「セキュリティー学習ソフト」に脆弱性　作製の専門機関が「使用停止」呼びかけ

   独立行政法人の情報処理推進機構（IPA）が過去に無料公開していたセキュリティー学習ソフト「安全なウェブサイト運営入門」に脆弱性が見つかった。同機構が2017年3月16日、公式サイト上で発表した。ユーザーには「（ソフトの）使用を停止してください」と注意喚起している。

   「OSコマンド・インジェクション」の脆弱性の存在が判明したという。IPAの担当者によれば、悪意のある第三者からセキュリティー攻撃を受けた場合に、「ファイルを削除するといったコマンドを勝手に入力される」危険性がある。

ソフトのサポートは2013年に終了

   今回脆弱性が見つかった「安全なウェブサイト運営入門」は、IPAが2008年に公式サイト上で公開したサイト運営者向けの学習ソフト。シミュレーションゲーム形式で体験的に学習できる点が特徴で、ウェブサイトの脆弱性による被害への具体的な対策方法を扱っている。

   ただ、ソフトのサポートは公開から5年後の13年に終了しており、16年3月にはダウンロード公開も停止している。そのため、IPAによる今回の注意喚起は、過去にソフトをダウンロードしていて、現在もそのソフトを利用しているユーザーに向けたものだ。

   17年3月21日のJ-CASTニュースの取材に応じたIPAセキュリティセンターの担当者によると、見つかった脆弱性は第三者が細工したソフトのセーブデータファイルを読み込んだ際に起きる可能性がある。具体的にどのような被害が想定できるかについては、

「この脆弱性は、第三者が任意のコマンドを実行できる点にあります。ファイルの細工の仕方によって変わってきますが、PC上のファイルを削除するといったコマンドが考えられると思います」

と話した。とはいえ、IPAはすでに後継の学習ソフトを公開していることから、担当者は

「（現在も問題のソフトを）利用しているユーザーはそこまで多くないとは思います」

とも付け加えていた。