セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 狙われやすい?サポートが終了したソフトウェアを使い続けるリスク

狙われやすい?サポートが終了したソフトウェアを使い続けるリスク

狙われやすい?サポートが終了したソフトウェアを使い続けるリスク
目次
  • 今回の解説ニュース
  • 改めてCSRFとは?見つかるとどんな危険があるのか
  • サポートが終わっている製品に対しての方が攻撃者に狙われやすい?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

複数の三洋電機製CCTVネットワークカメラにCSRFの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月18日、複数の三洋電機製CCTVネットワークカメラにおけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ネットワークカメラに脆弱性が発見されたということです。発見された脆弱性の詳細や、サポートが終了したソフトウェアを使い続けるリスクについて説明します。

今回の脆弱性は、三洋電機株式会社が提供する複数のCCTVネットワークカメラにクロスサイトリクエストフォージェリ、略してCSRFが発見されました。悪用されると、遠隔の第三者によって、当該製品に対するHTTPリクエストを通じて管理者権限でパスワード変更などをされる可能性があります。対象となる機器の詳細は、CVE番号「CVE-2022-4621」で検索してください。

なお、本件の発見者によって、本脆弱性の検証コードが公開されています。また、開発者によると当該製品のサポートは2019年で終了しているため、本脆弱性に対する修正は提供されないということです。

改めてCSRFとは?見つかるとどんな危険があるのか

発見されたネットワークカメラのCSRFについて、公開されている検証コードからわかる内容について説明します。

まず、CSRFとはクロスサイトリクエストフォージェリの略で、Webアプリケーションに存在する脆弱性です。ログイン済みユーザからのリクエストが意図したものであるかシステム側で識別する仕組みがないことで、攻撃者の誘導により予期しない処理が実行される可能性があります。

例えば、Aさんがコンビニで買い物をする際は、店に入って、商品をかごに入れて、レジで会計をすると思います。もし、たまたまコンビニにいたBさんが、別の商品をAさんのかごに入れたら、Aさんがかごの中身をしっかり確認していないと、そのままいらない商品を含めてお会計をしてしまうかもしれません。

CSRFも同様で、ログインした利用者の意図したリクエストであるかどうかを識別する仕組みを持たないWebサイトは、攻撃者の誘導によるリクエストを受け入れてしまう場合があります。本脆弱性の発見者により公開されている検証コードを読み解いてみると、ログイン済みの管理者が攻撃者の用意した罠ページにアクセスすると、管理者のパスワードを変更したり、ネットワークカメラにアクセスするための認証自体をオフにしたりすることができるようです。

また、ネットワークカメラの管理者や一般ユーザを含めて、デフォルトのパスワードが推測可能なものであることについても、検証コードの中で触れられています。

サポートが終わっている製品に対しての方が攻撃者に狙われやすい?

多くの人が使っている製品であれば、攻撃者はサポートが終了している製品であっても、積極的に脆弱性を探すことが想定されます。

脆弱性に対応する方法は、主に「修正プログラムを適用すること」「脆弱性のあるサービスを停止すること」「別途セキュリティ対策を導入すること」の3つが挙げられます。このうち、サポートが終了している場合は、原則として修正プログラムが提供されることはありませんので、3つの方法のうち1つの対策を失うことになります。今回、脆弱性が発見された製品のホームページにも「修理受付および電話・メールでのお問い合わせサポートは終了しました」と書かれています。

サポートが終了した製品は使わないことが原則ですが、何らかの理由で使い続けなければいけない場合、製品の脆弱性が発見されたサービスだけを停止するか、別途セキュリティ対策の導入を検討することが必要です。しかし、サポートが終了した製品に脆弱性が見つかっても、詳細が公表されるとは限らないため、使い続けるには相当のリスクがあることを理解する必要があります。

今回は、ネットワークカメラに発見された脆弱性の詳細と、サポートが終了したソフトウェアを使い続けるリスクについて説明しました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。 1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ