【ITニュース解説】複数のiND製品における複数の脆弱性
ITニュース概要
株式会社iNDが提供する複数の製品に、セキュリティ上の弱点となる複数の脆弱性が存在することが判明した。これによりシステムに問題が起こる恐れがあり、利用者は注意と対応が必要となる。
ITニュース解説
株式会社iNDが提供するグループウェアやWebデータベースなどの複数のソフトウェア製品において、セキュリティ上の重要な問題、すなわち脆弱性が複数発見された。これらの脆弱性は、攻撃者によって悪用された場合、システムに深刻な影響を及ぼす可能性があるため、対象製品の利用者は迅速な対応が求められる。 今回報告された脆弱性は、主に4つの種類に分類される。一つ目は「クロスサイト・スクリプティング(XSS)」と呼ばれるもので、これはWebアプリケーションの入力フォームやパラメータなどに、悪意のあるスクリプトを埋め込む攻撃手法である。例えば、掲示板の書き込み欄に不正なプログラムコードを紛れ込ませて投稿する。他のユーザーがその投稿を閲覧すると、そのユーザーのブラウザ上で仕込まれたスクリプトが実行されてしまう。これにより、ログイン状態を維持するための情報であるクッキーが盗まれ、アカウントを乗っ取られたり、偽の入力フォームを表示されてIDやパスワードを盗まれたりする危険性がある。今回のiND製品では、特定の機能においてこのXSSの脆弱性が存在し、ユーザーが意図しないスクリプトを実行させられる可能性が指摘されている。 二つ目は「クロスサイト・リクエスト・フォージェリ(CSRF)」という脆弱性だ。これは、ユーザーがログインしている状態のWebサービスに対し、本人の意図とは無関係に、攻撃者が用意した不正なリクエストを送信させてしまう攻撃である。ユーザーが悪意のあるWebサイトに仕込まれたリンクをクリックしたり、サイトを閲覧したりするだけで、気づかないうちにログイン中のWebサービスでパスワードが変更されたり、重要な設定が書き換えられたりといった操作が実行されてしまう。攻撃者はユーザーの認証情報を直接盗むのではなく、ユーザーの認証されたセッションを悪用する。今回のiND製品では、この脆弱性により、管理者権限を持つユーザーが意図しない操作を実行させられる危険性があった。 三つ目は、極めて危険度の高い「SQLインジェクション」である。Webアプリケーションは、ユーザー情報や各種データをデータベースに保存して管理していることが多い。このデータベースを操作するために「SQL」という言語が使われる。SQLインジェクションは、Webアプリケーションの入力フォームなどを通じて、開発者が想定していない不正なSQL文を注入(インジェクション)し、データベースを不正に操作する攻撃手法である。この攻撃が成功すると、データベースに保存されている顧客情報や個人情報などの機密情報がすべて盗み出されたり、データを改ざん・削除されたりする可能性がある。これは情報漏洩事件に直結する非常に深刻な脆弱性であり、システムに致命的なダメージを与える。 四つ目は「オープンリダイレクト」という脆弱性だ。これは、Webサイトの特定のURLにアクセスしたユーザーを、攻撃者が指定した全く別の悪意のあるサイトへ自動的に転送(リダイレクト)させることができてしまう問題である。ユーザーは正規の信頼できるドメインのURLにアクセスしているつもりでも、実際には本物のサイトそっくりに作られたフィッシング詐欺サイトへ誘導されてしまう。そこでIDやパスワード、クレジットカード情報などを入力してしまうと、それらの情報が攻撃者に盗まれてしまう。信頼されたサイトのURLが悪用されるため、ユーザーは騙されていることに気づきにくいという特徴がある。 これらの脆弱性の影響を受けるのは、「WebDB R5.3.3Aおよびそれ以前」、「WebReport R2.1.2Aおよびそれ以前」、「WebCal R5.2.2Aおよびそれ以前」、「WebMail R2.1.5Aおよびそれ以前」、「WebForum R4.1.2Aおよびそれ以前」などの複数の製品である。これらの製品を利用している場合、早急な対策が必要となる。 最も確実かつ根本的な対策は、株式会社iNDが提供している修正済みの最新バージョンにソフトウェアをアップデートすることである。開発元から提供されるアップデートには、今回発見された脆弱性を修正するためのプログラムが含まれている。アップデートを適用することで、攻撃者がこれらの脆弱性を悪用する経路を塞ぐことができる。システムエンジニアとしては、自社や顧客が利用しているシステムのソフトウェアバージョンを正確に把握し、このような脆弱性情報が公開された際には、速やかにアップデート計画を立てて実行することが極めて重要だ。システムを安全に運用するためには、日頃から脆弱性情報を収集し、ソフトウェアを常に最新の状態に保つという基本的なセキュリティ対策を徹底することが不可欠である。今回の事例は、Webアプリケーションに潜む典型的な脆弱性の危険性と、それに対する迅速な対応の重要性を改めて示すものだ。