crash.academy

2017/11/06

お知らせ

門林教授による、サイバーレジリエンスコラムのご紹介(3)

アクセリア株式会社(www.accelia.net)の[お役立ちコラム]で公開中の、門林雄基教授による「サイバーレジリエンス」に関する記事の第3話を紹介します。

 

■■■ サイバーセキュリティが損なわれる原因を理解する(2) ■■■

 

「ソフトウェア脆弱性は設定の脆弱性とは区別される」

 今回のコラムでも、前回に引き続き、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。

 

 前回のコラムでは、情報漏洩やサービス停止などの原因となるソフトウェア脆弱性というものについて紹介しました。なかでも、私たちがよく分かっているつもりのデータベースやプログラミング言語でも、ソフトウェアの仕様そのものが脆弱性の原因となっている場合がある、という懸念を紹介しました。ソフトウェアやクラウドサービスなどを活用する立場としては、インターネットにつないで安全に使うことを前提とした最新鋭のデータベースや、多少プログラミングが面倒でもチェックの厳しいプログラミング言語を使いこなしていきたいですね。

 

 ちなみに、クラウド対応の最新鋭のデータベースであっても、設定の不備を突かれて、インターネット越しに何者かにデータを暗号化され、データの身代金を要求される事件が世界中で起きています。なお、これは「設定の脆弱性」が原因となって起きている事件で、ソフトウェア脆弱性とは一般的には区別されます

 

 話を元に戻して、ソフトウェアの仕様そのものが脆弱であるケースについて、もう少し話を続けることにしましょう。前回のコラムでは、そもそもソフトウェアが最初に作られた時代にインターネットなどなかった、データベースについて紹介しました。では、他にはこういったソフトウェアは無いのでしょうか。最近作られたソフトウェアであれば大丈夫なのでしょうか。

 

「性善説に基づくプログラムと出所不明のファイルの組み合わせで、脆弱性が発現する」

 これに答えるために、まず「組み合わせると脆弱」であるケースについて話をしましょう。大雑把な話ですが、インターネットにつないで使うことを想定していないソフトウェアをインターネットにつないで使った途端、あらゆる種類の問題に見舞われます。情報漏洩、サービス妨害、身代金、すべて覚悟すべきでしょう。

 

 もう少し具体的な話をしましょう。最近はやりの「デジタルサイネージ」のようなシステムを作って、駅前にデジタル広告を出して儲けることを考えましょう。このシステムの中核は、画像を表示するソフトウェアで、インターネットからダウンロードした画像を延々と表示しているわけです。さて、このシステムには脆弱性があるでしょうか。それとも、画像を表示するだけだから、何の問題もないでしょうか。

 

 答えは、画像を表示するソフトウェアの作り次第、です。インターネットにつないで使うことを想定していた画像表示ソフトなら、脆弱性は無いと思いたいですね。では、憶測でモノを言うのをやめて、画像表示ライブラリの脆弱性について調べてみましょう。

 

 JPEGライブラリの脆弱性:5件。なかでも最新のものは、Androidスマートフォンに画像を表示させると悪意あるプログラムが実行されてしまう可能性があるという、かなり深刻なものですね。

 

 PNGライブラリの脆弱性:35件。こちらも、画像を表示させると悪意あるプログラムが実行されてしまう可能性がある脆弱性が見つかっていますね。

 

 なぜ画像ファイルの表示でこんなことが起きるのでしょうか。答えは、「画像でないファイル」あるいは「壊れた画像ファイル」と画像表示ライブラリの組み合わせですね。自分がデジカメやスマホで撮った写真を表示している限り、悪意あるプログラムが実行されるようなことはないでしょう。では赤の他人が撮った写真はどうでしょうか。そのファイルは、本当に画像ファイルでしょうか。

 もともと画像表示ライブラリは「画像でないファイル」や「壊れた画像ファイル」を想定しておらず、画像ファイルの中に書いてあることをそのまま信じて処理するよう作られていたんですね。そういった性善説に基づくプログラムに、インターネット上の出所不明の画像ファイルを組み合わせると、脆弱性が発現してしまうんですね。

 

・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご確認ください。

【サイバーレジリエンスコラム 第3回 「サイバーセキュリティが損なわれる原因を理解する(2)」】

 

[過去の投稿]

 サイバーレジリエンスコラム 第2回 「サイバーセキュリティが損なわれる原因を理解する(1)」

 サイバーレジリエンスコラム 第1回 「サイバーセキュリティに求められるバランス感覚」

 

 

今後ともcrash.academyをよろしくお願いいたします。 

 

 

 

crash.academy運営事務局