セキュリティの
学び場

今回の解説ニュース

テプラの脆弱性がIPAに報告されています。今回発見された脆弱性の内容や、脆弱性が報告される背景について説明します。

今回の脆弱性は、ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の保護が不十分であることについて報告されています。具体的には、当該製品にネットワーク経由でアクセス可能な第三者によって、インフラストラクチャモードでWi-Fiアクセスポイントに接続するための認証情報が漏えいする可能性があると発表されています。

対策として、最新版にアップデートすることが挙げられていますが、本体ソフトウェアを最新版にアップデートすると、ネットワーク経由でのWi-Fiアクセスポイントに接続するための設定変更や登録情報の読出しができなくなるということです。代わりに、ネットワーク設定確認ツールからネットワーク経由でテプラ本体にアクセスする機能を削除したソフトウェアがリリースされています。

CWE-522「認証情報の不十分な保護」の脆弱性とは

CWE-522が附番されている「認証情報の不十分な保護」の脆弱性について説明します。

CWEとは、Common Weakness Enumerationの略で共通脆弱性タイプ一覧とも訳される、ソフトウェアにおける脆弱性の種類を識別するための共通基準です。CVEと同じくMITERによって仕様策定が行われ、脆弱性に関して共通言語で議論することができます。

CWE-522の「認証情報の不十分な保護」はInsufficiently Protected Credentialsの日本語訳です。MITERのページには具体的なソースコードで例が示されていますので、そちらを引用しながら説明します。

例えば、皆さんも使ったことがある、パスワード変更の画面があったとします。ユーザ名と新しいパスワードを入力して、確認のために新しいパスワードをもう一度入力します。2回入力したパスワードが一致した場合、ユーザのパスワードが更新されるプログラムです。実はこのプログラムにはCWE-522、つまり「認証情報の不十分な保護」の脆弱性があります。

パスワードを変更しているユーザが、パスワードを変更されるユーザと一致しているか確認していないことが、認証情報の不十分な保護の脆弱性として挙げられます。よって、攻撃者は被害者ユーザのパスワードを変更することができ、アカウントを乗っ取ることができます。対策の一つとして、パスワードを変更しているユーザが本人であることを確認するために、古いパスワードを入力させるようなことが必要となるわけです。

脆弱性を見つける事に長けたホワイトハッカーとは何者なのか？

ホワイトハッカーには様々な定義がありますが、対義語をブラックハッカーとした場合、持っている技術を良いことに使うか、悪いことに使うかの違いがあります。

もしあなたが脆弱性を見つけたら・・・？

例えば、Aさんが使っているECサイトで脆弱性を見つけたとします。それは、どんな商品でも0円で買うことができる脆弱性です。この場合、Aさんに用意された選択肢は2つです。1つは、その脆弱性を利用して、欲しい商品をすべて0円で買うことができます。お金を気にせずほしいものがすべて手に入るので、Aさん自身は幸せを感じるかもしれません。もう1つは、脆弱性をECサイトの管理者に報告して、脆弱性を修正してもらうことです。損失を免れたECサイトの管理者は、Aさんに感謝するかもしれません。

セキュリティ技術は「誰の為」に「どう使う」のか

どちらを選択するかは、脆弱性を発見した人に依存することになりますが、自分が持っているセキュリティの技術は、良いことにも悪いことにも使うことができます。ナイフを手にした人間が、自分の欲望に従って人を傷つければ犯罪者になりますし、おいしい料理を作って人を幸せにすれば料理人になることと似ています。よって、自分の持つセキュリティの技術を、社会にとって良いことに使う人をホワイトハッカーと呼ぶにふさわしいのかもしれません。

今回は、テプラの脆弱性とホワイトハッカーの定義についてお届けしました。脆弱性の報告に限らず、我々のセキュリティにかかわる活動が社会にどういった意味をもたらしているか、常に意識して行動していきたいと思っています。