最近のセキュリティ脆弱性

第161回 月例発表会（2015年4月） 知的システムデザイン研究室

最近のセキュリティの脆弱性

堂面拓也，山口浩平

Takuya DOMEN

，

Kohei YAMAGUCHI

1

はじめに

近年のサイバー攻撃は知的財産や個人情報を狙った事 案が多い．2014年2月に起きた，仮想通貨「Bitcoin」の 大手取引所Mt.GOXから3億円相当のBitcoinが不正 に引き出された1) _{．この事件の原因は，何者かによっ} て管理システム上の不具合を攻撃されたことであった． このように，情報やシステムを守るセキュリティに問題 があった場合，企業や組織は大きな損害を被る可能性が ある．

2

情報セキュリティとそれを脅かす要素

2.1 情報セキュリティの3要素 情報セキュリティとは，JIS Q 27002によって，以下 の3要素を維持することであると定義されている． • 機密性（confidentiality）：許可を与えられた者だけ が，その情報にアクセスできる状態を確保すること． • 完全性（integrity）：情報が破壊，改ざんまたは消去 されていない状態を確保すること． • 可用性（availability）：必要なときに情報にアクセス できる状態を確保すること． これら三つの英語の頭文字をとって，情報のCIAという． 2.2 セキュリティを脅かす要素 情報セキュリティを脅かすものとして，以下の2種類 がある． • 脅威：情報セキュリティを脅かす直接の要因．トロ イの木馬やDoS攻撃がこれにあたる． • 脆弱性：情報の取り扱いにかかわる様々な構成要素 の中にあり，損失のリスクを発生・拡大させる要因 となる弱点や欠点のこと． 脅威はその性質上，完全に取り除くことはできない．一 方，脆弱性は組織の内部にある弱点なので，脆弱性に働 きかけることでセキュリティ対策を行う． 本稿では，セキュリティ対策の中心である脆弱性につ いて述べる． 2.3 脆弱性の定量的評価法 脆弱性を定量的に評価するための手法として，CVSS

（Common Vulnerability Scoring System）がある．これ は情報システムの脆弱性に対する汎用的な評価手法であ る．CVSSの値は，情報のCIAへの影響度と，どのネッ トワークから攻撃可能かなど攻撃の容易さを基に算出 される．CVSSを用いることで，脆弱性の深刻度を同一 の基準の下で定量的に比較できる．CVSS値によって， Table1に示すように3段階の深刻度に分けられる． Table1 CVSS値による深刻度 CVSS値 深刻度 脆弱性に対して想定される影響 7.0∼10.0 レベル3（危険） 大部分の情報が漏えいする可能 性など 4.0∼6.9 レベル2（警告） 一部の情報が漏えいする可能性 など 0.0∼3.9 レベル1（注意） 非常に部分的な情報が漏えいす る可能性など

3

近年発見された脆弱性

3.1 OpenSSLにおける脆弱性 OpenSSLはSSL/TLSの，オープンソースで開発・提 供されているソフトウェアである．利用可能なプラット フォームはほぼすべてのLinux系とWindowsであり， その普及率は世界中のサイトの66％にのぼる2) _．この ように広く浸透しているOpenSSLに，重大な欠陥が発 見された 2014年4月に公表された脆弱性は「Heartbleed」と呼 ばれている．Fig.1にHeartbleedの概要を示す．Fig.1

にあるように，クライアントがサーバに5バイトの文字 列HELLOと，文字列長100バイトというデータをリク エストすると，サーバは送られてきた文字列をチェック することなく，指定された文字列100バイト分の文字列 をメモリからコピーし，クライアントに送信してしまう． この脆弱性を攻撃されると，サーバ側のメモリ内容が漏 えいしてしまう．攻撃者は，1度の攻撃で64kBずつメモ リの内容を読み取ることが可能で，保護されていたユー ザ名やパスワードも再現することができる． HeartbleedのCVSS値は5.0となっており3)_，Table1 の深刻度はレベル2に相当する．一度の攻撃で非常に部 分的な情報しか漏えいしないが，この脆弱性による被害 も報告されている． 3.2 GNU bashにおける脆弱性 現在Linuxは非常に幅広い分野で使用されている．こ のLinuxに標準搭載されているシェル「bash」に重大な 脆弱性が発見された．この脆弱性は「Shellshock」と呼 ばれている．Shellshockの概要図を図2に示す．Fig.2 にあるように，本来は読み込まれない不正な位置にある コードを読み込み，実行してしまう．この脆弱性は攻撃 条件が非常に容易かつCIAに重大な影響を及ぼすため に，CVSS値は10.0となっている4)_．これは Table1の 深刻度はレベル3に相当する． 1

Fig.1 Heartbleedの概要 Fig.2 Shellshockの概要 3.3 実際の被害報告 OpenSSLの脆弱性を突かれ，三菱UFJニコスが894 人の個人情報が不正に閲覧された．脆弱性が発表された 1日後に，三菱UFJニコスは攻撃を受けた．脆弱性の発 表を受け，すぐにシステムを修正しなかったために攻撃 を受けたと考えられる． 一方，Shellshockを突いた攻撃によって，大阪府立産 業技術総合研究所のサーバが不正アクセスを受け，マル ウェアに感染してしまった．攻撃を受けたサーバは一部 職員のメールサーバとしても利用されており，メール内 容が流出した可能性もある．しかし，特に重要な情報は 別サーバで管理していたため，被害を最小限に抑えるこ とができた．

4

脆弱性への対策

4.1 システム開発における対策 システム開発において脆弱性対策を行うには，システ ムの開発工程にセキュリティ対策を組み込むことが重要 となる．すなわち，システム要件に応じたセキュリティ 基本方針を策定し，システム設計の時点でセキュリティ 設計を行う．また，独立行政法人情報処理推進機構はセ キュアプログラミングのためのガイドラインや参考文献 を多数紹介しているので，これを参考にシステム開発を 行っていくことが望ましい． 4.2 システムの運用段階における対策 ソフトウェアの脆弱性は予告なく突然公表されること が多い．したがって，迅速な対応を行うためには，セキュ リティに関する情報を常に収集し，情報システムのソフ トウェア構成や変更履歴を日ごろから把握しておく必要 がある．さらに，定期的にネットワークを介した疑似的 な侵入や攻撃を試みて，脆弱性の有無を検査することも 必要である． 4.3 脆弱性の存在が判明した際の対処法 組織において，情報システムに影響を与える脆弱性の 存在が判明した場合，最初に対策の方向性を検討する． すなわち，問題箇所が及ぼす影響を明確にして，修正方 法や回避方法を考える．次に，対策作業計画を策定する． 費用や人員等を考慮し，対策実施に伴うサービスの停止 と再開等を計画する．最後に，対策作業計画に基づき対 策を実施する．個人の場合，各ベンダが出している修正 パッチを早急に充てることが必要である．

5

情報セキュリティの今後

どれほど脆弱性対策を行っても，完全に脆弱性を取り 除くことはできない．したがって，脆弱性の存在が判明 した場合は早急に修正パッチを充てる必要がある．この ような状況において，脆弱性を未然に防ぐことよりも，そ の存在が判明した場合はすぐにアップデートを行うOS の研究が行われている．この新しいOSはCoreOSと呼 ばれている．CoreOSの設計思想は，発生する脆弱性は 未然に防ぐことができないので，正確かつ速やかに脆弱 性に対して修正を行うということである．今後のセキュ リティ対策は発見された脆弱性に対してどれだけ早く， 正確に対処できるかだと考えられる．

参考文献

1) ビットコイン、不正操作で99％が消失…警視庁． http://www.yomiuri.co.jp/it/20141231-OYT1T50135.html 2) OpenSSLの“出血バグ”を抱えているサイト、「.jp」では HTTPSサイトの45％． http://cloud.watch.impress.co.jp/docs/news/ 20140411 644064.html 3) JVNDB-2014-001920 JVN iPedia 脆弱性対策情報デー タベース． http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001920.html 4) JVNDB-2014-004410 JVN iPedia 脆弱性対策情報デー タベース． http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html 2