広く使われているソフトウエアの脆弱性を突く攻撃が相次いでいる。ニュースなどによれば、細工が施されたWebサイトにアクセスするだけで、パソコンの情報が盗まれるという。脆弱性を悪用するのは簡単なのだろうか。

 実験では、2015年7月に見つかったFlash Playerの脆弱性を突いた(図10-1)。この脆弱性を悪用した攻撃が実際に出回ったため、当時は大きな話題となった。IPAやJPCERTコーディネーションセンターといったセキュリティ組織は注意喚起を発表。開発元のアドビシステムズも、すぐに修正版を提供した。今回の実験では、その脆弱性が存在する古いバージョンのFlash Player 18.0.0.194を使った。パソコンにこのFlash Playerをインストールし、脆弱性を突くプログラムを起動したWebサーバーにアクセスした。パソコンのOS(Windows 7)やウイルス対策ソフト(Microsoft Security Essentials)は最新の状態にしている。

図10-1●脆弱性悪用実験の環境
脆弱性のあるFlash Playerをインストールしたパソコンを使って、罠が仕掛けられたWebサーバーにアクセスする。アクセスするだけで脆弱性を悪用されるかを調べた。パソコンのOSやウイルス対策ソフトは最新の状態にした。また、パソコンとWebサーバーの間にはファイアウオールを設置し、Webサーバー側から始まる通信は通さないようにしている。
[画像のクリックで拡大表示]

 WebサーバーのOSはLinux。脆弱性を突くプログラムとしては、脆弱性を検証するために利用されている「Metasploit」というツールを使用した。

 また、パソコンとWebサーバーの間にはファイアウオールを設置し、Webサーバー側から始まる通信は通さないようにした。パソコン側から始まる通信やそれへの応答は通す。例えば、パソコンから送られるHTTPのGETリクエストや、それに応えるWebサーバーからのHTTPレスポンスは通すようにしている。企業や団体の多くでは、同様のポリシーを採用しているだろう。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら