第8回:通信プロトコルの脆弱性(1)
「通信プロトコルに潜む脆弱性」
前回までのコラム (リンク ») では、3回にわたって設定の脆弱性について解説しました。脆弱性なんて開発現場だけの話でしょ、と思っていた人に読んでもらえればと思います。
今回からは、スマートフォンやパソコンでメールやウェブでやりとりするときに皆さんが意識せずに使っている、「通信プロトコル」に潜む脆弱性について解説を試みるとしましょう。
通信プロトコル、というと、いささか古くさいですが、外交など他の分野でも「プロトコール」という言葉が使われることがあるので、あえて使ってみました。今日では「通信プロトコル」と言わず、ITの文脈ではたんに「プロトコル」と書くことが多いので、以降では外交の話はしていないんだな、とご理解ください。
「忘れられたプロトコル脆弱性」
通信プロトコルに潜む脆弱性、つまりプロトコル脆弱性は、実はとてもやっかいです。プロトコル、つまりスマートフォンやパソコンが通信するときの決まり事に抜けや漏れがあるわけですから、パソコンのOSだけ直しても、スマートフォンのOSだけ直しても、片手落ちです。時にはクラウドで動いているソフトも、ルータのOSも直さないといけません。
プロトコル、つまり通信の決まり事というのは、あらゆるコンピュータの共通言語のようなものですから、そこに抜けや漏れがあるというのはどういうことでしょうか。
人間のやりとりに例えるとこんな感じです。
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
これをずっとやられると、どうでしょう。まあ催促する手段としては時にはユーモラスで効果的かもしれませんが、100回やられたら、たまったものではないでしょう。人間の場合だと、待ってもらう、とか、少し怒ったポーズを見せて黙ってもらう、とかいろんな手段がとれますが、コンピュータは通信の決まり事にしたがって愚直に処理します。
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
まあ、ざっとこんな感じです。この例はサービス妨害につながる脆弱性と呼ばれます。いわゆるDoS攻撃とか、DDoS攻撃というのは原理的にはこんな感じだと思ってもらってよいでしょう。
このプロトコル脆弱性に対しては、ある回数を超えたら待ってもらう、とか、要求を送信するたびに待ち時間を倍にする、とか、いろいろな対策が考えられます。しかし、ここで問題となるのは、
全員が共通言語(=プロトコル)をアップデートしないといけない
ということです。しかもその共通言語というのは、世界中から集まったエンジニアが2年以上の時間をかけて合意して、億単位のお金を投資して各メーカーが規格書を読み込んでソフトウェアとして実装したものなのです。
さて、ざっと50億かけて、世界中のエンジニアで協力して、みんなで形にして世に送り出したプロトコルに脆弱性が見つかったとします。何億台というスマホやパソコンのOSに組み込まれている場合、さあ大変です。近年はセキュリティカンファレンスなどで大々的に発表されることも多いですが、日本ではどうしても(対策がないからとか、良心的理由で)扱いが小さくなりがちです。
様子見しているあいだに、他のニュースが飛び込んできます。
「そういえば、あの脆弱性どうなった?」
「みんな対策していない。。。」
「サーバ側はなんとかなるんだけど、クライアントがね。。。」
「このスマホ、ファームウェアの更新がもう止まってるんだよね」
笑えない話ですが、実際によくある話です。皆さんがお使いの最新のスマホも、複数のプロトコル脆弱性を必ず抱えています。もっともメーカーに詰め寄っても、「それはプロトコル(規格)の問題なので弊社のソフトウェアの問題ではありません」「一部の人たちが騒いでいるだけです」と逃げられると思いますが。
・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)
【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回:サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)
・第3回:サイバーセキュリティが損なわれる原因を理解する(2) (リンク »)
・第4回:サイバーセキュリティが損なわれる原因を理解する(3) (リンク »)
・第5回:サイバーセキュリティが損なわれる原因を理解する(4) (リンク »)
・第6回:サイバーセキュリティが損なわれる原因を理解する(5) (リンク »)
・第7回:サイバーセキュリティが損なわれる原因を理解する(6) (リンク »)
前回までのコラム (リンク ») では、3回にわたって設定の脆弱性について解説しました。脆弱性なんて開発現場だけの話でしょ、と思っていた人に読んでもらえればと思います。
今回からは、スマートフォンやパソコンでメールやウェブでやりとりするときに皆さんが意識せずに使っている、「通信プロトコル」に潜む脆弱性について解説を試みるとしましょう。
通信プロトコル、というと、いささか古くさいですが、外交など他の分野でも「プロトコール」という言葉が使われることがあるので、あえて使ってみました。今日では「通信プロトコル」と言わず、ITの文脈ではたんに「プロトコル」と書くことが多いので、以降では外交の話はしていないんだな、とご理解ください。
「忘れられたプロトコル脆弱性」
通信プロトコルに潜む脆弱性、つまりプロトコル脆弱性は、実はとてもやっかいです。プロトコル、つまりスマートフォンやパソコンが通信するときの決まり事に抜けや漏れがあるわけですから、パソコンのOSだけ直しても、スマートフォンのOSだけ直しても、片手落ちです。時にはクラウドで動いているソフトも、ルータのOSも直さないといけません。
プロトコル、つまり通信の決まり事というのは、あらゆるコンピュータの共通言語のようなものですから、そこに抜けや漏れがあるというのはどういうことでしょうか。
人間のやりとりに例えるとこんな感じです。
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
「ねぇ、あの見積書どうなった?」
これをずっとやられると、どうでしょう。まあ催促する手段としては時にはユーモラスで効果的かもしれませんが、100回やられたら、たまったものではないでしょう。人間の場合だと、待ってもらう、とか、少し怒ったポーズを見せて黙ってもらう、とかいろんな手段がとれますが、コンピュータは通信の決まり事にしたがって愚直に処理します。
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
「ねぇ、あの見積書どうなった?」
見積書のステータスを確認しています…
まあ、ざっとこんな感じです。この例はサービス妨害につながる脆弱性と呼ばれます。いわゆるDoS攻撃とか、DDoS攻撃というのは原理的にはこんな感じだと思ってもらってよいでしょう。
このプロトコル脆弱性に対しては、ある回数を超えたら待ってもらう、とか、要求を送信するたびに待ち時間を倍にする、とか、いろいろな対策が考えられます。しかし、ここで問題となるのは、
全員が共通言語(=プロトコル)をアップデートしないといけない
ということです。しかもその共通言語というのは、世界中から集まったエンジニアが2年以上の時間をかけて合意して、億単位のお金を投資して各メーカーが規格書を読み込んでソフトウェアとして実装したものなのです。
さて、ざっと50億かけて、世界中のエンジニアで協力して、みんなで形にして世に送り出したプロトコルに脆弱性が見つかったとします。何億台というスマホやパソコンのOSに組み込まれている場合、さあ大変です。近年はセキュリティカンファレンスなどで大々的に発表されることも多いですが、日本ではどうしても(対策がないからとか、良心的理由で)扱いが小さくなりがちです。
様子見しているあいだに、他のニュースが飛び込んできます。
「そういえば、あの脆弱性どうなった?」
「みんな対策していない。。。」
「サーバ側はなんとかなるんだけど、クライアントがね。。。」
「このスマホ、ファームウェアの更新がもう止まってるんだよね」
笑えない話ですが、実際によくある話です。皆さんがお使いの最新のスマホも、複数のプロトコル脆弱性を必ず抱えています。もっともメーカーに詰め寄っても、「それはプロトコル(規格)の問題なので弊社のソフトウェアの問題ではありません」「一部の人たちが騒いでいるだけです」と逃げられると思いますが。
・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)
【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回:サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)
・第3回:サイバーセキュリティが損なわれる原因を理解する(2) (リンク »)
・第4回:サイバーセキュリティが損なわれる原因を理解する(3) (リンク »)
・第5回:サイバーセキュリティが損なわれる原因を理解する(4) (リンク »)
・第6回:サイバーセキュリティが損なわれる原因を理解する(5) (リンク »)
・第7回:サイバーセキュリティが損なわれる原因を理解する(6) (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
