【ITニュース解説】Weekly Report: Google Chromeに脆弱性
ITニュース概要
Google Chromeにセキュリティ上の弱点が発見された。悪意のある第三者がこの弱点を悪用すると、PCを乗っ取られる危険がある。Googleから修正版が公開されているため、利用者は速やかに最新バージョンへアップデートすることが重要だ。
ITニュース解説
Google Chromeに新たな脆弱性が発見され、セキュリティ機関であるJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼びかけている。脆弱性とは、ソフトウェアの設計や実装における誤りによって生じるセキュリティ上の弱点のことである。この弱点を悪用されると、攻撃者によって意図しない操作が行われ、情報漏えいやシステムの乗っ取りといった深刻な被害につながる可能性がある。ウェブサイトを閲覧するためのソフトウェアであるブラウザは、インターネットへの入り口となるため、その脆弱性は特に大きな脅威となり得る。 Chromeのような世界中で利用されているウェブブラウザは、動画再生、オンライン決済、拡張機能など、非常に多くの機能を持つ巨大で複雑なソフトウェアである。そのため、開発者が細心の注意を払って開発していても、予期せぬ欠陥、つまり脆弱性が含まれてしまうことがある。今回報告された脆弱性もその一つであり、これを放置したまま利用を続けると、利用者は大きなリスクに晒されることになる。 今回発見された脆弱性には複数の種類が含まれているが、その中でも特に危険性が高いとされるのが「解放済みメモリの使用(Use-After-Free)」と呼ばれる種類のものである。コンピュータのプログラムは、動作中に必要な情報を「メモリ」という場所に一時的に保存する。このメモリは、机の上の作業スペースのようなものと考えるとわかりやすい。作業が終わると、そのメモリ領域は不要になるため「解放」され、他のプログラムが使える状態になる。Use-After-Free脆弱性は、プログラムがこの「解放」したはずのメモリ領域に、誤って再びアクセスしようとすることで発生する。解放後のメモリ領域には、攻撃者が用意した不正なデータが書き込まれている可能性がある。プログラムがそのデータを正規のものと誤認して処理してしまうと、攻撃者の意のままに不正なコードを実行させることが可能になる。具体的には、攻撃者が巧妙に細工した悪意のあるウェブサイトをユーザーが閲覧するだけで、コンピュータがマルウェアに感染したり、IDやパスワードといった個人情報が盗み出されたりする危険がある。 この他にも、「ヒープバッファオーバーフロー」といった古典的だが強力な脆弱性も報告されていることがある。これは、プログラムがデータを格納するために用意したメモリ領域(バッファ)に対して、想定以上の大きさのデータを書き込むことで発生する。バッファからあふれ出たデータが、隣接するメモリ領域に保存されているプログラムの動作を制御する重要な情報を上書きして破壊し、プログラムの動作を不安定にさせたり、最終的には乗っ取ったりする。これらの脆弱性も、最終的には攻撃者による任意のコード実行につながる可能性があり、極めて危険である。 これらの脆弱性が悪用された場合の影響は甚大である。遠隔の第三者が、ユーザーの許可なくコンピュータ上で任意のプログラムを実行できる状態になるため、システムの完全な乗っ取りも起こり得る。そうなれば、保存されている機密ファイルや個人情報の窃取、データの改ざん、他のシステムへの攻撃の踏み台としての利用、キーボード入力を盗み見るキーロガーの設置など、あらゆる被害が想定される。そのため、脆弱性の深刻度を示す共通の評価システムであるCVSS(共通脆弱性評価システム)においても、多くの場合で深刻度が「High(高)」や「Critical(緊急)」と評価される。 このような脅威から身を守るために、システムエンジニアや一般の利用者が取るべき対策は、Google Chromeを速やかに最新バージョンにアップデートすることである。ソフトウェアの開発元は、脆弱性が発見されると、それを修正するための更新プログラム(パッチ)を迅速に提供する。Chromeの場合、通常はブラウザを起動しているとバックグラウンドで自動的にアップデートが適用され、再起動時に有効になる。しかし、確実に更新するためには手動での確認が推奨される。確認方法は、ブラウザ右上のメニューから「ヘルプ」を選択し、「Google Chromeについて」をクリックするだけである。この画面で現在のバージョンが表示され、もし新しいバージョンがあれば自動的にダウンロードとインストールが開始される。企業環境では、多数のコンピュータを一元管理しているため、情報システム部門の担当者が、管理下のすべての端末でアップデートが適用されているかを確認し、必要に応じて強制的に適用するなどの対応が求められる。 ソフトウェアに脆弱性が存在するのは避けがたい現実であり、重要なのは脆弱性情報をいち早く察知し、迅速かつ正確に対応することである。システムエンジニアを目指す者にとって、JPCERT/CCやIPA(情報処理推進機構)といった公的機関が発信するセキュリティ情報を日常的に確認する習慣は不可欠である。また、なぜそのような脆弱性が生まれるのか、攻撃者はそれをどのように悪用するのかといった技術的な背景を理解することは、将来、安全なシステムを設計・構築・運用していく上で極めて重要なスキルとなる。今回のChromeの脆弱性に関するニュースは、その実践的な学習の機会と捉えることができるだろう。