アクセリアは、インターネットやサイバーセキュリティを専門とするスペシャリストが身近におりますので、知見にたけた専門家協力の元、お客様のご要望に沿ったソリューションのご提案も得意としております。また、弊社Webサイトでは、「サイバーレジリエンス」と題し専門家によるコラムも連載しております。
ECのミカタでも、コラムをご紹介させていただくことになりました。皆さまの効果的な対策につなげるためのヒントになれば幸いです。

●公開済みのコラム
　サイバーセキュリティに求められる バランス感覚
　https://ecnomikata.com/company_blog/15023/

　サイバーセキュリティが損なわれる原因を理解する(1)
　https://ecnomikata.com/company_blog/15410/

アクセリア株式会社
https://www.accelia.net/

ソフトウェアの脆弱性？

今回のコラムでも、前回に引き続き、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。

　前回のコラム（https://ecnomikata.com/company_blog/15410/）では、情報漏洩やサービス停止などの原因となるソフトウェア脆弱性というものについて紹介しました。なかでも、私たちがよく分かっているつもりのデータベースやプログラミング言語でも、ソフトウェアの仕様そのものが脆弱性の原因となっている場合がある、という懸念を紹介しました。ソフトウェアやクラウドサービスなどを活用する立場としては、インターネットにつないで安全に使うことを前提とした最新鋭のデータベースや、多少プログラミングが面倒でもチェックの厳しいプログラミング言語を使いこなしていきたいですね。

　ちなみに、クラウド対応の最新鋭のデータベースであっても、設定の不備を突かれて、インターネット越しに何者かにデータを暗号化され、データの身代金を要求される事件が世界中で起きています。なお、これは「設定の脆弱性」が原因となって起きている事件で、ソフトウェア脆弱性とは一般的には区別されます。

　話を元に戻して、ソフトウェアの仕様そのものが脆弱であるケースについて、もう少し話を続けることにしましょう。前回のコラムでは、そもそもソフトウェアが最初に作られた時代にインターネットなどなかった、データベースについて紹介しました。では、他にはこういったソフトウェアは無いのでしょうか。最近作られたソフトウェアであれば大丈夫なのでしょうか。

組み合わせると脆弱

これに答えるために、まず「組み合わせると脆弱」であるケースについて話をしましょう。大雑把な話ですが、インターネットにつないで使うことを想定していないソフトウェアをインターネットにつないで使った途端、あらゆる種類の問題に見舞われます。情報漏洩、サービス妨害、身代金、すべて覚悟すべきでしょう。

　もう少し具体的な話をしましょう。最近はやりの「デジタルサイネージ」のようなシステムを作って、駅前にデジタル広告を出して儲けることを考えましょう。このシステムの中核は、画像を表示するソフトウェアで、インターネットからダウンロードした画像を延々と表示しているわけです。さて、このシステムには脆弱性があるでしょうか。それとも、画像を表示するだけだから、何の問題もないでしょうか。

　答えは、画像を表示するソフトウェアの作り次第、です。インターネットにつないで使うことを想定していた画像表示ソフトなら、脆弱性は無いと思いたいですね。では、憶測でモノを言うのをやめて、画像表示ライブラリの脆弱性について調べてみましょう。

　JPEGライブラリの脆弱性：５件。なかでも最新のものは、Androidスマートフォンに画像を表示させると悪意あるプログラムが実行されてしまう可能性があるという、かなり深刻なものですね。

　PNGライブラリの脆弱性：３５件。こちらも、画像を表示させると悪意あるプログラムが実行されてしまう可能性がある脆弱性が見つかっていますね。

　なぜ画像ファイルの表示でこんなことが起きるのでしょうか。答えは、「画像でないファイル」あるいは「壊れた画像ファイル」と画像表示ライブラリの組み合わせですね。自分がデジカメやスマホで撮った写真を表示している限り、悪意あるプログラムが実行されるようなことはないでしょう。では赤の他人が撮った写真はどうでしょうか。そのファイルは、本当に画像ファイルでしょうか。
　もともと画像表示ライブラリは「画像でないファイル」や「壊れた画像ファイル」を想定しておらず、画像ファイルの中に書いてあることをそのまま信じて処理するよう作られていたんですね。そういった性善説に基づくプログラムに、インターネット上の出所不明の画像ファイルを組み合わせると、脆弱性が発現してしまうんですね。

組み合わせ方が脆弱

つぎに、「組み合わせ方が脆弱」であるケースについて話をしましょう。あなたの会社の重要情報を扱うソフトと、あなたの会社に応募してくる中途採用者の応募情報を扱うソフトが一緒だったとします。現実にはいくらでもあるでしょう。ワード、エクセル、PDF。さて、会社の重要情報と、出所不明の採用者の情報を同じパソコンで扱うのは安全でしょうか。

　こちらも、さきほどの画像ファイル同様、ワード、エクセル、PDFファイルを扱うソフトに脆弱性があれば、壊れたファイルを送りつけることで悪意あるプログラムが実行されてしまう可能性があります。最近、大きな問題となっている標的型攻撃は、大雑把にいえばこのようにして成立していると言っていいでしょう。

　さて、あなたは人事部門あるいはマーケティング部門だから、出所不明の PDF ファイルを開かざるを得ない、とします。では、出所不明のファイルを扱うパソコンと、会社の重要情報を扱うパソコンは同じで良いでしょうか。

　今日の企業ネットワークでは、一般従業員の情報取り扱いスキルが低く、出所不明の情報と重要情報が１台のパソコンに混在しており、出所不明のソフトと会社指定の重要情報を取り扱うソフトが混在していることも珍しくありません。ソフトウェアの仕様に話を戻せば、出所不明のファイルを扱うときにセキュリティを考慮して余計な機能をオフにする、といったソフトの仕様上の改善も必要でしょう。いくつかのソフトでは、そのような地道な改善も行われています。

　今回はこれくらいにしておきましょう。次回のコラムでも、セキュリティ専門家でなくても知っておきたいソフトウェア脆弱性の性質について紹介したいと思います。

コラムは以上となります。

ITエンジニア向け動画配信サービスcrash.academy

アクセリアが運営するITエンジニア向け動画配信サービスcrash.academyでは、著者の門林 雄基が講師をつとめる「標準サイバーセキュリティ」シリーズで、サイバーセキュリティの基礎概念を学ぶことができます。
現在、crash.academyでは、オリジナル（有料）講座1本プレゼントのキャンペーンを行っております。
この機会に是非講座を受講いただき、更なるレベルアップを実現していただければと存じます。
キャンペーンページ：https://crash.academy/news/68/

著者

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 情報科学研究科 教授
Adjunct Professor, Unitec Institute of Technology, New Zealand
日欧国際共同研究「EUNITYプロジェクト」日本側研究代表
WIDEプロジェクトボードメンバー