2019年に注意すべき6つのシステム/ソフトウェアの脆弱性

avatar

 2019.11.21  Japanブログ編集部

私たちは、ソリューションやソフトウェアにはかなりの時間とリソースをつぎ込んでいます。もし、それらに内在する脆弱性が悪用されることを心配しなくてよいのなら、人生はずっと楽になると思いませんか?正しく構成されているシステムが、冗長化されたり、新しいものと交換されるまで、何の影響も受けずにその機能を全うできる。そのような世界はあるのでしょうか。残念ながら、それは非常に非現実的なことです。

 

Adobe、Microsoft、Debian、Chrome、およびFedoraなどの製品はすべて、何らかの形で皆さんのネットワークに組み込まれています。また、これらの製品のベンダーはすべて、2019年度にセキュリティ上の脆弱性が報告されているトップ10ベンダーのリストに含まれています。

CVEで命名された脆弱性リストを管理しているMITREは、今年だけで、トップ10ベンダーの製品に内在していた脆弱性が1,370件も発見されたことを明らかにしています。

いつも使用しているソフトウェアやソリューションに、これほど多くの脆弱性が存在するのであれば、どのタイプの脆弱性に集中してセキュリティ対策を行えばよいのかわからなくなるでしょう。私たちはそれを少しでも簡単にできればよいと思っています。以下に、皆さんが気を付けるべきタイプの脆弱性を6つ挙げておきます。

1.バッファ攻撃

バッファは、ソフトウェアがデータを処理または送信する前に一時的なストレージとして使用するキュースペースです。残念ながら、初期のプログラマーはそれらの保護を怠っており、今なお完全ではありません。現在もバッファ攻撃が最もよく知られる攻撃ベクトルの1つであるのは、そのためです。

一般的なバッファ攻撃には以下の2つがあります。

  • バッファオーバーフローは、バッファの最大サイズを越えるデータを送り付ける攻撃です。それにより、ソフトウェアがクラッシュしたり、再起動するケースもあります。
  • 領域外メモリー参照/領域外メモリーへの書き出し(Out-of-bounds read/write)は、バッファのメモリーロケーション外での読み込み/書き出しを可能にする攻撃です。これにより、ソフトウェアの他の領域への不正アクセスや書き込みが可能になり、意図しない結果が生じる可能性があります。

2.SQLインジェクション

多くのサンプルや有名なエクスプロイトでSQLインジェクションが使用され、現在も頻繁に攻撃が発生しているのは非常に由々しきことです。

SQLは非常に理解しやすく簡単に実行できるデータベーススクリプトです。それを入力フィールドやURLに送り込みます。すると、これらのスクリプトは、基盤となるデータベース上で実行されます。その結果、管理者権限でのデータベースへのフルアクセスや、コンテンツの変更が可能になるなどの深刻な影響をもたらします。

SQLインジェクションは、問題のアプリケーションまたはソフトウェアのコードにおいて、入力フィールドのクリーニングを行う機能を使用することで防止できます。

3.クロスサイトスクリプティング

SQLインジェクション攻撃と同様に、クロスサイトスクリプティング(XSS)は、インジェクションメカニズムを使用して、Webサイトにコードを埋め込みます。ページやサイトに悪質なコンテンツを含めるよう改ざんするのが狙いです。

たとえば、Webサイトにフィールドを埋め込んでユーザーのバンキング情報を収集したり、サイトにクリプトマイニング用のスクリプトを追加したり、あるいはマルウェアやランサムウェアを含むファイルをダウンロードさせたりする手口が一般的です。

SANSは、XSSを「Webアプリケーションに内在する最も一般的で執拗かつ危険な脆弱性の1つ」と評しています。

4.保護されてないAPI

今日最も成長著しいエクスプロイトは、保護されていないAPIを利用して、アクセスまたは機密情報を取得するものでしょう。

自動化およびシステムとネットワーク間の統合を行う手段として、APIは広く用いられています。しかし、それらはあまり理解されておらず、しばしば不適切な設定がなされます。

保護されていないAPIが、従来のGUIを介して、驚くべきレベルでアクセスを許してしまったことに起因する重大な侵害が多数発生しています。たとえば、基本的な認証すら行われずにアクセスを可能にしてしまうケースもありました。

5.サードパーティのライブラリ

悪質なサードパーティ製ライブラリが関与する(サプライチェーン攻撃としても知られる)侵害について読んだことがある方は多いのではないでしょうか。

サードパーティのライブラリやフレームワークは、利用すればイチから開発する必要がなく、時間を大幅に節約できるため、ソフトウェア開発者の間で非常に人気です。しかしながら、自分で開発していないものに頼れば、ソフトウェアに自分の知らない脆弱性を組み込んでしまう可能性が生じます。

このような脆弱性は、数十万ものソフトウェアで使用されているJavaベースの実行環境であるOracleのJREに多く見られます。

6.ディレクトリトラバーサル

人というものは、物事が機能しているのを見れば、細部の検証を端折ってしまいがちです。それは、私の周りでも非常によく遭遇することです。

そのようにして残った脆弱性により、権限のない人物が、ただURLや接続文字列を変更するだけで、サーバー上のディレクトリ間や、時にはネットワーク内のサーバーとデバイス間を移動できてしまう場合があります。高レベルの権限を持つアカウントで実行されるソフトウェアは、多くの場合妨害されることがありませんが、cookieのリクエスト用スクリプトにバックスラッシュを1つ入れるだけで、別のディレクトリへのアクセスが可能になるケースがあります。

脆弱性を見つけて撲滅するための最良の方法

今年だけで、10のアプリケーションに内在する1,300もの脆弱性が報告されているような状況下で、最新の情報を得て、自社の攻撃対象領域を管理可能な状態にしておくことは非常に難しいと思います。

どのITチームにも勧めているのは、ネットワーク上の悪用可能な脆弱性を検出するよう設計されたソフトウェアパッケージまたはソリューションを、事前に決められた定期的なスケジュールに則って実行することです。

そのようなソリューションの最たる例がTripwire IP360です。広く認知され、評判の高いソリューションであるIP360は、存在する脆弱性がもたらすリスクや修正の方法などに関するレポートを定期的に提供し、担当者の負担を大きく軽減します。

そのようなソリューションのおかげで、私たちはネットワーク内の脆弱性に関してあまり心配しなくてよい世界に最も近づくことができるでしょう。

執筆者について:Infinigateは、ヨーロッパで最初のインターネット・テクノロジー・ソリューションのディストリビューターとして1996年に設立されました。2002年以来、Infinigateは、ハイブリッド型のネットワークや現代の分散型の従業員環境にわたるシステム、データ、およびアプリケーションを保護するための「革新的なサイバーセキュリティソリューションを提供する」ことを主な事業目的としてきました。Infinigateは、真の付加価値型ディストリビューターとして、あらゆるテクニカルサービスおよびビジネスサービスを提供しています。これらのサービスは、独自のベストプラクティスエンゲージメント手法であるInfinigate 3xCのパートナーサクセスプログラムを通じてパートナーに提供されています。パートナーは、Infinigateの革新的なテクノロジーと、サイバーセキュリティにおける17年もの経験と専門知識を活用することで、今日の複雑なサイバーセキュリティ上の課題を解決することができます。Infinigate Groupは、最近の買収後の現在では、ドイツ、フランス、スイス、オーストリア、スウェーデン、ノルウェー、デンマーク、フィンランド、ベネルクス、イギリスを含むヨーロッパ10か国で事業を展開しています。同グループは、西ヨーロッパにおけるIT市場の80%をカバーし、ヨーロッパ全体の業界リーダーとして認知されています。同社の詳細は、www.infinigate.co.ukを参照してください。

編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwireあるいは、筆者が属する企業の意見を反映するものではありません。

トリップワイヤ・ジャパンではサイバーインシデントから産業系オペレーションを保護するTripwire Industrial Visibility(TIV)を販売開始いたしました。詳細につきましてTIV製品ページをご覧ください。また、すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース

TRIPWIRE IP360 データシート

RECOMMEND関連記事


RECENT POST「脆弱性管理」の最新記事


この記事が気に入ったらいいねしよう!