編集部からのお知らせ
スタート直前の5Gをチェック!
PickUp! オンラインストレージの進化と課題

グーグルのファズツール、LinuxカーネルのUSBサブシステムに潜む複数の脆弱性発見

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2017-11-09 11:22

 Googleの研究者であるAndrey Konovalov氏は米国時間11月7日、LinuxカーネルのUSBドライバに14件の脆弱性が存在していることを明らかにした。同氏がこれら脆弱性を発見するために使用したのは、同じくGoogleの研究者であるDmitry Vyukov氏が開発したOSカーネルのファズツール「syzkaller」だ。

 Konovalov氏は、オープンソース環境のセキュリティ情報をやり取りするOpenwallのメーリングリストに、「これらすべての脆弱性は、攻撃者が物理的にアクセスできるコンピュータを標的にした、悪意あるUSBデバイスを作成することで悪用できる」と記している。

 今回発表された14件の脆弱性に対する修正が入手可能となっているが、これら14件はLinuxカーネルのUSBドライバに影響を与える79件の脆弱性の一部でしかない。

 79件の脆弱性のうち、現時点で共通脆弱性識別子(CVE)番号が割り当てられているのは22件となっている。これら脆弱性に対するそれぞれの修正は入手可能だが、多くはまだ対処されていない。

 これら14件の脆弱性は、Linuxカーネルのバージョン4.13.8以前に影響を与えるという。その大半はDoS攻撃に悪用できるものだが、特別な方法で作成したUSBデバイスにより、システムクラッシュや「予期できない」その他の影響が引き起こされる可能性もある。

 攻撃自体には物理アクセスが必要となるものの、サイバー犯罪者らは過去にも、マルウェアを感染させたUSBメモリを会社の駐車場にわざと落としておき、好奇心の強い従業員が会社のコンピュータに挿入するよう仕向けるという手法を使ったことがある。

 また「Stuxnet」は、USBメモリを介して、ネットワークに接続されていないコンピュータへの感染を広げていくようになっていた。

 Konovalov氏が発見した79件の脆弱性の一部は、2016年12月にGoogle Groupsのメーリングリストを通じて関連団体に報告されている。そして同氏は、2017年に入ってからも継続的に報告している。報告を受けたなかにはGoogleや、Linuxカーネル開発コミュニティー、Intel、The Linux Foundationが含まれている。

 Konovalov氏は、9月と10月に同メーリングリストで多くの脆弱性を報告しており、その一部はLinuxカーネルのバージョン4.14のリリース候補(RC)版で発見されたものだ。それらはカーネル開発者らの手によって開発プロセスで対処済みだ。

 Konovalov氏の報告のおかげで、カーネル開発者らは忙しい日々を送っている。同氏が最近報告したUSB関連の複数の脆弱性は、Linux 4.14のRC8版にも影響を与えている。Linus Torvalds氏は11月5日に同リリースを発表しており、その翌日にもKonovalov氏はUSB関連の脆弱性を複数発見している(そのうちのいくつかは修正済みだが、修正されていないものもある)。

 Torvalds氏によると、Linux 4.14.0は12日にリリースされる予定だという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]