セキュリティの
学び場

今回の解説ニュース

トレンドマイクロのパスワードマネージャに脆弱性が発見されましたので、ご利用中の方は最新版へアップデートしましょう。今回発表された脆弱性の内容と、回避策の検討について説明します。

今回の脆弱性は、当該製品がインストールされたシステムにログイン可能なユーザによって、管理者権限を取得され、任意のコードが実行される可能性があると発表されています。CVE番号は「CVE-2022-30523」が割り当てられており、CVSSv3のベーススコアは10点中7.8点で、深刻度は上から2番目の「重要」とされています。

該当するソフトウェアのバージョンは、Windows版の5.0.0.1266以前です。なお、Mac版、Android版、iOS版には影響がないとされています。対策として、プログラムのアップデートが自動で配信され適用されていることを確認することが必要です。対策済みのバージョンは、5.0.0.1270以降となります。

管理者権限を取得され、任意のコードが実行されると何が起こるのか

任意のコードが実行される脆弱性は、脆弱性の持つソフトウェアの権限ですべての操作を実行することができます。よって、主にソフトウェアを実行したユーザの権限に依存して被害が発生する可能性があります。

例えば、Aさんの免許証を誰でも使える脆弱性があったとします。コピーを取った紙を悪用されたり、財布ごと落としてしまったり、様々な原因が考えられますが、Aさんの免許証が悪用されると、Aさんになり済まして、車やお金を借りることができるかもしれません。理由は、免許証が身分証明書として本人であることを証明するものであるからです。さらに、Aさんが会社の印鑑を持ち出していて、免許証と同様に悪用されたとします。この場合、Aさんの権限を越えて、会社として車やお金を借りられるだけでなく、さらに被害が甚大になることが考えられます。

任意のコードが実行される脆弱性も、これに近い構造を持っています。ソフトウェアは主に実行したユーザの権限が、そのソフトウェアに割り当てられます。脆弱性が原因で任意のコードが実行されると、主にソフトウェアを実行したユーザと同じ操作が、そのソフトウェアがインストールされたパソコンで実行できることになります。具体的には、ブラウザやメールに保存されている情報を窃取される可能性があります。

さらに、管理者権限を取得される脆弱性も存在していたとすると、ソフトウェアを実行したユーザ以上の権限ですべての操作が実行されることになり、さらに被害が甚大になることが考えられます。具体的には、ソフトウェアをアンインストールされたり、別のマルウェアをインストールされたりする可能性があります。

脆弱性発覚、ユーザーに出来る事はアップデートが行われるのを待つのみ？

脆弱性が発見された際にアップデートを実施する以外にできる対策として、脆弱性の深刻度に応じて回避策を検討することが挙げられます。

脆弱性が発表された際の対策として、多くの場合で今回のように開発元からアップデートが提供されます。すべての環境で直ちにアップデートが実行できればいいのですが、様々な理由でアップデートが実施できない場合があります。その際に、ワークアラウンドとも呼ばれる回避策を検討することが有効です。

よくある回避策として、具体的には脆弱性のあるシステムをネットワークから一時的に切り離したり、別のシステムで攻撃を遮断したりすることが挙げられます。脆弱性は存在していても、脆弱性を悪用される機会自体をなくしてしまうことで、リスクが顕在化することを回避することが狙いです。

今回は、任意のコードが実行される脆弱性と回避策の検討についてお届けしました。セキュリティ対策の目的は、あくまでもリスクの顕在化を避けることにありますので、脆弱性の深刻度に応じて、速やかに実施できる回避策も検討するようにしましょう。