いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】MegaSys Computer Technologies製Telenium Online Web Applicationにおける不適切な入力検証の脆弱性

作成日: 更新日:

ITニュース概要

MegaSys社製Webアプリ「Telenium Online」に、入力データのチェックが不十分な脆弱性が存在。悪用されると、攻撃者が遠隔からサーバー上で不正な命令を実行し、システムを操作できてしまう危険があるため注意が必要だ。(115文字)

出典: MegaSys Computer Technologies製Telenium Online Web Applicationにおける不適切な入力検証の脆弱性 | JVN公開日:

ITニュース解説

MegaSys Computer Technologies社が開発した「Telenium Online Web Application」というソフトウェアに、外部からの攻撃を許してしまう深刻なセキュリティ上の問題が発見された。この問題は「不適切な入力検証」の脆弱性と呼ばれ、攻撃者が遠隔からサーバーを不正に操作できる危険性を持っている。 まず、ソフトウェアにおける「脆弱性」とは、プログラムの設計ミスや不具合によって生じるセキュリティ上の弱点のことである。この弱点を突かれると、情報漏洩やシステムの乗っ取りといった被害につながる。今回の脆弱性の核心は「不適切な入力検証」にある。Webアプリケーションは、ユーザーが入力フォームやURLを通じて送信する様々なデータを受け取って動作する。例えば、ログイン時のIDやパスワード、検索キーワードなどがこれにあたる。「入力検証」とは、アプリケーションが受け取ったデータが、開発者の想定した通りの形式や内容であるかをチェックする重要な工程である。例えば、電話番号の入力欄に数字以外の文字が入力されていないか、メールアドレスが「@」を含む正しい形式になっているかなどを確認する作業がこれに該当する。この検証が不十分であったり、全く行われていなかったりする状態が「不適切な入力検証」である。この状態では、悪意を持った攻撃者が、アプリケーションを誤作動させるような特殊な文字列や、プログラムの命令などを送り込むことが可能になってしまう。 今回のTelenium Online Web Applicationでは、この不適切な入力検証が、特に危険な攻撃手法である「PHPオブジェクトインジェクション」を可能にしていた。このアプリケーションは、Webサーバーでよく利用されるプログラミング言語であるPHPで開発されている。PHPには、プログラム内で使われる複雑なデータ構造(オブジェクト)を、保存や通信に適した一つの文字列に変換する「シリアライズ」という機能がある。そして、その文字列を元のデータ構造(オブジェクト)に戻す「アンシリアライズ」という機能も存在する。脆弱性のあるアプリケーションは、ユーザーから送られてきたデータを無防備にこの「アンシリアライズ」の処理にかけてしまっていた。攻撃者はこの仕組みを悪用する。まず、サーバー上で実行させたい悪意のある命令を組み込んだ特殊なデータ(オブジェクト)を用意し、それを「シリアライズ」して攻撃用の文字列を作成する。そして、この文字列をアプリケーションの入力部分から送り込む。アプリケーション側では、入力検証が不十分なため、この悪意のある文字列を正常なデータとして受け入れてしまう。そして、`unserialize()` という関数で元のデータ構造に復元しようとする。この復元の過程で、文字列に仕込まれていた悪意のある命令がプログラムの一部として実行されてしまう。これがPHPオブジェクトインジェクション攻撃の仕組みである。 この攻撃が成功すると、攻撃者は「任意コード実行(Remote Code Execution)」という極めて危険な状態を引き起こすことができる。これは、攻撃者がインターネットを通じて、対象のサーバー上で好きなプログラムや命令を自由に実行できる状態を意味する。サーバーを完全に掌握されることと同義であり、考えられる被害は甚大である。例えば、サーバー内に保管されている顧客情報や企業の機密情報を盗み出す、ウェブサイトのコンテンツを改ざんする、データを全て消去する、さらにはそのサーバーを新たな攻撃の拠点(踏み台)として、他のシステムへ攻撃を仕掛けるといったことが可能になる。今回の脆弱性の深刻度を示す指標であるCVSSスコアは「9.8」と評価されている。これは最高値である10.0に極めて近い数値であり、この脆弱性が発見された場合、直ちに修正が必要な最も危険なレベルであることを示している。 この問題に対する対策として、開発元であるMegaSys Computer Technologies社は、プログラムを修正した新しいバージョンのソフトウェアを公開している。修正内容の核心は、ユーザーからの入力を「アンシリアライズ」する前に、その内容が安全なものであるかを厳密に検証する処理を追加したことである。このソフトウェアを利用しているシステムの管理者は、速やかにこのアップデートを適用する必要がある。もし何らかの理由でアップデートがすぐに適用できない場合は、対象のシステムへのアクセスを信頼できるネットワークからのみに制限する、あるいは一時的にサービスを停止するといった回避策を検討しなければならない。今回の事例は、システム開発におけるセキュリティの基本原則である「ユーザーからの入力は決して信用しない」という考え方の重要性を改めて示すものである。システムエンジニアを目指す上で、入力値の検証は、安全なアプリケーションを構築するための最も基本的かつ重要な防御策の一つであることを理解する必要がある。また、ソフトウェアの脆弱性は日々発見されるため、セキュリティ情報を常に収集し、自身が関わるシステムに影響がないかを確認し、迅速に対応する姿勢が不可欠である。

【ITニュース解説】MegaSys Computer Technologies製Telenium Online Web Applicationにおける不適切な入力検証の脆弱性