セキュリティ専門家が時事ネタを語る本連載。第24回は毎月恒例の「振り返り編」です。4月にはCMSプラグインの脆弱性に起因する個人情報漏えい事件が相次ぎました。専門家がその経緯や対策について解説します。
セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第24回は「2016年4月の振り返り編」です。CMSプラグインの脆弱(ぜいじゃく)性について解説するとともに、ランサムウェアの被害者に実際に話を聞いた辻氏が、その経験を振り返ります。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお寄せください。
宮田 さて、2016年4月の「振り返り編」です。今月もいろいろありましたね。中でもまず取り上げたいのが、CMSのプラグイン「ケータイキット for Movable Type」の一件です。
辻氏 PC用のサイトを携帯電話で見るためのプラグインですね。
宮田 このプラグインに脆弱性が見つかったことで、これを使用していたJ-WAVEやエイベックスのサイトで「OSコマンドインジェクション」が行われてしまうという事件が起きました。
根岸氏 これは“古典的な”攻撃手法で、私たちも久々に聞きましたね。
宮田 「〜〜インジェクション」というのはセキュリティの世界ではよく聞きますが、この「OSコマンドインジェクション」というのは、具体的にどんなことができてしまうんですか?
辻氏 WindowsやLinuxなどのOSのコマンド、例えば「ls」や「cat」のようなものですね。これを外部から、Webアプリケーション経由で実行できてしまいます。
根岸氏 本来実行されてはいけないはずのコマンドが、チェックをすり抜けて実行されてしまうわけですね。
辻氏 そうですね。「cat」を使えばファイルの中身を見られますし、他にも「wget」を使って外から“攻撃ツール”をダウンロードするなど、コマンドの組み合わせ次第で何でもできてしまいます。
宮田 かなり大きな脆弱性というわけですね。
根岸氏 そうです。その結果、今回被害に遭った組織では数十万件の個人情報が窃取されてしまいました。「CMSのプラグイン」については第15回でも取り上げましたね。「WordPress」「Movable Type」「Joomla!」といったCMSの「プラグインのアップデートの重要性」について解説しました。
辻氏 脆弱性情報をウォッチしていると、プラグインの方が圧倒的に多いんですよね。CMSのプラグインは、攻撃者からすると「使っているところを探しやすい」ということもありますしね。
根岸氏 今回も、最初の事件が発覚して更新パッチがリリースされた後に攻撃を受けているケースがありましたね。事件を知った攻撃者が「これは使えるぞ」と思って脆弱性が残っているサイトを探して攻撃に出たのかもしれません。あるいは、最初からこのプラグインを使っているサイトを把握していた可能性もありますね。
辻氏 今回の場合は製品として販売されているものだったので、「導入事例」が大々的に出ていましたしね。
根岸氏 こういうときには「脆弱性が明らかになった後、すぐに対応できるかどうか」が肝心ですね。今回も、最初の事件の後にアップデートを実施して攻撃を未然に防げたケースがあった一方で、事件の後に被害に遭ってしまうケースもありました。
宮田 セキュリティ業界の人たちであれば「脆弱性が見つかった」という情報にすぐに気が付くと思うんですが、実際のユーザーの人たちがそうした情報にすぐに気付くというのは、なかなか難しいのではないかという気もします。製造者側が「情報を出しているか」も大事ですが、使い手がそれを「見ているか」も大事ですね。
辻氏 そうですね。それから、ソフトウェアは「最新にしましょう」という言葉が先行しがちですが、プラグインも含めて、そもそも「自分がどんなソフトウェアを使っているのか」を知っておくことも大切ですね。あとは「開発元などからの連絡を、組織のどこが受け取って対応するのか」も重要です。
根岸氏 「実は連絡が来ていたのにスルーしてしまっていた」という可能性もありますからね。判断すべき人が本当に判断できていたのか。組織側の対応も大事ですね。
CMSプラグインに限らず、ソフトウェアのセキュリティ対策はまず「自分がどんなソフトウェアを使っているのか」を把握し、その上で「各ソフトウェアを最新の状態に保つ」こと。あらためて基本を確認しつつ、3人の話題は「ランサムウェア」へと移っていきます。ちなみにランサムウェアについては第8回でも解説しましたが、今回は、“実際に被害者の話を聞いてきた”辻氏が、単なる技術的な問題では済まないランサムウェアの“悪質さ”について語ります。
Copyright © ITmedia, Inc. All Rights Reserved.