#1036 IBM Trusteer Rapport のインストーラーに DLL 読み込みに関する脆弱性

今回は、IBM Trusteer Rapportというセキュリティソフトのインストーラーに発見された、DLL読み込みに関する脆弱性を取り上げます。ソフトウェアをパソコンにインストールする際、実は目に見えないところで様々なプログラムが呼び出されています。この仕組みの隙を突かれると、管理者権限を乗っ取られてしまう危険性があるのです。このニュースを通じて、安全にソフトウェアを導入するための注意点や、インストーラーの脆弱性がなぜ怖いのかという仕組みの部分を、IT担当者の皆様に分かりやすく解説していきます。日々の業務でのソフトウェア管理にぜひ役立ててください。

今回発表されたのは、IBM Trusteer Rapportのバージョン3.5.2309.290のインストーラーに存在する脆弱性についてです。このインストーラーには、ファイルを検索する経路の制御に不備がありました。その影響として、悪意のあるプログラムを特定の場所に置かれた状態でインストーラーを起動してしまうと、パソコンの管理者権限で勝手に別のコードを実行されてしまう危険性があります。管理者権限を奪われると、システム全体を自由に操作されてしまうため、非常に深刻な状態になります。対策としては、開発元が提供している最新版のインストーラーを必ず使用することが強く推奨されています。

DLLはダイナミックリンクライブラリの略称でして、複数のソフトウェアが共通で使う部品のようなプログラムのことです。例えば、画面に文字を表示したり、ファイルを保存したりする機能は、どのソフトでも使いますよね。それを毎回ゼロから作るのではなく、DLLという共通の部品として用意しておき、必要な時に呼び出して使う仕組みになっています。これにより、ソフトウェアのサイズを小さくできるというメリットがあります。

ソフトウェアがDLLを呼び出す時、パソコンの中のどこにその部品があるかを探しにいきます。この探しに行く順番や場所の指定が曖昧だと、悪意のある人が用意した偽物のDLLを先に見つけてしまい、本物だと勘違いして読み込んでしまうのです。これをDLL読み込みの脆弱性、またはハイジャックと呼びます。インストーラーは特に強い権限で動くため、ここで偽物を読み込むと被害が大きくなりやすいという背景があります。

管理者権限というのは、そのパソコンのすべての設定を変更できる一番強い権利のことです。この権限で任意のコード、つまり悪意のあるプログラムを実行されると、システム全体を乗っ取られてしまいます。例えば、機密データを外部に勝手に送信されたり、別のウイルスをこっそり仕込まれたり、最悪の場合は社内の他のパソコンに被害を広げるための踏み台として利用されてしまうなど、非常に深刻な事態につながります。

まずはソフトウェアをインストールする際、必ず公式の信頼できるウェブサイトから最新版のインストーラーをダウンロードすることが基本です。そして、ダウンロードしたファイルは、安全だと確認できるフォルダに保存してから実行してください。特に、誰でもアクセスできるような共有フォルダや、ダウンロードフォルダの中に身に覚えのないファイルが混ざっていないか、実行前によく確認する習慣をつけることが大切です。

ソフトウェアそのものの安全性だけでなく、それを導入するためのインストーラーにもリスクが潜んでいるという視点を持つことが重要です。最新のセキュリティソフトを入れようとしたまさにその瞬間に、パソコンを乗っ取られては本末転倒ですからね。日々の運用において、常に最新の情報にアンテナを張り、IPAやJVNなどが発信する注意喚起をこまめにチェックして、安全な導入手順を社内で徹底していくことが求められます。