米マイクロソフトの「Skype for Windows」や米スラックの「Slack」といった多くのアプリに深刻な脆弱性が見つかった。2018年1月18日に報告された「CVE-2018-1000006」だ。この脆弱性を悪用すると、ユーザーが特定のURLにアクセスするだけで、攻撃者が指定した任意のプログラムが実行されてしまう。

 なぜ、多くのアプリに同時に脆弱性が発生したのか。理由は、これらのアプリが共通して「Electron」というフレームワークを利用していたためだ。Electronに脆弱性があり、Electronを利用している複数のアプリにも脆弱性が発生した。

 Electronは、米ギットハブが開発したオープンソースのアプリ開発用フレームワーク。同社がテキストエディタ「Atom」を開発する過程で生まれたものだ。Electronを利用すると、HTMLやCSS、JavaScriptといったWeb技術を使ってマルチプラットフォームのデスクトップアプリを簡単に開発できる。

 このため、最近はデスクトップアプリの開発に幅広く使われている。Electronを使っていることを明示していなくても、裏で使われていることも多い。名前を聞いたことのない読者が多いかもしれないが、実は「隠れたメジャーソフト」である。

脆弱性の発生には二つの条件がある

 脆弱性が存在するElectronのバージョンは、1.8.2-beta.3以前、1.7.10以前、1.6.15以前。最新のElectronでは脆弱性が修正されており、SkypeやSlackは既に脆弱性を修正したバージョンが公開されている。こうしたアプリを利用している場合には早急にアップデートする必要がある。

 ただし、Electronを利用して開発されたアプリのすべてに脆弱性があるわけではない。脆弱なバージョンのElectronを使っていることに加え、二つの条件がある。

 一つ目は、Windowsで動作するアプリであることだ。Electronを利用していても、MacやLinuxのアプリにはこの脆弱性は存在しない。理由は、脆弱性がWindowsのレジストリに関係しているためだ。詳しくは後述する。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら