プラグイン脆弱性問題に決め手はあるのかセキュリティTips for Today(9)(2/3 ページ)

» 2009年11月13日 10時00分 公開
[飯田朝洋@IT]

こんなにあるプラグイン脆弱性問題

 プラグインで発見された脆弱性の一端をご紹介したいと思います。次の表は、2009年に発見された主なプラグイン脆弱性の一覧です。

日付 脆弱性の概要 CVE(JVN)
2009年9月9日 Apple、Quick Timeの脆弱性により、任意のコードが実行される可能性がある CVE-2009-2202
2009年7月13日 Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される CVE-2009-1136
2009年7月7日 Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される CVE-2008-0015
2009年5月12日 アドビシステムズ セキュリティ アドバイザリ(APSB09-06) Adobe ReaderおよびAcrobat用セキュリティアップデート公開 CVE-2009-1492
2009年2月24日 アドビシステムズ アドバイザリ(APSB09-01) Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 CVE-2009-0520
表2 2009年に発見されたプラグイン関連の主な脆弱性(2009年9月27日現在)

 上記で挙げた脆弱性は、これまでに発見されたほんの一部に過ぎません。過去、幾度となくプラグインから脆弱性が発見され、そのたびに該当のプラグインのバージョンアップを強いられてきました。

ウイルス感染とは「不正プログラムを実行すること」

 ここからは少し話の趣向を変えて、「ウイルス感染とはどのようなことなのか」ということについて、少し話を進めていきたいと思います。

 ウイルスと聞くと、何か特別なもののように思いがちですが、ウイルスもPC上で動作するプログラムだということを忘れてはいけません。

 要するに、正規のプログラムもウイルスといわれる不正プログラムも、バイナリレベルで見てしまえば同じプログラムだということです。もちろん、ウイルスはユーザーにとって好ましくない動作、もしくは意図しない動作をするプログラムを指しますので、危険なプログラムといえます。

 ここで私がお伝えしたかったことは、ウイルスというものはプログラムである以上、ウイルスに感染するということは、不正プログラム(ウイルス)を実行する必要があるということです。すなわち、不正プログラムを実行しない限り、ウイルス感染もあり得ないということです。

 つまるところ、ウイルス感染という状況を作るには、次のいずれかの行為が必要となります。

  1. ユーザー自ら不正プログラムを実行する
  2. ユーザーの意識が及ばぬところで不正プログラムが勝手に実行されてしまう。

 上述の「1.」については、アイコン偽装、拡張子偽装やソーシャルエンジニアリングなどの手法により、ユーザー自らの意思で実行をさせるように細工が施されていることが多いです。

図1 拡張子偽装でexeファイルへの実行を狙う例 図1 拡張子偽装でexeファイルへの実行を狙う例

 また、「2.」に関しては、脆弱性を悪用する場合や、ドライブ・バイ・ダウンロードなどといった手法により、ユーザー意識の水面下で不正プログラムがバックグランドで実行されウイルス感染に至ります。

 本記事で取り上げている「プラグイン」を悪用してウイルス感染に至るケースは、後者のユーザーの意識が及んでいないところで、勝手に不正プログラムが実行されてしまい、ウイルス感染してしまいます。

 このようにユーザーの意識しないところで、脆弱性を悪用されて勝手にウイルスに感染させられてしまうといったケースでは、常日ごろからの対策がとても重要になってきます。しかし、「プラグイン」を意識していないユーザーにとっては、その対策も難しくなってきます。

 今回の記事では、このプラグインのバージョン管理についてTipsをご紹介したいと思います。

Index

プラグイン脆弱性問題に決め手はあるのか

Page 1

派手なWebサイトの裏にある技術
プラグインの役割を知る
プラグインの脆弱性問題

Page 2

こんなにあるプラグイン脆弱性問題
ウイルス感染とは「不正プログラムを実行すること」

Page 3

完ぺきなソリューションがないプラグイン対策
プラグイン管理の「将来への期待」


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。