圧縮解凍ツールに脆弱性が発覚、対策はバージョンアップ!
呉井嬢次(Johji Kurei) 2008-04-29 11:40:00
圧縮解凍ツールで知られているLhaplusに脆弱性が発見された。発見された脆弱性は、バッファオーバーフローとよばれる古典的な手法。既にアップデートが公開されているので、新規ダウンロード、または、アップデートすることで無償で対応することができる。
圧縮解凍ソフトが数多くダウンロードされている
圧縮解凍ソフトウエアは、インターネットからダウンロードされるソフトウエアの中で人気が高い(ダウンロード回数が多い)。多くがフリーソフトウエアやシェアウェアであり、知られているソフトウエアであれば、悪意のあるコード、脆弱性は含まれていないと思っていないだろうか。
しかし、過去に幾つもの脆弱性が発見され、バージョンアップが行われており、今回のLhaplusも、その一つに過ぎない。商用ソフトウエアであれば、利用者を保守情報として把握しており、脆弱性が見つかったら、修正プログラム、サービスパック等の脆弱性対処ソフトを教えてくれる。
ところが、圧縮解凍ソフトの場合、利用者を開発者は特定できないし、まして、利用者が再び、ダウンロードするサイトにアクセスする事は稀だ。なぜなら、通常の圧縮解凍処理だけなら問題が生じないからである。だからといって、安全である保証はない!
ソフトウエアに脆弱性を含めないために
開発側に脆弱性のあるコーディングに対する知識が欠落している事を指摘する人がいる。まぁ、作る側がしっかりすれば、脆弱性が顕在化することもなかったのだから、そのような考え方もあるだろう。
しかし、理由はそれだけではない。ソフトウエアを逆アセンブルして脆弱性を探し出し、報酬を得るビジネス存在する。日本でも上場している情報セキュリティ会社の研究部門では、発見された脆弱性に対して報酬を払っていることは、よく知られている。最近では、ソフトウエアの処理をチャート化し、脆弱箇所を特定しやすくするリバースエンジニアリング製品も登場してきている。売った後で、一定期間(契約によって異なる)を過ぎたら、偶然を装ってセキュリティ機関や開発者に知らせても良いし、逆に自分だけの秘密にすることもできる。そして善意の報告者であるのか、悪意の報告者であるか、開発側では識別が難しい。両者が存在するというのが正直なところだ。
組織は何をすべきなのか
奇妙な商売がインターネット上に存在することから、ソフトウエアの穴は今後数年は暴露されることになることが予想できるだろう。開発する側だけに脆弱性に関する情報が足りない事実を改善しなければ安全なソフトウエアは作れない。リバースエンジニアリングに関しては、以前にも書いたが、普通のソフトウエア開発者は専門的な知識を身につけていない。まして、教育機関でも教えているところは少ない(私が教えている大学は別)。その結果、脆弱とは知らずにコーディングしてソフトを市場に出してしまうのである。よって、開発者だけを責めるのは残酷ではないか、と考えるようになった。ただし、あるP2Pソフトのように開発者が脆弱性を知っておきながら、色々理由をつけて、故意にバージョンアップしない場合は別であり、その場合は開発者に責任があるのは言うまでもない。
脆弱性探査人の行動パターン
脆弱性探査人の行動パターンを統計的に調べてみたところ、興味深いのは、同じタイプのソフトウエアに潜在化している脆弱性を続けて公表する傾向があるということだ。例えば、画像処理に脆弱性があれば、画像ソフトの脆弱性を次々と見つけ、商売にしていく。古典的な脆弱性であれば、発見しやすく、その検証に使用する攻撃コードがそのまま使えるのが大きな理由のようだ。
フリーソフトウエアを利用するなら定期的な点検を
脆弱性が国内外でデータベース化され、利用されるようになっているが、過去のソフトウエアの脆弱性を見ても意味はない。新しいフリーソフトウエアについては、少なくとも1ヶ月毎にバージョンアップの有無をチェックすることをお勧めしたい。企業の中には、社内で使用するフリーソフトウエアを届出制にして、担当者がバージョンチェックを行っている企業もある。そうでもしなければ、フリーソフトウエアを経由した攻撃を防御することは難しい。
最後に
最近、面識はたぶんない(と思う)某国陸幕のある方から原稿のメールが時々届くようになった。某国の軍関係のドメインからメールが発信されて(偽装されている可能性は高い)、原稿らしき添付ファイルが張り付いてある。それが圧縮形式のファイルなのだ。国防機密の文書なので圧縮ソフトでつい開いてしまう誘惑を考慮しての悪意のあるプログラムが入っていると推測している。でも、単なる誤配信であったら、知らせてあげるべきか、、、悩むところだ。
お詫び
この数ヶ月、情報セキュリティの訓練、情報セキュリティの授業等で、音信不通になっており、失礼しました。現在、F#でセキュリティソフトの開発に従事しています(プロジェクト参画の間)。今後、復帰いたします。
※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。
ピックアップコンテンツPR
-
勝ち残るIT活用--中堅中小企業の現場からタレントの江口ともみさんをレポーターに、
全国さまざまな業種の企業担当者に聞く! -
サイバー攻撃関連ニュースのまとめ特別企画:高度化するサイバー攻撃からビジネスを守る
~対策レポートや企業の製品動向をまとめ読み~
企画特集PR
-
2012年はDBサーバー統合始動の年!
仮想化の暗黒大陸を切り拓く
高次元のサーバー性能とHAクラスタリング -
オープンソースで実現するクラウド
【セミナー】IBM、Red Hat、サイオス
リーディングカンパニー3社が語る最新動向 -
クラウドサービスの事業戦略に迫る
「創世期」から「成長期」へ突入
国内ベンダーはどう「進化し続ける」のか? -
漫画で解説 クラウドのITリソース
管理者は、OS、仮想環境の混在に悩む
クラウド環境に必要な3つの運用サイクル -
「出入口」を固め、攻撃を防御する
従来の防御が使えない!?複合的手法による
脅威から企業システムを守るために -
HP 3PARがデータ急増時代を救う
「使いたい時、使いたいだけ」を実現
今年検討すべき理想のストレージを考える -
組織力、現場力を高める情報共有!
ANAや商船三井など5社の事例で読み解く
-
アプリケーションサーバを最適化!
オープンソースの強みを発揮するJBoss
-
非効率を一掃、仕事をスマートに!
コラボレーションを変えるクラウドサービス
-
セキュアなリモートアクセス環境を
企業システムへの接続を安全、簡単にする
Juniper Networks MAGシリーズ
-
世界と戦うコミュニケーション環境
多様なボイスコミュニケーションを実現する
クラウド型プラットフォームとは? -
もはや神話な、クラウドの思い込み
よくある「5つの勘違い」の真実とは?
IT担当者必見の、目覚めの書を公開 -
7万円台のウルトラブックも!
2012年春モデルの情報をいち早く掲載
HPのお得な情報や最新情報が満載 -
満足な転職、不満足な転職
入社後の満足と不満足の分かれ目とは?!
納得いく転職をする為の転職活動での留意点
-
リリース
エイジア、メール配信システム「WEB CAS e-mail」クラウド(SaaS)版の高速化サービスを提供開始 ―ご要望にお応えし、携帯・PCも最高毎時100万通レベルの高速配信を実現―
株式会社エイジア
-
イベント
『グループウェアーを Google Apps にリプレイス!』『Google Appsを使いたおす』(熊本3/30)
株式会社サテライトオフィス
-
企業ブログ
【EMC Tech Communityサイト】事例紹介 Vol.44 | 社内のファイルサーバを集約する統合ストレージとしてEMC VNXeシリーズを選択
EMCジャパン株式会社
ZDNet Japanは、情報システム部門の読者を対象に、ITを活用したビジネス課題の解決策を提供します。技術や製品の解説、ケーススタディ、ホワイトペーパーなどを通じて、情報システム部門の正しい意志決定を支援します。
ITビジネス全般については、CNET Japanをご覧ください。
