【ITニュース解説】Weekly Report: 複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性

作成日: 2025年09月03日更新日: 2025年09月03日

ITニュース概要

有害サイト対策ソフト「i-フィルター」の複数製品でセキュリティの弱点が見つかった。プログラムの重要なファイルに対するアクセス権が不適切で、悪意のある攻撃によりPCが不正操作される危険性がある。利用者は速やかな対応が求められる。

出典: Weekly Report: 複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性 | JPCERT/CC公開日: 2025年09月03日

ITニュース解説

Webフィルタリングソフトとして広く利用されている「i-フィルター」シリーズの複数の製品において、セキュリティ上の問題、すなわち脆弱性が存在することが報告された。この脆弱性は「不適切なファイルアクセス権設定」に起因するものであり、攻撃者によって悪用された場合、コンピュータのシステムに深刻な影響を及ぼす可能性がある。この問題を理解するためには、まずコンピュータシステムにおける「ファイルアクセス権」の役割から知る必要がある。コンピュータのオペレーティングシステム（OS）は、ファイルやフォルダを保護するための基本的な仕組みとして「アクセス権」または「パーミッション」と呼ばれる機能を持っている。これは、システム内のどのユーザーが、どのファイルやフォルダに対して、どのような操作（読み取り、書き込み、実行など）を許可されているかを定義するルールである。例えば、システムの動作に不可欠な重要なファイルは、管理者権限を持つ特別なユーザー（WindowsではAdministrator、Linuxではroot）しか変更できないように設定されている。これにより、一般のユーザーが誤ってシステムファイルを削除したり、悪意のあるプログラムが勝手にシステム設定を書き換えたりすることを防いでいる。このアクセス権による保護は、コンピュータの安定性と安全性を維持するための根幹をなす非常に重要な機能である。今回の「i-フィルター」製品で発見された脆弱性は、このアクセス権の設定が不適切であったという問題だ。具体的には、本来は管理者権限を持つユーザーだけが変更できるはずの特定のファイルが、管理者権限を持たない一般ユーザーでも書き込みや変更が可能な状態になっていた。これは、システムのセキュリティ設計における重大な見落としである。通常、ソフトウェアをインストールする際には、そのプログラムファイルや設定ファイルに対して適切なアクセス権が自動的に設定される。しかし、この設定に不備があったため、システムの防御に穴が空いてしまった状態となっていた。このような脆弱性が存在すると、攻撃者は「権限昇格」と呼ばれる攻撃を仕掛けることが可能になる。権限昇格とは、低い権限しか持たない攻撃者が、システムの脆弱性を利用してより高い権限、最終的にはシステムの全てを制御できる管理者権限を不正に取得する行為を指す。今回のケースにおける攻撃シナリオは次のようになる。まず、攻撃者は何らかの方法で、ターゲットのコンピュータに一般ユーザーとして侵入する。次に、アクセス権の設定が甘くなっている「i-フィルター」のファイルを見つけ出し、その内容を自身が作成した悪意のあるプログラム（マルウェアなど）に書き換える。そして、システムや他のプログラムが、その書き換えられたファイルを管理者権限で実行するのを待つ。フィルタリングソフトのようなシステムに常駐するプログラムは、OSによって高い権限で実行されることが多いため、この書き換えられたファイルが実行されると、攻撃者のプログラムも管理者権限で動作することになる。管理者権限を奪取されると、そのコンピュータは完全に攻撃者の支配下に置かれる。攻撃者は、新たなマルウェアを自由にインストールしたり、個人情報や企業の機密情報を盗み出したり、システムを破壊したりすることが可能になる。また、そのコンピュータを「踏み台」として、他のネットワーク上のコンピュータへさらなる攻撃を仕掛ける拠点として悪用することさえできてしまう。もちろん、「i-フィルター」が本来持つべきフィルタリング機能を無効化することも容易である。この問題への対策として、ソフトウェアの利用者は、開発元であるデジタルアーツ社から提供される修正プログラム、いわゆるセキュリティアップデートを速やかに適用することが最も重要である。ソフトウェアを常に最新の状態に保つことは、既知の脆弱性からシステムを保護するための基本的な対策となる。システムエンジニアを目指す者にとって、この事例は極めて重要な教訓を含んでいる。それは、自身が開発するソフトウェアがインストールされ、動作する際のファイルアクセス権の設定に最大限の注意を払わなければならないということだ。特に、「最小権限の原則」というセキュリティの基本原則を遵守することが不可欠である。これは、ユーザーやプログラムには、その役割を果たすために必要最小限の権限のみを与えるべきだという考え方だ。必要以上の権限を与えてしまうと、今回のような脆弱性の原因となり、システム全体を危険に晒すことになる。ソフトウェアのインストーラーを作成する際や、プログラムがファイルにアクセスする際の権限設定は、機能の実装と同じくらい、あるいはそれ以上に重要な設計項目なのである。結論として、今回の「i-フィルター」の脆弱性は、ファイルアクセス権というOSの基本的なセキュリティ機能の設定ミスが、いかに深刻な事態を引き起こしうるかを示す典型的な事例と言える。将来システムエンジニアとして活躍するためには、プログラミング技術だけでなく、OSの仕組みやセキュリティの基本原則について深く学び、安全なシステムを構築するための知識と意識を身につけることが強く求められる。