2018年 12月 10日 (月)

「セキュリティー学習ソフト」に脆弱性 作製の専門機関が「使用停止」呼びかけ

印刷
糖の吸収を抑える、腸の環境を整える富士フイルムのサプリ!

   独立行政法人の情報処理推進機構(IPA)が過去に無料公開していたセキュリティー学習ソフト「安全なウェブサイト運営入門」に脆弱性が見つかった。同機構が2017年3月16日、公式サイト上で発表した。ユーザーには「(ソフトの)使用を停止してください」と注意喚起している。

   「OSコマンド・インジェクション」の脆弱性の存在が判明したという。IPAの担当者によれば、悪意のある第三者からセキュリティー攻撃を受けた場合に、「ファイルを削除するといったコマンドを勝手に入力される」危険性がある。

  • IPAの「安全なウェブサイト運営入門」紹介ページ(画像はキャッシュ)
    IPAの「安全なウェブサイト運営入門」紹介ページ(画像はキャッシュ)

ソフトのサポートは2013年に終了

   今回脆弱性が見つかった「安全なウェブサイト運営入門」は、IPAが2008年に公式サイト上で公開したサイト運営者向けの学習ソフト。シミュレーションゲーム形式で体験的に学習できる点が特徴で、ウェブサイトの脆弱性による被害への具体的な対策方法を扱っている。

   ただ、ソフトのサポートは公開から5年後の13年に終了しており、16年3月にはダウンロード公開も停止している。そのため、IPAによる今回の注意喚起は、過去にソフトをダウンロードしていて、現在もそのソフトを利用しているユーザーに向けたものだ。

   17年3月21日のJ-CASTニュースの取材に応じたIPAセキュリティセンターの担当者によると、見つかった脆弱性は第三者が細工したソフトのセーブデータファイルを読み込んだ際に起きる可能性がある。具体的にどのような被害が想定できるかについては、

「この脆弱性は、第三者が任意のコマンドを実行できる点にあります。ファイルの細工の仕方によって変わってきますが、PC上のファイルを削除するといったコマンドが考えられると思います」

と話した。とはいえ、IPAはすでに後継の学習ソフトを公開していることから、担当者は

「(現在も問題のソフトを)利用しているユーザーはそこまで多くないとは思います」

とも付け加えていた。

「ギャグみたいになっててかわいそう」

   今回の脆弱性公表の理由について、担当者は

「具体的な被害があったという報告はこれまでに受けていませんが、脆弱性が見つかったまま放置して良い問題とはいえないため、今回のような対応をとりました」

と説明。その上で、今回の脆弱性を発見した時期については「ソフトのサポートを終了した後だった」とも話していた。

   サポートがすでに終了していたソフトだったとはいえ、情報セキュリティー対策を推進するIPAが公開していたソフトに脆弱性が発見されたことについて、ツイッターやネット掲示板には、

「身をもってインターネットの危険性を訴えてるのか」
「ミイラ取りがミイラになったな」
「ギャグみたいになっててかわいそう」

と揶揄する声が出ている。ただ一方で、「サポート終了してるソフトの話なので、仕方ない」と冷静に見る声も複数出ていた。

   なお、IPAが提供する学習ソフトに脆弱性が発見されたのは今回が初めてではない。16年10月に公開した「脆弱性体験学習ツール AppGoat(アップゴート)」に複数の脆弱性が発見されたとして、IPAは17年2月に修正版のソフトを配布していた。

   こうした背景もあり、ネット上では「IPA、またなのか」「前にも見た気がすんな」といった声も出ている。2つの脆弱性の関連について上述したIPAの担当者は、

「『安全なウェブサイト運営入門』と『アップゴート』の脆弱性には何の関連もありません。たまたま重なってしまっただけです」

と説明していた。

今すぐ無料会員に登録して、コメントを書き込もう!
iQos_JC.jpg
ウチの旦那、煙草吸うんですけど... 揉めずに上手く解決するには?

11月22日は「いい夫婦の日」。パートナーとよりよい関係を築いていくために、日々の暮らしやコミュニケーションについて改めて考えるいい機会です。もしもパートナーに対して悩んでいることがあるのなら、これを機に「夫婦で話し合い」をしてみるのもいいかもしれません。思っていることや考えていることは、口に出さなければ伝わらないもの。「私たちが、今より、いい関係」になることを目指し、ポジティブに話し合うことが大切です。

PR 2018/11/19

ad-kyouryoku-kaidan2.png
秋の夜長に「最恐怪談」はいかが?

この秋、「最恐怪談」が、さらにパワーアップして帰ってきました。赤羽の地に集まったのは、怪談界でも指折りの3人の語り部たち。今宵は、背筋も凍る、このお話からお聞かせしましょう......。

PR 2018/10/9

姉妹サイト
    loading...

注目情報

PR
J-CAST会社ウォッチ会員向けセミナー
しごとの学校
  • ついに第1号か!? GDPR違反で巨額制裁金 課される企業はあの......

  • 「就活応援」トークライブ北条かや×石渡嶺司の「会社に騙されないシューカツ」

  • 追悼
    J-CASTニュースをフォローして
    最新情報をチェック
    電子書籍 フジ三太郎とサトウサンペイ 好評発売中