いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】セイコーソリューションズ製SkyBridge BASIC MB-A130におけるOSコマンドインジェクションの脆弱性

作成日: 更新日:

ITニュース概要

セイコーソリューションズ製機器「SkyBridge BASIC MB-A130」に、遠隔から不正な命令を実行される脆弱性が存在。攻撃者に機器を乗っ取られる恐れがあるため、利用者は速やかに本体ソフトウェアを最新版へアップデートする必要がある。(115文字)

出典: セイコーソリューションズ製SkyBridge BASIC MB-A130におけるOSコマンドインジェクションの脆弱性 | JVN公開日:

ITニュース解説

セイコーソリューションズ株式会社が提供するLTE/3G対応ルーター「SkyBridge BASIC MB-A130」において、外部の攻撃者によって機器が不正に操作される可能性のある深刻な脆弱性が発見された。この脆弱性は「OSコマンドインジェクション」と呼ばれるものであり、ネットワーク機器のセキュリティを考える上で非常に重要な問題である。このルーターは、遠隔地にある機器との通信を中継するなど、産業用途やIoT分野で広く利用される可能性があるため、その影響は大きい。ここでは、この脆弱性の仕組みと危険性、そして対策について、システムエンジニアを目指す上で知っておくべき基本的な知識と共に解説する。 まず、問題となっている「OSコマンドインジェクション」とは何かを理解する必要がある。多くのネットワークルーターは、利用者が設定を変更しやすいように、ウェブブラウザからアクセスできる管理画面、いわゆるWeb UI(ユーザーインターフェース)を備えている。今回の対象製品であるMB-A130も同様にWeb UIを持ち、ここから様々な設定や診断操作が可能である。OSコマンドインジェクションとは、このWeb UIの入力欄などを悪用し、攻撃者が用意した不正な命令文を、機器を制御しているOS(オペレーティングシステム)に直接送り込み、実行させてしまう攻撃手法である。OSとはコンピューターやルーターといった機器全体を管理・制御する基本的なソフトウェアのことであり、「コマンド」とはそのOSに特定の動作を指示するための命令文を指す。「インジェクション」は「注入」を意味し、これらを組み合わせると、本来は想定されていないOSへの命令を不正に注入する攻撃、と理解できる。 今回の脆弱性は、MB-A130のWeb UIに実装されている「診断機能」の中に存在した。具体的には、指定した宛先とのネットワーク接続を確認する「ping実行」機能と、通信経路を調査する「traceroute実行」機能である。通常、これらの機能では、利用者はIPアドレスやドメイン名を入力欄に入力する。すると、ルーターの内部では、入力された値を引数として「ping」や「traceroute」といったOSコマンドが実行される。例えば、利用者が「8.8.8.8」と入力すれば、内部では「ping 8.8.8.8」のようなコマンドが生成され、実行される。しかし、この入力値に対するチェックが不十分であったため、攻撃者はここにOSへの不正なコマンドを紛れ込ませることが可能になっていた。例えば、「8.8.8.8; reboot」のような文字列を入力すると、セミコロン(;)がコマンドの区切りとして解釈され、「ping 8.8.8.8」の実行後に、続けて「reboot」(再起動)という全く別のコマンドが実行されてしまう可能性がある。 この脆弱性が悪用された場合、攻撃者はルーターの管理者権限、いわゆるroot権限で任意のOSコマンドを実行できる可能性がある。root権限は、システムにおける最高権限であり、これを持つ者はOSのあらゆる設定変更、ファイルの閲覧、改ざん、削除など、全ての操作が可能となる。つまり、攻撃者はルーターを完全に支配下に置くことができる。その結果、ルーターの通信設定を勝手に変更して通信内容を盗聴したり、ルーターを踏み台として、そのルーターが接続されている内部ネットワークにある他のサーバーやPCへ侵入を試みたり、あるいは他のウェブサイトへのサイバー攻撃(DDoS攻撃など)の加担者にされてしまうといった、極めて深刻な被害につながる危険性がある。特にルーターはネットワークの玄関口としての役割を担っているため、ここが乗っ取られることは、その先のネットワーク全体の安全が脅かされることを意味する。 このような脆弱性が生まれる原因は、プログラム開発における基本的なセキュリティ対策の不備にある。具体的には、Web UIのような外部から受け取った入力値を、OSコマンドとして実行する前に、その内容が安全なものであるかを確認する処理、いわゆる「入力値の検証」が不十分だったことである。プログラムは、ユーザーが入力する値を常に「悪意のあるものが含まれているかもしれない」と疑って扱う必要がある。OSコマンドとして特別な意味を持つ記号、例えばセミコロン(;)、パイプ(|)、アンド(&)といったメタ文字が含まれていないかをチェックし、もし含まれていればそれを無害化する処理(サニタイジング)や、そもそも受け付けないようにする処理が不可欠である。今回のケースでは、この検証プロセスが適切に行われていなかったため、攻撃者の仕込んだ不正なコマンドがそのままOSに渡され、実行されてしまったと考えられる。 この問題に対処するため、セイコーソリューションズは脆弱性を修正した新しいバージョンのファームウェアを公開している。ファームウェアとは、ルーターのようなハードウェアを制御するために組み込まれている基本的なソフトウェアのことである。利用者は、現在使用しているMB-A130のファームウェアバージョンを確認し、影響を受けるバージョン(Ver.1.0.6以前)であった場合は、速やかに修正版であるVer.1.0.7以降にアップデートする必要がある。これが最も確実で根本的な解決策である。もし、何らかの理由で直ちにアップデートができない場合は、一時的な回避策として、ルーターのWeb UIにアクセスできる送信元IPアドレスを、信頼できる管理者の端末のみに制限することが推奨される。これにより、少なくとも外部の不特定多数の攻撃者がWeb UIにアクセスすることを防ぎ、攻撃の機会を大幅に減らすことができる。ただし、これはあくまでリスクを低減するための一時しのぎであり、脆弱性そのものが解消されるわけではないため、最終的にはファームウェアのアップデートが必須である。 今回の事例は、システム開発者にとっても、またシステムの運用管理者にとっても重要な教訓を含んでいる。開発者は、ユーザーからの入力を伴う機能を実装する際には、OSコマンドインジェクションをはじめとする様々なインジェクション攻撃の可能性を常に念頭に置き、入力値の検証を徹底しなければならない。一方で、運用管理者は、自身が管理するシステムや機器にどのようなソフトウェアが使われているかを把握し、メーカーや開発元が公開する脆弱性情報を日常的に確認し、修正プログラムが提供された際には迅速に適用する運用体制を整えておくことが、システムを安全に保つ上で不可欠である。OSコマンドインジェクションは古典的な攻撃手法でありながら、今なお後を絶たない。システムエンジニアを目指す者は、その仕組みと危険性を正しく理解し、セキュアなシステム設計・運用の基礎知識として身につけておくべきである。

【ITニュース解説】セイコーソリューションズ製SkyBridge BASIC MB-A130におけるOSコマンドインジェクションの脆弱性