門林 雄基氏によるコラム、【サイバーセキュリティが損なわれる原因を理解する(2)】を公開

奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室を立ち上げた門林 雄基氏による、コラム連載を開始。https://www.accelia.net/column/resilience/

アクセリア株式会社 2017年11月22日

第3回:サイバーセキュリティが損なわれる原因を理解する(2)

「ソフトウェア脆弱性は設定の脆弱性とは区別される」
 今回のコラムでも、前回 (リンク ») に引き続き、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。

 前回のコラムでは、情報漏洩やサービス停止などの原因となるソフトウェア脆弱性というものについて紹介しました。なかでも、私たちがよく分かっているつもりのデータベースやプログラミング言語でも、ソフトウェアの仕様そのものが脆弱性の原因となっている場合がある、という懸念を紹介しました。ソフトウェアやクラウドサービスなどを活用する立場としては、インターネットにつないで安全に使うことを前提とした最新鋭のデータベースや、多少プログラミングが面倒でもチェックの厳しいプログラミング言語を使いこなしていきたいですね。

 ちなみに、クラウド対応の最新鋭のデータベースであっても、設定の不備を突かれて、インターネット越しに何者かにデータを暗号化され、データの身代金を要求される事件が世界中で起きています。なお、これは「設定の脆弱性」が原因となって起きている事件で、ソフトウェア脆弱性とは一般的には区別されます。

 話を元に戻して、ソフトウェアの仕様そのものが脆弱であるケースについて、もう少し話を続けることにしましょう。前回のコラムでは、そもそもソフトウェアが最初に作られた時代にインターネットなどなかった、データベースについて紹介しました。では、他にはこういったソフトウェアは無いのでしょうか。最近作られたソフトウェアであれば大丈夫なのでしょうか。


「性善説に基づくプログラムと出所不明のファイルの組み合わせで、脆弱性が発現する」
 これに答えるために、まず「組み合わせると脆弱」であるケースについて話をしましょう。大雑把な話ですが、インターネットにつないで使うことを想定していないソフトウェアをインターネットにつないで使った途端、あらゆる種類の問題に見舞われます。情報漏洩、サービス妨害、身代金、すべて覚悟すべきでしょう。

 もう少し具体的な話をしましょう。最近はやりの「デジタルサイネージ」のようなシステムを作って、駅前にデジタル広告を出して儲けることを考えましょう。このシステムの中核は、画像を表示するソフトウェアで、インターネットからダウンロードした画像を延々と表示しているわけです。さて、このシステムには脆弱性があるでしょうか。それとも、画像を表示するだけだから、何の問題もないでしょうか。

 答えは、画像を表示するソフトウェアの作り次第、です。インターネットにつないで使うことを想定していた画像表示ソフトなら、脆弱性は無いと思いたいですね。では、憶測でモノを言うのをやめて、画像表示ライブラリの脆弱性について調べてみましょう。

 JPEGライブラリの脆弱性:5件。なかでも最新のものは、Androidスマートフォンに画像を表示させると悪意あるプログラムが実行されてしまう可能性があるという、かなり深刻なものですね。

 PNGライブラリの脆弱性:35件。こちらも、画像を表示させると悪意あるプログラムが実行されてしまう可能性がある脆弱性が見つかっていますね。

 なぜ画像ファイルの表示でこんなことが起きるのでしょうか。答えは、「画像でないファイル」あるいは「壊れた画像ファイル」と画像表示ライブラリの組み合わせですね。自分がデジカメやスマホで撮った写真を表示している限り、悪意あるプログラムが実行されるようなことはないでしょう。では赤の他人が撮った写真はどうでしょうか。そのファイルは、本当に画像ファイルでしょうか。
 もともと画像表示ライブラリは「画像でないファイル」や「壊れた画像ファイル」を想定しておらず、画像ファイルの中に書いてあることをそのまま信じて処理するよう作られていたんですね。そういった性善説に基づくプログラムに、インターネット上の出所不明の画像ファイルを組み合わせると、脆弱性が発現してしまうんですね。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)


【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回:サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

アクセリア株式会社の関連情報

アクセリア株式会社

アクセリア株式会社の記事一覧へ

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]