【ITニュース解説】Smartbi Access Bypass Vulnerability Leads to Admin Takeover

企業のデータを集約し、分析や可視化を行うことで経営判断を支援する「ビジネスインテリジェンス（BI）」プラットフォームとして広く利用されている「Smartbi」において、深刻なセキュリティ上の脆弱性が発見された。この脆弱性は、システムの管理者権限を不正に奪取される可能性を持つものであり、対象となるシステムを利用している組織は迅速な対応が求められる。

今回発見された脆弱性は、「アクセスバイパス」と呼ばれる種類のものである。Webアプリケーションやサービスでは、ユーザーがIDとパスワードでログインすると、サーバーはその後の通信で本人であることを証明するための「トークン」という特別なデータをユーザーに発行する。これは、一度認証が済んだことを示す一時的な電子的な通行証のようなものと考えることができる。ユーザーのコンピュータは、サービスにアクセスするたびにこのトークンを提示することで、毎回パスワードを入力しなくてもログイン状態を維持できる。しかし、SmartbiのV10およびそれ以前のバージョンでは、特定の条件下でこの重要なトークンが外部から不正に取得できる状態になってしまうという設計上の不備が存在した。

攻撃者はこの不備を悪用することで、正規のログイン手順を経ることなく、他人の、特に最も権限の強い「管理者」のトークンを不正に取得することが可能になる。管理者のトークンを手に入れた攻撃者は、そのシステムの正規の管理者になりすますことができる。これにより、システム内に保管されている企業の機密データや顧客情報などを盗み見たり、データを改ざん・削除したりすることができてしまう。さらに、システムの設定を自由に変更し、他のユーザーのアカウントを操作するなど、システム全体を完全に掌握、つまり「乗っ取り」が可能な状態となる。本来必要な認証プロセスを迂回（バイパス）してシステムに侵入できるため、非常に危険度が高い脆弱性であると評価されている。

この脆弱性を分析したセキュリティ企業によると、インターネットからアクセス可能なSmartbiシステムの中には、まだこの脆弱性が修正されていないものが数多く存在していることが確認されている。このような危険な状態を解消するため、システム管理者は自社で利用しているSmartbiのバージョンを確認し、速やかに対策を講じる必要がある。

対策には、暫定的なものと恒久的なものの二つがある。まず、恒久的な対策として最も推奨されるのは、Smartbiの開発元が公式に提供している修正プログラム、いわゆる「セキュリティパッチ」を適用することだ。このパッチを適用することで、トークンが漏洩する原因となったプログラムの欠陥が修正され、脆弱性は根本的に解決される。

何らかの理由で直ちにパッチを適用できない場合には、暫定的な対策として、ネットワークレベルでのアクセス制限を強化することが有効である。これは、ファイアウォールなどのネットワーク機器の設定を用いて、信頼できる特定のIPアドレスからのみSmartbiシステムへアクセスできるように制限する方法だ。これにより、不特定多数の外部からの攻撃アクセスを遮断し、脆弱性を悪用されるリスクを大幅に低減させることができる。ただし、これはあくまで応急処置であり、最終的にはパッチの適用が必要不可欠である。

今回の事例は、広く利用されているソフトウェアであっても、未知の脆弱性が存在する可能性を改めて示している。システムエンジニアは、自身が管理するシステムで利用しているソフトウェアのバージョンを常に把握し、開発元から発表されるセキュリティ情報を定期的に確認する習慣が重要である。そして、脆弱性を修正するパッチが公開された際には、システムの重要度や影響範囲を考慮しつつ、計画的かつ迅速に適用することが、企業の重要な情報資産をサイバー攻撃から守るための基本的な責務となる。脆弱性の有無を診断するためのツールも公開されており、こうしたツールを活用して自システムの状況を確認することも有効な手段の一つだ。