検索
ニュース

「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れゲストアカウントから攻撃できる場合も

パスワードマネージャーなど、コンピュータセキュリティにとって重要な10以上のアプリケーションに、プロセス間通信を横取りする攻撃に対する脆弱(ぜいじゃく)性があることが分かった。

Share
Tweet
LINE
Hatena

 フィンランドのアールト大学とヘルシンキ大学の研究グループが、コンピュータセキュリティにとって重要な10以上のアプリケーションに、インサイダー攻撃に対する脆弱(ぜいじゃく)性があることを発見、2018年8月15日に発表した。ログイン認証情報の保存に使用する「パスワードマネージャー」の他、同様の攻撃や侵害を受けやすいアプリケーションが幾つかあることが分かった。

 パスワードマネージャーは通常、Webブラウザの拡張機能として動作するフロントエンドと、パスワードを保存、管理するバックエンドの2つのコンポーネントから成り、これらは同一コンピュータ上で別々のプロセスとして実行されている。

 2つのプロセスはデータを交換するために、「プロセス間通信(IPC)」というメカニズムを使用する。IPCは同一コンピュータ内で実行され、外部ネットワークに情報を送信しない。そのため、IPCはこれまで安全と考えられてきた。

1台のPC内部で「中間者攻撃」が起きる

 しかし、IPCの安全性を確保するためには、IPCを実行するソフトウェアが、同じコンピュータ内で実行される他のプロセスからIPCを保護する必要がある。さもないと、他のユーザーが開始した悪意あるプロセスが、IPC通信チャネル内のデータにアクセスする恐れがあるからだ。研究グループはこのような攻撃を「Man-in-the-Machine(MitMa)」攻撃と名付けた。

 権限のあるユーザーがコンソールログインやSSH、リモートデスクトップを実行したときや、ゲストアカウントで攻撃者がコンソールログインを実行したときにMitMa攻撃が成功する可能性があるという。


MitMa攻撃の概念 名前やアドレスにバインドすることで攻撃者のプロセスがなりすましを実行し、正当なIPCの間に入り込んで情報を横取りする(出典:Man-in-the-Machine: Exploiting Ill-Secured Communication Inside the Computer)

 研究グループは13種類のアプリケーションを調査した。対象OSはmacOSとWindows、Linux。パスワードマネージャーではRoboForm 8.4.4やDashlane 5.1.0、1Password 6.8.4、F-Secure Key 4.7.114、Password Boss 3.1.3434、Sticky Password 8.0.4を調べた。

 その結果、調査した全てのパスワードマネージャーにMitMa脆弱性が見つかった。MySQL 5.7.21など、IPCを使う他のアプリケーションも調べ、やはりMitMa脆弱性を発見している。

 「パスワードマネージャーを含むセキュリティ上重要な多くのアプリケーションが、IPCチャネルを適切に保護していない。このため、1台のコンピュータ上で実行される他のユーザーのプロセスが通信チャネルにアクセスし、ユーザーの認証情報を盗む可能性がある」と、アールト大学の博士号取得候補者タン・ブイ氏は説明する。

 数人のユーザーが同じマシンにアクセスすることは珍しくない。大企業では通常、IAM(Identity and Access Management)システムを運用している。従業員が基本的に社内のどのコンピュータにもログインできるようにするためだ。

 このシナリオでは、社内の誰もが攻撃を仕掛けることが可能だ。また、IAMが有効であれば、攻撃者がコンピュータにゲストとしてログインしたり、リモートに接続したりできる。

 「脆弱なアプリケーションの数から分かるのは、ソフトウェア開発者がしばしば、IPCに関連するセキュリティ問題を見過ごしてしまうということだ。開発者は、さまざまなIPCメソッドのセキュリティ特性を理解していないのかもしれないし、ローカルで実行されるソフトウェアやアプリケーションを信頼しすぎているのかもしれない。いずれにしても、困った事態だ」と、ヘルシンキ大学の博士課程修了研究者マーク・アンティカイネン氏は述べている。

 アールト大学とヘルシンキ大学の研究グループは責任ある開示方針に基づき、発見した脆弱性を各ベンダーに報告済みだ。各社は攻撃防止策を講じている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る