【マンスリーレポート 2002/06】脆弱性露見の原因は意外なところに | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

【マンスリーレポート 2002/06】脆弱性露見の原因は意外なところに

製品・サービス・業界動向 業界動向

■ケーススタディ:脆弱性露見の顛末

 インターネットが社会と密接になるにつれ、情報漏洩に代表されるさまざまな問題が発生している。しかし、認識の低い個人ユーザはともかく、企業ユーザの認識は確実に高まっており、セキュリティ対策の環境も整備されつつある。インターネット社会も徐々に安心できる、安定したものになっていくだろう。だが、それぞれの立場の人々がどんなにがんばっても、問題が起きることがある。今回はそんな問題をケーススタディとして紹介しよう。


>> 発端はネットに公開された脆弱性レポート

 今回のレポートは少し異色である。というのも、いくつもの投稿をチェックするうちに、身近に起こりえるトラブルが想定できたからだ。そのため、複数の事実を元にしてはいるが、全てが事実というわけではない。ケーススタディとしてお読みいただき、参考にしていただければ幸いである。

 発端はAさんからの投稿であった。その内容は、業務用サイトを構築、管理するためのエンタープライズ向けのソフトウェアにセキュリティの脆弱性を発見したというもの。指摘された脆弱性は、クロスサイトスクリプティング問題、パスワード管理不備による情報漏洩の危険性、ファイルアップロード時の認証問題などであり、さらに予測される被害を例題を挙げて説明し、対処方法に至るまで詳細に記述されていた。

 Aさんはすでに、ベンダに対してセキュリティホールの告知を行っていた。しかし、その直後に一部の問題点のみは修正されたものの、半年間近く経過しても音沙汰がなく、ユーザへの危険性のアナウンスもない。業を煮やしたAさんは、一計を案じて投稿を行ったのである。ユーザの多いソフトウェアだけに危機感も高かったのであろう。

 脆弱性は投稿に記載されたものが全てではなく、ベンダの反応がないようであれば、他のメディアに対しても全ての脆弱性の問題について公開する。と付け加えられていた。かくして投稿は公開され、ソフトウェアの脆弱性は万人の知るところとなった。


>> ソフトウェアベンダは「青天の霹靂」

 早速、ソフトウェアベンダに話を伺ってみたところ、指摘されていた問題点はベンダ側でも判明しており、数日中に対応する予定であったという。同社ではソフトウェアの堅牢性には特に注意していただけに、今回の件はショックを隠せないようだ。しかし「指摘された内容は適切」であるとして、メーカーではこれを真摯に受け止め、技術者から最終ユーザに至る複数の立場で指摘内容のチェックを行い、また指摘された部分以外も全製品において検証を行っているという回答を得た。その際には、セキュリティの懸念点を例題付でインターネット公開するというのは少々非常識とのコメントもあった。

 時を開けずして同社から、指摘のあったソフトウェアの脆弱性について、パートナーやユーザに向けてリリースが流された。これを拝見させていただいたが、掲載された脆弱性の記述に誇張があったことは否めないようだ。問題を指摘するだけならともかく、具体例まで提示することは多少なりとも「悪意」を感じたことも事実である。

 その後、ふたたびソフトウェアベンダと連絡を取ったところ、Aさんから直接メールが届いたという。通常、このような投稿を行う場合は問題点の指摘はするものの、直接ベンダなどにアプローチするケースは少ない。疑問を感じて伺ってみると、Aさんは当該ソフトウェアを使用したサイトの管理者であることが判明した。サイトの構築作業をしている際に脆弱性に気付き、何度問い合わせをしても返事がないためネットでの情報公開に踏み切ったという。


>> 意外なところにあった原因

 ここでさらに疑問が浮かぶ。Aさんは何度もサポート窓口に連絡していたのに、それをベンダが知らなかったという点だ。さらに話を伺うと、ベンダは数ヶ月前に、ある会社(以後、B社とする)とパートナー契約を結び、販売およびサポート窓口を委託していた。不思議なことに、Aさんの指摘したソフトウェアの脆弱性に関する不具合解決要望書がB社で止まっており、ベンダに届いていなかったのだ。B社への取材は叶わなかったが、Aさんによると指摘された脆弱性についての内容の吟味をB社で行い、最終的にはベンダに通達する予定であったという。それにしても2ヶ月以上も音沙汰がないのでは、Aさんの心情を察するに余りある。パートナー契約を結んだばかりなので関係を悪化させたくない、という意思もあったのではとAさんは指摘する。

 現在では、ベンダとAさんで直接やり取りを行い、互いの誤解も解け脆弱性の解消に進んでいるという。今回の騒動はシステムなどではなく、人為的な部分に原因があった。紆余曲折はしたものの事態は解決に向かい、めでたしではあるのだが、多くの問題点が浮き彫りになったことも確かだ。

【執筆:吉澤亨史】

(詳しくはScan Incident Reportをご覧ください)
http://shop.vagabond.co.jp/m-sir01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. サイバー攻撃の観測レポートや注意喚起情報などをブログ形式で発信(IIJ)

  5. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  6. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  7. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  8. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  9. ここが危ないインターネット クレジットカードの落とし穴

  10. 人の動作に偽装するボットアクセスを検知(アカマイ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×