多くの企業でパソコンのセキュリティ対策として導入されている、顔認証などの生体認証ソフトウェアに脆弱性が見つかりました。もしこれを悪用されると、攻撃者にパソコンの最も高い権限を乗っ取られ、システムを自由に操作されてしまう危険性があります。今日は、私たちを守るはずのセキュリティ製品そのものに潜むリスクと、権限昇格という攻撃手法について、その仕組みと対策をしっかりと理解していきましょう。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月7日、Fujitsu Security Solution AuthConductor Client Basic V2における送信元の確認が不十分な脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
今回のニュースは、富士通クライアントコンピューティングが提供するセキュリティソフト、AuthConductor Client Basic V2に関するものです。このソフトには、データがどこから送られてきたかの確認が不十分な点がありまして、悪意のある攻撃者がWindowsにログインできる状態であれば、システム全体を操作できるSYSTEM権限を不正に取得し、好きなコマンドを実行したり、設定を勝手に書き換えたりできてしまう可能性があります。すでに修正版が公開されていますので、利用者は早急なアップデートが求められています。本来はパソコンを守るためのソフトが、逆に攻撃の窓口になってしまうという、非常に皮肉で深刻な事案と言えますね。
質疑応答
記事に出てくる「SYSTEM権限」というのは、具体的にどれくらい強い権限なんですか?
これはWindowsにおいて最も強力な権限の一つで、いわばパソコンの神様のような存在です。普段私たちが使っている管理者権限よりもさらに上位に位置しておりまして、システムの中枢に関わる重要なファイルの変更や削除、レジストリと呼ばれる設定情報の書き換えなど、あらゆる操作が可能になってしまいます。もしここを握られると、パソコンを完全に乗っ取られたも同然の状態になってしまうため、非常に危険なんです。
「送信元の確認が不十分」というのは、具体的にどういうミスなんでしょうか?
これは例えるなら、家のドアをノックされたときに、誰が来たかを確認せずに鍵を開けてしまうような状態です。本来であれば、正規のプログラムからの指示かどうかを厳密にチェックする必要がありますが、その確認プロセスが甘かったために、偽の指示であっても正しいものとして処理してしまうんですね。その隙を突いて、攻撃者が不正な命令を送り込めるようになっていたというのが、今回の脆弱性の原因です。
では、この攻撃は外部からいきなりやられてしまうものなんですか?
今回の脆弱性を悪用するには、攻撃者がそのパソコンにログインできる状態である必要があります。そのため、インターネット越しにいきなり攻撃されるわけではありません。しかし、もし別のマルウェアに感染して遠隔操作されたり、あるいは悪意を持った内部の人間が操作したりする場合に、この脆弱性を使われると被害が甚大になります。つまり、最初の侵入を許した後の、被害拡大に使われるリスクが高いとお考えください。
記事を見ると対象のバージョンが細かく分かれていますが、更新は難しそうですか?
少し注意が必要です。お使いの「AuthConductor Client Basic V2」のバージョンと、顔認証オプションを使っているかどうかによって、適用すべき修正プログラムが異なります。例えば、顔認証オプションを使っていない場合はバージョン2.0.25.1以降へ、特定の古い環境なら別のバージョンへと、適用先が分かれています。必ず富士通の公式サイトで、ご自身の環境に合ったファイルを慎重に選んでダウンロードして更新してください。
セキュリティのためのソフトに穴があるとは驚きです。私たちは何を教訓にすべきですか?
どんなに優秀なセキュリティ対策ソフトであっても、人が作ったプログラムである以上、不具合や脆弱性が含まれる可能性はゼロではありません。「セキュリティソフトを入れているから安心」と思い込まず、そのソフト自体も常に最新の状態に保つことが重要です。今回のように、JVNなどの信頼できる情報源から発信されるニュースを定期的にチェックし、迅速に対応する体制を整えておくことが、企業の安全を守る鍵となります。
まとめ
「セキュリティソフトを入れているから万全」という過信は、実は一番の落とし穴になりかねませんね。 守るためのツールだからこそ、常に最新の状態に保つ。その当たり前のような管理の重要性が、今回よく分かりました。また一つ、勉強になりました!
