サイバーセキュリティが損なわれる原因を理解する(2)

サイバーレジリエンス
ソフトウェア脆弱性は設定の脆弱性とは区別される
 今回のコラムでも、前回に引き続き、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。

 前回のコラムでは、情報漏洩やサービス停止などの原因となるソフトウェア脆弱性というものについて紹介しました。なかでも、私たちがよく分かっているつもりのデータベースやプログラミング言語でも、ソフトウェアの仕様そのものが脆弱性の原因となっている場合がある、という懸念を紹介しました。ソフトウェアやクラウドサービスなどを活用する立場としては、インターネットにつないで安全に使うことを前提とした最新鋭のデータベースや、多少プログラミングが面倒でもチェックの厳しいプログラミング言語を使いこなしていきたいですね。

 ちなみに、クラウド対応の最新鋭のデータベースであっても、設定の不備を突かれて、インターネット越しに何者かにデータを暗号化され、データの身代金を要求される事件が世界中で起きています。なお、これは「設定の脆弱性」が原因となって起きている事件で、ソフトウェア脆弱性とは一般的には区別されます。

 話を元に戻して、ソフトウェアの仕様そのものが脆弱であるケースについて、もう少し話を続けることにしましょう。前回のコラムでは、そもそもソフトウェアが最初に作られた時代にインターネットなどなかった、データベースについて紹介しました。では、他にはこういったソフトウェアは無いのでしょうか。最近作られたソフトウェアであれば大丈夫なのでしょうか。
性善説に基づくプログラムと出所不明のファイルの組み合わせで、脆弱性が発現する
 これに答えるために、まず「組み合わせると脆弱」であるケースについて話をしましょう。大雑把な話ですが、インターネットにつないで使うことを想定していないソフトウェアをインターネットにつないで使った途端、あらゆる種類の問題に見舞われます。情報漏洩、サービス妨害、身代金、すべて覚悟すべきでしょう。

 もう少し具体的な話をしましょう。最近はやりの「デジタルサイネージ」のようなシステムを作って、駅前にデジタル広告を出して儲けることを考えましょう。このシステムの中核は、画像を表示するソフトウェアで、インターネットからダウンロードした画像を延々と表示しているわけです。さて、このシステムには脆弱性があるでしょうか。それとも、画像を表示するだけだから、何の問題もないでしょうか。

 答えは、画像を表示するソフトウェアの作り次第、です。インターネットにつないで使うことを想定していた画像表示ソフトなら、脆弱性は無いと思いたいですね。では、憶測でモノを言うのをやめて、画像表示ライブラリの脆弱性について調べてみましょう。

 JPEGライブラリの脆弱性:5件。なかでも最新のものは、Androidスマートフォンに画像を表示させると悪意あるプログラムが実行されてしまう可能性があるという、かなり深刻なものですね。

 PNGライブラリの脆弱性:35件。こちらも、画像を表示させると悪意あるプログラムが実行されてしまう可能性がある脆弱性が見つかっていますね。

 なぜ画像ファイルの表示でこんなことが起きるのでしょうか。答えは、「画像でないファイル」あるいは「壊れた画像ファイル」と画像表示ライブラリの組み合わせですね。自分がデジカメやスマホで撮った写真を表示している限り、悪意あるプログラムが実行されるようなことはないでしょう。では赤の他人が撮った写真はどうでしょうか。そのファイルは、本当に画像ファイルでしょうか。
 もともと画像表示ライブラリは「画像でないファイル」や「壊れた画像ファイル」を想定しておらず、画像ファイルの中に書いてあることをそのまま信じて処理するよう作られていたんですね。そういった性善説に基づくプログラムに、インターネット上の出所不明の画像ファイルを組み合わせると、脆弱性が発現してしまうんですね。
会社の重要情報と出所不明のファイルを同じパソコンで開くと、脆弱性が発現する
 つぎに、「組み合わせ方が脆弱」であるケースについて話をしましょう。あなたの会社の重要情報を扱うソフトと、あなたの会社に応募してくる中途採用者の応募情報を扱うソフトが一緒だったとします。現実にはいくらでもあるでしょう。ワード、エクセル、PDF。さて、会社の重要情報と、出所不明の採用者の情報を同じパソコンで扱うのは安全でしょうか。

 こちらも、さきほどの画像ファイル同様、ワード、エクセル、PDFファイルを扱うソフトに脆弱性があれば、壊れたファイルを送りつけることで悪意あるプログラムが実行されてしまう可能性があります。最近、大きな問題となっている標的型攻撃は、大雑把にいえばこのようにして成立していると言っていいでしょう。

 さて、あなたは人事部門あるいはマーケティング部門だから、出所不明の PDF ファイルを開かざるを得ない、とします。では、出所不明のファイルを扱うパソコンと、会社の重要情報を扱うパソコンは同じで良いでしょうか。

 今日の企業ネットワークでは、一般従業員の情報取り扱いスキルが低く、出所不明の情報と重要情報が1台のパソコンに混在しており、出所不明のソフトと会社指定の重要情報を取り扱うソフトが混在していることも珍しくありません。ソフトウェアの仕様に話を戻せば、出所不明のファイルを扱うときにセキュリティを考慮して余計な機能をオフにする、といったソフトの仕様上の改善も必要でしょう。いくつかのソフトでは、そのような地道な改善も行われています。

 今回はこれくらいにしておきましょう。次回のコラムでも、セキュリティ専門家でなくても知っておきたいソフトウェア脆弱性の性質について紹介したいと思います。

■関連ページ
【アクセリアのサービス一覧】
 ・サービスNAVI

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授
日欧国際共同研究「EUNITYプロジェクト」日本側研究代表
WIDEプロジェクトボードメンバー

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi