Tenable Identity Exposure 2025 年オンプレミスリリースノート

ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。

以下のリリースノートは、新しいリリース順にリストされています。

Tenable Identity Exposure 3.77.14 (2025 年 11 月 3 日)

  • RabbitMQ — 切断された接続の自動復元を実装し、継続的なメッセージ処理を確保しサービスの中断を防ぐことで、レジリエンスが向上しました。

Tenable Identity Exposure バージョン 3.77.14 には、以下のバグ修正が含まれています。

バグ修正
総当たり攻撃インジケーターが、攻撃手法属性の最新の IP/ホスト名ソースのみを表示するようになりました。
Kerberoasting 攻撃インジケーターが、Windows イベントログ取り込みの遅延に適切に対応するようになりました。
RabbitMQ アカウントは同じパスワードを共有しなくなりました。
Identity 360 (Tenable クラウド) の設定とアクティベーションが正しく機能するようになりました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.13 3.77.14
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.18.25317 8.0.21.25475
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.4.0 20.19.5.0
Erlang OTP 26.2.5.14 26.2.5.15
Rabbit MQ 4.0.9 4.0.9
SQL Server 15.0.4430.1 15.0.4445.1
OpenSSL 3.5.1 3.5.1
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.15.0 8.16.0

Tenable Identity Exposure 3.93.4 (2025 年 10 月 17 日)

  • 大容量のデータやタスクを管理する際にも安定性を維持できるよう、システムパフォーマンスを改善しました。

Tenable Identity Exposure バージョン 3.93.4 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure において、Cygni 実行を妨げる可能性があった正規表現の問題を修正しました。
Tenable Identity Exposure において、特定の RegistrySettings および FolderOptions が考慮されない、ポリシーの結果セット (RSoP) 計算ロジックの問題を解決しました。
Tenable Identity Exposure において、HC-DOMAIN-REACHABILITY ヘルスチェックが誤って失敗ステータスを返す可能性がある問題を解決しました。
Tenable Identity Exposure において、暗号化された SQL パスワードがインストーラーログに漏洩しないようにしました。
Tenable Identity Exposure において、グループポリシーオブジェクト (GPO) での Tenable 証明書の持続性の問題を修正しました。
Tenable Identity Exposure において、環境やインフラの要因によって RabbitMQ キューが一時的に切断されたり、正常な再接続に失敗したりする可能性がある問題を解決しました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.93.3 3.93.4
C++ 2015-2022 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.20.25420 8.0.21.25475
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.5.0 20.19.5.0
Erlang OTP 26.2.5.15 26.2.5.15
Rabbit MQ 4.0.9 4.0.9
SQL Server 15.0.4445.1 15.0.4445.1
OpenSSL 3.5 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.16.0 8.16.0

Tenable Identity Exposure 3.93.3 (2025 年 9 月 24 日)

  • 新しいダッシュボードテンプレート — 新しいダッシュボードテンプレートは、組織が ACSC サイバーセキュリティ基準へのコンプライアンスを監視して改善するのに役立ちます。このテンプレートは、Active Directory 侵害の検出と軽減に関する最近の「ファイブアイズ」同盟レポートの内容を可視化し、大まかな概要と詳細なインサイトの両方を提供することで、修正の優先順位付けを可能にします。

  • IoA デプロイメントプロセスの改善 — スケジュールされたタスクの長いコマンドブロックを、専用の PowerShell スクリプトに置き換えました。

    • 専用リスナーランチャー: 新しいデプロイメントでは、SYSVOL に保存されている署名済みのリスナー launcher.ps1 スクリプトを使用します。このスクリプトは、スケジュールされたタスクを簡素化し、セキュリティを改善します。

    • 証明書のデプロイメント: Tenable の証明書が、署名済みのスクリプト実行に必要なグループポリシー (GPO) 経由で自動的にデプロイされるようになりました。

  • RabbitMQ — 切断された接続の自動復元を実装し、継続的なメッセージ処理を確保しサービスの中断を防ぐことで、レジリエンスが向上しました。

Tenable Identity Exposure バージョン 3.93.3 には、以下のバグ修正が含まれています。

バグ修正
総当たり攻撃インジケーターが、攻撃手法属性の最新の IP/ホスト名ソースのみを表示するようになりました。
Kerberoasting 攻撃インジケーターが、Windows イベントログ取り込みの遅延に適切に対応するようになりました。
露出インジケーター特権ユーザーのログオン制限の理由テンプレートが強化され、特権ユーザーアカウントではすべての IRSNB 権限が拒否されなければならないことが明記されました。
セキュアリレーは、スケジュールされたタスクスクリプトの署名を自動化し、最近のセキュリティ対策で発生していた自動更新の問題を解決しました。この変更により、サポートケースが減り、手動による修正なしで更新がスムーズに実行されるようになりました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.93.2 3.93.3
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.16.25216 8.0.20.25420
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.4.0 20.19.5.0
Erlang OTP 26.2.5.14 26.2.5.15
Rabbit MQ 4.0.9 4.0.9
SQL Server 15.0.4430.1 15.0.4445.1
OpenSSL 3.5 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.13.0 8.16.0

Tenable Identity Exposure 3.77.13 (2025 年 8 月 6 日)

Tenable Identity Exposure バージョン 3.77.13 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は Erlang と RabbitMQ のアップグレードプロセスを改善し、再インストール前にすべての Erlang サービスが停止していること、インストールディレクトリが完全にクリーンであることを確認するようになりました。これにより、以前にセキュリティエンジンノードのインストールやアップグレードを失敗させていた依存関係の問題が修正されています。
Tenable Identity Exposure は、複雑な Active Directory 環境であっても、攻撃インジケーター (IoA) のデプロイメント中に「Tenable.ad」グループポリシーオブジェクト (GPO) を一貫して検出するようになりました。これにより、IoA インストールプロセスの信頼性が向上しています。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.12 3.77.13
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.18.25317 8.0.18.25317
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.3.0 20.19.4.0
Erlang OTP 26.2.5.13 26.2.5.14
Rabbit MQ 4.0.9 4.0.9
SQL Server 15.0.4430.1 15.0.4430.1
OpenSSL 3.5 3.5.1
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.14.1 8.15.0

Tenable Identity Exposure 3.93.2 (2025 年 8 月 5 日)

Tenable Identity Exposure バージョン 3.93.2 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は Erlang と RabbitMQ のアップグレードプロセスを改善し、再インストール前にすべての Erlang サービスが停止していること、インストールディレクトリが完全にクリーンであることを確認するようになりました。これにより、以前にセキュリティエンジンノードのインストールやアップグレードを失敗させていた依存関係の問題が修正されています。
Tenable Identity Exposure は、複雑な Active Directory 環境であっても、攻撃インジケーター (IoA) のデプロイメント中に「Tenable.ad」グループポリシーオブジェクト (GPO) を一貫して検出するようになりました。これにより、IoA インストールプロセスの信頼性が向上しています。
露出インジケーター管理サービスアカウントの危険な設定ミスで、グループに属するトラスティが正しくホワイトリストに登録されるようになりました。
露出インジケーター特権ユーザーのログオン制限の理由テンプレートが強化され、特権ユーザーアカウントではすべての IRSNB 権限が拒否されなければならないことが明記されました。
Tenable Identity Exposure のデータコレクターでまれに生じるメモリリークが修正されました。
Tenable Identity Exposure は、ネットワークの中断から正常に回復し、IoA の処理を再開するようになりました。
IoA パスワード推測は、一部のホスト名が不明な場合でも、ベクトル属性を正しく表示するようになりました。
Tenable Identity Exposure は、msds-behavior-version LDAP 属性が Windows Server 2025 に対して適切にデコードされない問題を修正しました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.93 3.93.2
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.16.25216 8.0.16.25216
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.2.0 20.19.4.0
Erlang OTP 26.2.5.12 26.2.5.14
Rabbit MQ 4.0.3 4.0.9
SQL Server 15.0.4430.1 15.0.4430.1
OpenSSL 3.5 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.13.0 8.13.0

Tenable Identity Exposure 3.77.12 (2025 年 7 月 21 日)

  • SMTP OAuth アラート- アラート機能のために Microsoft 365 の最新でセキュアな認証プロトコル OAuth を新しくサポートするようになりました。

    詳細については、Tenable Identity Exposure ユーザーガイドの Microsoft 365 SMTP OAuth 設定を参照してください。

Tenable Identity Exposure バージョン 3.77.12 には、以下のバグ修正が含まれています。

バグ修正
SQL アップグレードの場合、インストールの際に、現行ユーザーが SeBackupPrivilegeSeDebugPrivilegeSeSecurityPrivilege の権限を持っているかどうかを検証します。
セキュアリレーは、インターフェースで指定されたドメインコントローラー (DC) にのみ接続し、接続された DC からのリダイレクトを無視するようになりました。
ダイナミック RPC ポートの理由は、[ドメインデータ収集ヘルスチェック] に完全に移行しました。
すべてのケースでアラートメールのリンクが想定されているページを指すようになりました。
攻撃インジケーターパスワード推測が、[ワークステーション] 値からソース IP を取得できない場合に、[データがありません] と報告するようになりました。
Win32 エラー [The account is not authorized to log on from this station] (このアカウントは、このステーションからログオンする権限がありません) を受信した場合、リレーは SMB イベントを再サブスクライブするようになりました。
Tenable Identity Exposure は、サードパーティツールが問題を引き起こしたときの RabbitMQ キューのレジリエンスを改善しました。
Tenable Identity Exposure は、攻撃インジケーター (IoA) GPO のカスタム名をサポートするようになりました。これまで IoA GPO のカスタム名を使用していたお客様は、最新の IoA スクリプトを使用して IoA を再インストールしてください。
ヘルスチェックの理由 [ダイナミック RPC ポートへの接続状況] は、[特権分析] ヘルスチェックに移動しました。
Tenable Identity Exposure ユーザーインターフェースでは [編集] ボタンの名前が [保存] に変更され、変更アクションがよりわかりやすくなりました。
IoA 設定で全ドメインの選択解除を妨げていた制約が解除され、GPO がないことで発生していたヘルスチェックのエラーが発生しなくなりました。
IoA スクリプトは、インストール中のみ IoA GPO コンピューター設定を更新するようになり、ユーザーの操作が不要になりました。
NTDS 抽出攻撃インジケーター (IoA) が、起点の攻撃経路属性 Username を正しく解決するようになりました。
Tenable Identity Exposure は、IOA インストールスクリプトの GPO インポートステップの最後の再試行時にのみ、コンソールにエラーメッセージを表示します。
Tenable Identity Exposure[ドメイン] ページと [ハニーアカウント] ページ間の入力検索分離が改善されました。
ユーザーに対する弱いパスワードポリシーの適用露出インジケーター (IoE) の [GPO パラメーターパスワードがない] 理由で、ドメインの [ポリシー] フォルダーで誤検出の逸脱が報告されなくなりました。
Tenable Identity Exposure のデータコレクターでまれに生じるメモリリークが修正されました。
Tenable Identity Exposure は、ネットワークの中断から正常に回復し、IoA の処理を再開するようになりました。
IoA パスワード推測は、一部のホスト名が不明な場合でも、ベクトル属性を正しく表示するようになりました。
Tenable Identity Exposure は、msds-behavior-version LDAP 属性が Windows Server 2025 に対して適切にデコードされない問題を修正しました。
攻撃インジケーターブルートフォースが、ソース IP アドレスを正しい形式で表示するようになりました。
Tenable Identity Exposure は IoA イベントログの取り込み速度を改善し、イベント損失の可能性を低減させ、それにより誤検出や検出漏れの数を減らしました。
ドメイン接続テストおよび特権による分析ヘルスチェックが、特定の objectSID エンコーディングを適切に処理するようになりました。
攻撃インジケーター NTDS 抽出が、ソースのユーザー名を適切に関連付けるようになりました。
OpenTelemetry 機能が有効な状態でインターネット接続がない場合でも、セキュリティエンジンノードサービス「Cygni」が正常に起動するようになりました。
IoA を PDF にエクスポートする機能が正しく機能するようになりました。
Tenable Identity Exposure は、グループポリシーのアップデートをトリガーすると、インタラクティブなユーザー入力を待機している間に Tenable イベントログリスナーがストールすることがある問題を解決しました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.11 3.77.12
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.15.25165 8.0.18.25317
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.0 20.19.3.0
Erlang OTP 26.2.5.11 26.2.5.13
Rabbit MQ 4.0.3 4.0.9
SQL Server 15.0.4430.1 15.0.4430.1
OpenSSL 3.5 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.13.0 8.14.1

Tenable Identity Exposure 3.93 (2025 年 6 月 30 日)

  • エクスポージャーセンター — 組織のアイデンティティセキュリティ態勢を強化する機能です。Entra ID などの基盤となるアイデンティティシステムとそれらのシステム内にあるアイデンティティの両方をカバーして、アイデンティティリスクサーフェス全体における弱点や設定ミスを特定します。

    • [エクスポージャーの概要] 機能は、Active Directory や Entra ID のデータで動作します。

    • [エクスポージャーインスタンス] 機能は、現在 Entra ID データでのみ動作します。

  • Identity 360— アイデンティティ中心の新しい機能は、組織のアイデンティティリスクサーフェス全体のすべてのアイデンティティの包括的なインベントリを提供します。Active Directory と Entra ID の両方のアイデンティティを統一することにより、リスク別に評価してランク付けし、環境内で最も脆弱なアイデンティティを素早く特定し、優先して対応することが可能になります。

    • [Identity 360] 機能は、Active Directory や Entra ID のデータで動作します。

    ヒント: Tenable クラウドベースの機能を使用するには、特定の設定をアクティブにして、分析のためにデータを Tenable クラウドに共有する必要があります。手順については、Identity 360、エクスポージャーセンター、Microsoft Entra ID のサポートのアクティブ化および Tenable クラウドのデータ収集を参照してください。
Active Directory (AD) 露出インジケーター (IoE)

  • 機密性の高い Exchange のアクセス許可 — この IoE は、ドメイン内の Exchange グループとリソースに関連するアクセス許可を管理します。他の IoE における可読性を向上するため、Exchange を発信元または対象とするすべてのアクセス許可のみが表示されるようになりました。

  • Exchange グループメンバー — この IoE は、機密性の高い Exchange グループのメンバーを追跡します。

  • サポートされていない、または古くなった Exchange サーバー — この IoE は、Microsoft がサポートしなくなった古い Exchange サーバーや、最新の累積更新プログラムが適用されていない Exchange サーバーを検出します。安全で完全にサポートされている Exchange 環境を維持するには、廃止されたサーバーやパッチ未適用のサーバーにすぐに対処する必要があります。これを怠ると悪用されるリスクが高まり、組織がデータ漏洩やランサムウェア攻撃にさらされることになります。

  • Exchange の危険な設定ミス — この IoE は、Exchange リソースやその基盤となる Active Directory スキーマオブジェクトに影響を与える設定ミスをリストします。

  • Exchange グループメンバー — この IoE は、機密性の高い Exchange グループのメンバーを追跡します。

  • ADCS の危険な設定ミス — この IoE は、プリンシパルが AD グループのメンバーになることを暗黙のうちに許可する発行ポリシー (エンタープライズ OID) を特定します。

  • コンピューター堅牢化 GPO のないドメイン — この IoE は、GPO 設定「SMB による NTLM をブロックする」をチェックします。

その他の機能

露出インジケーター

  • 単一メンバーの AD/Entra グループ — IoE の「重要である理由」の説明に、グループメンバーが表示されるようになりました。

  • 認証情報を持つファーストパーティサービスプリンシパル — IoE の「重要である理由」の説明に、識別された認証情報の詳細が表示されるようになりました。

  • 単一メンバーの AD/Entra グループおよび 空のグループ — これらの IoE では、より正確で意味のある結果を提供するために、直接のメンバーのみをカウントするようになりました。

  • アカウントにマップされた証明書

    • この IoE は、AD CS ESC14 不正使用手法に対処するために、弱い明示的な証明書マッピングを報告するようになりました。

    • この IoE はこれまで、X509IssuerSubject および X509SubjectOnly の 2 種類のマッピングのみを持つ特権ユーザーを報告していました。今回、当初の範囲が拡大され、X509RFC822X509IssuerSerialNumberX509SKIX509SHA1PublicKey のマッピングも含まれるようになりました。

  • コンピューター堅牢化 GPO のないドメイン — メモリ内の認証情報を保護するために使用される、Windows Defender Credential Guard セキュリティ機能に関連する新しいチェック。

  • SDProp の一貫性の確保 — 推奨事項を改善しました。

  • シャドウ認証情報 — ROCA (Return of Coppersmith’s Attack) の修正の推奨事項を改善しました。「デバイスライトバック」機能が無効な場合に、Entra ID とのハイブリッド環境に関連する潜在的な誤検出を除外する新しいオプションが導入されました。これは、この IoE の [孤立している鍵認証情報] 理由に影響を与えます。

  • 管理サービスアカウントの危険な設定ミス — この IoE の改善により、グループのサポートが追加され、gMSA へのアクセスの制御が効率化できるようになりました。

  • セキュリティプロファイルのカスタマイズ — 該当する IoE の「許可されたオブジェクト所有者 (グループメンバーシップ別)」オプションの説明を改善しました。

  • 次の 2 つの新しいオプションにより、グループメンバーシップによるオブジェクトの所有権とアクセス許可の管理が強化されています。

    • 許可されたオブジェクト所有者 (グループメンバーシップ別): グループメンバーシップを通じて、セキュリティプリンシパルをオブジェクト所有者として指定できます。

    • 許可されたトラスティのリスト (グループメンバーシップ別): グループメンバーシップに基づいて、セキュリティプリンシパルに特別なアクセス許可を割り当てることができます。

  • Netlogon プロトコルの安全でない設定Tenable Identity Exposure は、[レジストリキーのチェックをスキップする] オプションのデフォルト値を [true] に設定するようになりました。この変更は、ユーザーが 2021 年 2 月 9 日の更新を適用していることを前提としています。この変更が適用されるのはデフォルトプロファイルのみで、カスタムプロファイルは影響を受けません。

  • パスワード管理リスク弱いパスワードの検出 IoE ウィジェットをダッシュボードテンプレートに追加しました。

  • DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可 — [MSOL_* アカウントを保持する] という新しいオプションが追加されました。このオプションにより、これらのアカウントを除外し、誤検出を減らすことができます。デフォルトでは、このオプションはセキュリティプロファイルで無効になっているため、IOE は MSOL_* アカウントを逸脱としてフラグしません。

攻撃インジケーター

  • ゴールデンチケット IoA — 攻撃手法のテキストを改善しました。

  • DCSync は、ソースがプレフィックス MSOL_ を持つユーザー名に由来する場合は、アラートをトリガーしません (ハードコードされていて、基本モードの場合のみ有効)。

  • ローカル管理者の列挙は、ターゲット IP が不明な場合、アラートをトリガーしません。

  • ゴールデンチケットは、攻撃者が TGT を偽造した後に認証した場合にのみ、アラートをトリガーします (基本モードのみ)。

  • OS 認証情報ダンプ - LSASS メモリは、ツールが Arctic Wolf Network に属する場合、アラートをトリガーしません (基本モードのみ)。

  • 以下の IoA は、次の場合にアラートをトリガーしなくなりました。

    • DC 同期 - ソースが Azure ADConnect ツールに関連するユーザーまたはホスト名である場合 (基本モードのみ)

    • NTDS 抽出 - ソースツールが VSS Requestor または Veeam (正規のバックアップツール) のいずれかである場合

    • ローカル管理者の列挙 - IoA がソースユーザーの SID を見つけられない場合 (基本モードのみ)

    • Petit Potam - IoA が関連するログオンイベントを取得できない場合

    • ゴールデンチケット - IoA がソースベクトルをフェッチできない場合 (基本モードのみ)

その他の機能強化

  • [Identity 360][エクスポージャーの概要] で関連する弱点をドリルダウンすると、[エクスポージャーインスタンス] ページにリダイレクトするようになりました。

  • ディレクトリサービスのトラスト属性とタイプ

    • trustType 属性が、TTAAD (TRUST_TYPE_AAD) 値をサポートするようになりました。

    • trustAttributes 属性が、TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 値をサポートするようになりました。

  • Tenable One コンテナの変更 — 最適な製品エクスペリエンスを確保するために、新しいライセンスファイルをアップロードする際、Tenable Identity Exposure は異なる Tenable One コンテナへの切り替えを防止するようになりました。

  • エクスポート機能 — ユーザーは CSV エクスポートを実行する際にセパレーター (コンマまたはセミコロン) を選択できるため、さまざまな用途に合わせて柔軟に対応できます。その後のエクスポートで使用できるよう前回使用したセパレーターがブラウザに記憶されます。

  • Identity 360 — [アクセス] と [権限] タブの資産の詳細などのページの読み込み時間を改善しました。

  • AD ドメインデータを収集するためのアクセス許可 — ユーザーインターフェースで特権分析が無効になっている場合、「特権データを収集するアクセス許可が付与されている」の詳細が非表示になりました。この機能を使用するには、リレーが最新の状態であることを確認してください。

Tenable Identity Exposure バージョン 3.93 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、レポート設定にデータ時間枠の設定がない問題に対処しました。
ドメインコントローラーアクティビティヘルスチェックが、攻撃インジケーターイベントログアクティビティに基づいて、この 15 分以内に非アクティブになっているドメインコントローラーを検出するようになりました。引き続き、失敗を報告する前にこの期間待機しますが、成功したケースと再アクティブ化されたドメインコントローラーの報告がはるかに速くなりました。さらに、バグ修正により、ヘルスチェックが最新のデータを使用するようになりました。
エクスポージャーインスタンスのハイパーリンクテキストの説明が、利用可能なスペースを超えると、次の行に折り返されるようになりました。
Identity 360 CSV のエクスポートで、二重引用符を含むデータが正しく処理されるようになりました。
ユーザードキュメントにアクセスするための文脈依存ヘルプバッジ (本のアイコン) が表示されるようになりました。
Tenable Identity Exposure は、ウェブインターフェースにアラートが添付されているドメインを表示します。
リレーとデータコレクターのバージョンがメジャーアップデートとマイナーアップデートの両方で一致する場合、またはマイナーバージョンが 1 だけ異なる場合、データコレクター/リレーバージョンのヘルスチェックが正常 (緑) と見なされるようになりました。これにより、自動アップデートや、ソフトウェアのアップデートがロールアウト時にプラットフォームより若干先行する場合に、柔軟に対応できます。
Tenable Identity Exposure で WebSocket のセキュリティが強化されました。
ローカル管理アカウントの管理 IoE の [コンピューターオブジェクトに設定された安全でないアクセス許可] という理由が、米国英語以外の言語でも正しく表示されるようになりました。
複数の設定済み Tenable Identity Exposure テナント (AD ディレクトリまたは Entra ID テナント) でアカウントを持つ ID が、ID リストから消えなくなりました。
プラットフォームでセキュアリレーが必要な場合、LDAP と SMTP の設定で、使用する特定のセキュアリレーの選択が強制されるようになりました。
Tenable Identity Exposure がスペイン語で表示されるように設定されている場合、Entra ID IoE の説明は米国英語で表示されます。
Tenable Identity Exposure は、ID エクスプローラーの読み込みエラーを解決しました。
Tenable Identity Exposure は、攻撃アラートブレードの読み込みパフォーマンスを強化しました。
[許可されたトラスティのリスト] オプションで、以前の形式 (DN 形式) に加えて、アカウントの SID 形式を使用できるようになりました。
dnsProperty 属性のデコーダーが、動的更新に関連するバイナリデータを正確に解析するようになりました。
Tenable Identity Exposure は、パフォーマンスの低下を防ぐために RMQ メモリ制限を引き上げました。
Tenable Identity Exposure は、ログイン後にヘッダーの可視性が維持されるようになりました。
Tenable Identity Exposure は、セキュアリレーとディレクトリリスナー間の 504 エラーを減らして、パフォーマンスを向上させ、製品の中断を防ぎます。
Pendo 機能が特定の Tenable Identity Exposure 環境でアクティブになりました。
Tenable Identity Exposure は、samAccountName の表示を改善し、検索可能にしました。
Tenable Identity Exposure は、LDAP ログイン問題に関連する文脈情報をさらに追加しました。
Tenable Identity Exposure は、ウェブインターフェースの使用中に発生する不要なリダイレクトの問題を解決しました。
Tenable は、攻撃インジケーターを設定するスクリプトにデジタル署名するようになりました。その結果、外部のセキュリティツールで署名がないために潜在的なリスクとしてフラグが立てられないようになりました。
削除/無効化されたコンピューターやユーザーで、セキュリティプロファイルで「削除したものを保持する」または「無効化されたものを保持する」オプションを明示的に true に設定していない場合、逸脱が発生しなくなりました。

アップグレードに失敗した場合、Tenable Identity Exposure のロールバックメカニズムにより、システムが以前の状態に正しく戻されるようになりました。

ヒント: ロールバックを成功させるために、Tenable では Backups_Tenable フォルダーにある Rollback.exe を許可リストに入れることを推奨しています。または、Backups_Tenable フォルダー全体を許可リストに追加して、アンチウイルスまたは EDR ソリューションからの干渉を防ぎます。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.11 3.93
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.15.25165 8.0.16.25216
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.19.0 20.19.2.0
Erlang OTP 26.2.5.11 26.2.5.12
Rabbit MQ 4.0.3 4.0.3
SQL Server 15.0.4430.1 15.0.4430.1
OpenSSL 3.5 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.13.0 8.13.0

Tenable Identity Exposure 3.77.11 (2025 年 4 月 30 日)

Tenable は、Erlang/OTP の SSH 実装に影響を与える重大な脆弱性 (CVE-2025-32433) を特定し、対処しました。この脆弱性では、SSH プロトコルメッセージの処理にある欠陥により、悪意のある攻撃者が不正アクセスを取得し、有効な認証情報なしで任意のコードを実行できる可能性があります。

ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.10 3.77.11
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.14.25112 8.0.15.25165
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.18.3.0 20.19.0
Erlang OTP 26.2.5.6 26.2.5.11
Rabbit MQ 4.0.3 4.0.3
SQL Server 15.0.4430.1 15.0.4430.1
OpenSSL 3.3.2 3.5
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.12.1 8.13

Tenable Identity Exposure 3.77.10 (2025 年 3 月 27 日)

Tenable Identity Exposure バージョン 3.77.10 には、以下のバグ修正が含まれています。

バグ修正
攻撃インジケーター (IoA) リスナーが効率的にメモリを解放するようになり、バージョン 3.77.8 での問題が修正されました。これは、バージョン 3.77.8 または 3.77.9 で IoA をインストールしたお客様にのみ影響します。これらのお客様は、バージョン 3.77.10 で IoA を再インストールする必要があります。
Tenable Identity ExposureSAM 名のなりすまし攻撃インジケーター (IoA) の深刻度を修正しました。これは「重大」に分類されますが、特定のメタデータで誤って「高」とラベル付けされていました。
Tenable Identity Exposure は、最新バージョンの Windows 11 のサポート終了日を変更しました。

2024 年 11 月にリリースされた Windows Server 2025 で新しい AD 機能レベルが導入されました (Server 2016 以来)。これを、機能レベルが更新されていないドメイン露出インジケーター (IoE) が考慮するようになりました。Tenable Identity Exposure は、廃止になった OS を実行しているコンピューター IoE で Server 2025 の有効期限情報を追加し、さまざまな IoE でその他の軽微な調整 (新しいスキーマバージョンなど) も行いました。

注意: これは、Windows Server 2025 で Tenable Identity Exposure をホスティングする場合の互換性を保証するものではありません。互換性の詳細については、今後のドキュメントの更新やリリースノートを参照してください。
特権ユーザーのログオン制限 IoE で逸脱と特定されたオブジェクトを削除した後、関連する逸脱が正しくクローズされるようになりました。
Tenable Identity Exposure で、セキュアリレーのアンインストールの際に、ディレクトリリスナーとともにインストールされている場合でも Envoy サービスが適切に削除されるようになりました。
Tenable Identity Exposure は、Windows 最新バージョンでイベント番号 4624 を適切に処理するようになりました。
セキュアリレーをアンインストールしても、ディレクトリリスナーと共有されている「Tools」フォルダーが削除されなくなりました。両方が同じマシンにインストールされている場合、「Tools」フォルダーはそのまま保持され、nssm バイナリが保存されます。
Tenable Identity Exposure は、アップグレード中の保護手段を追加することでアンインストールプロセスを強化し、ロールバックを減らし、システムの安定性を向上させました。
Tenable Identity Exposure で、逸脱したオブジェクトを選択する際に、選択した理由でのフィルタリングが正しく適用されるようになりました (該当する場合)。
攻撃者のマシンがドメインを離れたとき、DCSync IoA が基本モードでアラートを出すようになりました。
Tenable は、攻撃インジケーターを設定するスクリプトにデジタル署名するようになりました。その結果、外部のセキュリティツールで署名がないために潜在的なリスクとしてフラグが立てられないようになりました。
アップグレード後、ディレクトリリスナーは、同じマシンに別のセキュアリレーがインストールされるのを防ぎます。
Tenable Identity Exposure は、メッセージの公開中に RabbitMQ チャネルエラーを適切に処理することで、アプリケーションのレジリエンスを強化しました。
ドメインの到達可能性ヘルスチェックで、ドメインが到達不可である理由がより正確に表示されるようになりました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.9 3.77.10
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.12.24603 8.0.14.25112
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.18.2.0 20.18.3.0
Erlang OTP 26.2.5.6 26.2.5.6
Rabbit MQ 4.0.3 4.0.3
SQL Server 15.0.4415.2 15.0.4430.1
OpenSSL 3.3.2 3.3.2
Envoy 1.29.12 1.29.12
Handle 5.0 5.0
Curl 8.12.0 8.12.1

Tenable Identity Exposure 3.77.9 (2025 年 2 月 20 日)

  • Tenable Identity Exposure では、環境を以前の状態に効果的に戻すためにロールバックプロセスが合理化され、不要なデータや不整合が残らないようにします。

    新しい前提条件: ロールバック手順を開始する前に、ストレージマネージャーに少なくとも 20 GB のディスクスペースがあることを確認してください。詳細については、Tenable Identity Exposure ユーザーガイドのリソースサイジングを参照してください。

Tenable Identity Exposure バージョン 3.77.9 には、以下のバグ修正が含まれています。

バグ修正
IoA リスナーモジュールの audit.csv ファイルが正しくインストールされます。
Tenable Identity Exposure はインストール場所の取得方法を改善し、すべての Cleanup_* カスタムアクションが、エラーを返した場合でもインストールやアップグレードの失敗を引き起こさないようになりました。さらに、Tenable Identity Exposure は、インストール中に確認プロンプトが表示されないように、カスタムアクションに対して非対話型の実行を強制するようになりました。
Tenable Identity Exposure は、メッセージの公開中に RabbitMQ チャネルエラーを適切に処理することで、アプリケーションのレジリエンスを強化しました。
Tenable Identity Exposure は、アップデーターフォルダーのアクセスリストのアクセス許可を強化し、悪意のあるユーザーによるアクセスを防止します。
Tenable Identity Exposure は、攻撃インジケーターのスクリプトおよび設定で破損していた認証スキーマを解決しました。
Tenable Identity Exposure は、認証情報漏洩の脆弱性に対処し、保存されている SMTP アカウントの認証情報を管理者が抽出できないようにしました。
攻撃者が基本モードで偽造された TGT チケットを使用すると、ゴールデンチケット攻撃インジケーター (IoA) がアラートを発するようになりました。
危険な Kerberos 委任露出インジケーター (IoE) に、孤立した SPN に関連した危険な属性がすべて含まれるようになりました。
Tenable Identity Exposure は、内部サービスでの認証なしの呼び出しがアクティビティログに保存されないようにし、より明確かつ正確なログ記録を行います。
お客様の証明書に DNS 名のみが含まれている場合、Tenable Identity Exposure はセキュリティエンジンノード (SEN) の IP アドレスに完全修飾ドメイン名 (FQDN) をオートコンプリートします。
Tenable Identity Exposure は、Windows イベントログの解析速度を改善し、製品の遅延が蓄積されなくなりました。この変更の恩恵を受けるには、攻撃インジケーターを再デプロイする必要があります。
Tenable Identity Exposure は、セキュリティエンジンノード (SEN) をアップグレードする際の環境変数の復元を解決しました。
Tenable Identity Exposure は、自動更新中にスケジュールされたタスクを使用して、以前の updater.exe プロセスを終了するようになりました。
ユーザーインターフェースに Tenable Identity Exposure 名が正しく表示されます。
攻撃が NTAUTHORITY\SYSTEM によってトリガーされたときに、OS 認証情報ダンプ IoA が、ソース IP、ソースホスト名、ターゲット IP を適切に解決するようになりました。
Tenable Identity Exposure は、セキュリティプロファイルから特権 PSO のリストを考慮するようになり、このオプションが設定されている場合に、「特権 PSO がドメインに適用されていない」という理由による、ユーザーに対する弱いパスワードポリシーの適用 IoE が解決されます。
Tenable Identity Exposureは、ユーザーに対する弱いパスワードポリシーの適用 IoE のロックアウトしきい値とロックアウト期間オプションの処理を解決しました。これらの値を 0に設定することで、逸脱を許可リストに追加できるようになりました。
登録済みのフォレストのいずれかのユーザー名にバックスラッシュが含まれている場合でも、[ヘルスチェック] ページが表示されるようになりました。
機密データ収集が適切に設定されていない場合でも、Tenable Identity Exposure によってクロールが成功しなくなることはなくなりました。
ソフトウェア名 アップグレード前 アップグレード後
Tenable Identity Exposure 3.77.6 3.77.9
C++ 2015-2019 再頒布可能パッケージ 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.11.24521 8.0.12.24603
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.18.1.0 20.18.2.0
Erlang OTP 26.2.5.5 26.2.5.6
Rabbit MQ 4.0.3 4.0.3
SQL Server 15.0.4405.4 15.0.4415.2
OpenSSL 3.3.2 3.3.2
Envoy 1.29.10 1.29.12
Handle 5.0.0 5.0
Curl 8.11.0 8.12.0