門林 雄基氏によるコラム、【通信プロトコルの脆弱性(1)】を公開

奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室を立ち上げた門林 雄基氏による、コラム連載を開始。https://www.accelia.net/column/resilience/

アクセリア株式会社 2017年12月26日

第8回:通信プロトコルの脆弱性(1)

「通信プロトコルに潜む脆弱性」
前回までのコラム (リンク ») では、3回にわたって設定の脆弱性について解説しました。脆弱性なんて開発現場だけの話でしょ、と思っていた人に読んでもらえればと思います。
 今回からは、スマートフォンやパソコンでメールやウェブでやりとりするときに皆さんが意識せずに使っている、「通信プロトコル」に潜む脆弱性について解説を試みるとしましょう。
 通信プロトコル、というと、いささか古くさいですが、外交など他の分野でも「プロトコール」という言葉が使われることがあるので、あえて使ってみました。今日では「通信プロトコル」と言わず、ITの文脈ではたんに「プロトコル」と書くことが多いので、以降では外交の話はしていないんだな、とご理解ください。


「忘れられたプロトコル脆弱性」
 通信プロトコルに潜む脆弱性、つまりプロトコル脆弱性は、実はとてもやっかいです。プロトコル、つまりスマートフォンやパソコンが通信するときの決まり事に抜けや漏れがあるわけですから、パソコンのOSだけ直しても、スマートフォンのOSだけ直しても、片手落ちです。時にはクラウドで動いているソフトも、ルータのOSも直さないといけません。
 プロトコル、つまり通信の決まり事というのは、あらゆるコンピュータの共通言語のようなものですから、そこに抜けや漏れがあるというのはどういうことでしょうか。

 人間のやりとりに例えるとこんな感じです。
 「ねぇ、あの見積書どうなった?」
 「ねぇ、あの見積書どうなった?」
 「ねぇ、あの見積書どうなった?」
 「ねぇ、あの見積書どうなった?」
 「ねぇ、あの見積書どうなった?」
 「ねぇ、あの見積書どうなった?」

 これをずっとやられると、どうでしょう。まあ催促する手段としては時にはユーモラスで効果的かもしれませんが、100回やられたら、たまったものではないでしょう。人間の場合だと、待ってもらう、とか、少し怒ったポーズを見せて黙ってもらう、とかいろんな手段がとれますが、コンピュータは通信の決まり事にしたがって愚直に処理します。

 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…
 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…
 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…
 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…
 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…
 「ねぇ、あの見積書どうなった?」
 見積書のステータスを確認しています…

 まあ、ざっとこんな感じです。この例はサービス妨害につながる脆弱性と呼ばれます。いわゆるDoS攻撃とか、DDoS攻撃というのは原理的にはこんな感じだと思ってもらってよいでしょう。
 このプロトコル脆弱性に対しては、ある回数を超えたら待ってもらう、とか、要求を送信するたびに待ち時間を倍にする、とか、いろいろな対策が考えられます。しかし、ここで問題となるのは、

 全員が共通言語(=プロトコル)をアップデートしないといけない

 ということです。しかもその共通言語というのは、世界中から集まったエンジニアが2年以上の時間をかけて合意して、億単位のお金を投資して各メーカーが規格書を読み込んでソフトウェアとして実装したものなのです。
 さて、ざっと50億かけて、世界中のエンジニアで協力して、みんなで形にして世に送り出したプロトコルに脆弱性が見つかったとします。何億台というスマホやパソコンのOSに組み込まれている場合、さあ大変です。近年はセキュリティカンファレンスなどで大々的に発表されることも多いですが、日本ではどうしても(対策がないからとか、良心的理由で)扱いが小さくなりがちです。
 様子見しているあいだに、他のニュースが飛び込んできます。

 「そういえば、あの脆弱性どうなった?」
 「みんな対策していない。。。」
 「サーバ側はなんとかなるんだけど、クライアントがね。。。」
 「このスマホ、ファームウェアの更新がもう止まってるんだよね」

 笑えない話ですが、実際によくある話です。皆さんがお使いの最新のスマホも、複数のプロトコル脆弱性を必ず抱えています。もっともメーカーに詰め寄っても、「それはプロトコル(規格)の問題なので弊社のソフトウェアの問題ではありません」「一部の人たちが騒いでいるだけです」と逃げられると思いますが。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)


【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回:サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)
・第3回:サイバーセキュリティが損なわれる原因を理解する(2) (リンク »)
・第4回:サイバーセキュリティが損なわれる原因を理解する(3) (リンク »)
・第5回:サイバーセキュリティが損なわれる原因を理解する(4) (リンク »)
・第6回:サイバーセキュリティが損なわれる原因を理解する(5) (リンク »)
・第7回:サイバーセキュリティが損なわれる原因を理解する(6) (リンク »)

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

アクセリア株式会社の関連情報

アクセリア株式会社

アクセリア株式会社の記事一覧へ

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]