソースでご確認ください。

    記事を読む
  • Log4jの脆弱性へのUdemyの対応について

    最近のセキュリティ調査により、さまざまなソフトウェアプロバイダーで広く使用されているJavaベースのロギングユーティリティ、ApacheのLog4jで、リモートコード実行(RCE)の脆弱性(CVE-2021-44228)が確認されました。

    この問題が最初に確認されて以来、Udemyのセキュリティチームでは、システムを注意深くチェックし、保護してきました。現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。Udemyでは引き続き、この脆弱性がUdemyのインフラストラクチャやアプリケーションに及ぼす影響について調査していきます。 

    このようにリスクが高く、深刻な影響を及ぼす脆弱性について、Udemyのチームは、脆弱性レベルの確認、ネットワーク接続の制限、ソフトウェアやシステムのアップデートの適用、必要に応じたワークアラウンドの実行など、多くの対策を速やかに講じています。セキュリティチームとエンジニアリングチームでは、Udemyの環境、主要な復処理者、本脆弱性インスタンスのベンダー、攻撃未遂、契約関係にあるサードパーティからの通知を監視していきます。

    追加の情報が入りましたら、このページでお知らせします。Udemyのセキュリティチームは、セキュリティ専門家の推奨事項に随時従い、Udemyシステムの安全性を確保するよう努めています。そのため現在は、個別の対応を行っておりません。Udemyの対応に関する詳細は、以下のよくある質問を参照してください。 

    Log4j(2.0-2.14.1)のより安全なバージョンにアップデートしましたか?

    以前にLog4jの脆弱性のあるバージョンが使用されていた箇所については、推奨される新しいバージョンへのアップグレードや、ワークアラウンドの実行といった是正措置を慎重に講じてきました。また、Udemyのシステムをグローバルな規模で保護するため、多層防御も整備しました(例: インバウンドおよびアウトバウンドのネットワーク接続での追加制限の適用など)。

    是正措置が完了するのはいつですか?

    Udemyのセキュリティチームでは、Log4jの脆弱性による攻撃パターンが進化するなか、セキュリティ専門家やベンダーの推奨事項を常にチェックし、そのような推奨事項が共有され次第、是正措置や軽減措置を継続していきます。 

    顧客データの漏洩などはありましたか?

    現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。 

    Log4jが与える影響について、Udemy環境で使用しているサードパーティのベンダーに確認していますか?

    Udemyでは、すでに各ベンダーに連絡し、ベンダーがリリースするアップデートをツールに適用しました。また、セキュリティ専門家からの集約リストを確認し、その他の推奨されるセキュリティ軽減措置にツールごとに対応しています。

    記事を読む
  • ログインに関する問題

    Udemy Businessアカウントに招待したユーザーがログインできない場合は、まず、パスワードをリセットするように指示してください。それでもログインできない場合は、そのユーザーにサポートチケットを提出するように指示してください。Udemyのサポートチームが24時間以内に対応いたします。

    Udemy Businessにシングルサインオン(SSO)を使用している場合は、組織のIT部門に連絡して、会社のSSOプロバイダーを通じたUdemy Businessへのアクセス権がユーザーに付与されていることを確認してください。

    会社のファイアウォールで制限をかけている(よく使用される特定のサイトをブロックしている)場合は、パスワードのリセット機能を有効にするために、Udemyのメールを許可リストに登録する必要があります。Udemy Businessのメール送信ドメインとサブドメインを許可リストに登録する方法をご確認ください。

     

    記事を読む