セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 サービス運用妨害 (ReDoS) の脆弱性の概要と対策方法

サービス運用妨害 (ReDoS) の脆弱性の概要と対策方法

サービス運用妨害 (ReDoS) の脆弱性の概要と対策方法
目次
  • 今回の解説ニュース
  • サービス運用妨害 (ReDoS) の脆弱性とは
  • ReDoSのサイバー攻撃を成功させる方法
  • 開発者ができるReDoSの対策

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

シンクグラフィカ製メールフォームプロ CGI に正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月20日、シンクグラフィカ製メールフォームプロ CGI における正規表現を用いたサービス運用妨害 (ReDoS) の脆弱性についてJVNで発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

シンクグラフィカ製メールフォームプロCGIに脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。今回発見された脆弱性の内容と、その対策について説明します。

今回、発見された脆弱性は、正規表現を用いたサービス運用妨害、ReDoSの状態になるものです。影響として、遠隔の第三者からサービス運用妨害攻撃を受ける可能性があります。該当するバージョンはメールフォームプロCGIの4.3.1.2およびそれ以前のバージョンです。

深刻度を表すCVSSv3の基本値は3.7で、上から4番目に高い注意レベルとされています。割り当てられたCVE番号はCVE-2023-32610です。脆弱性の詳細はCVE番号で検索してみてください。

サービス運用妨害 (ReDoS) の脆弱性とは

今回、発見されたReDoSの状態になる脆弱性について、できるだけわかりやすく説明します。

例えば、みなさんが上司から許容範囲を超えた仕事を一度に振られてしまったら、どのような状態になりますか?いつもはできる仕事も含めて、何もできなくなってしまうかもしれません。ReDoSやサービス運用妨害攻撃も同様で、許容範囲を超える処理をシステムに行わせることで、通常の応答もできなくすることを狙ったサイバー攻撃です。

ReDoSとは、Regular Expressions DoSの略で、正規表現を使ったサービス運用妨害を行うサイバー攻撃です。正規表現の処理に時間を要する文字列を任意に入力できる場合、システムのリソースを意図的に奪うことができます。

サービス運用妨害が行われた場合、CPUやメモリなどのリソースが著しく消費されたり、システムがダウンしたりすることがあります。

ReDoSのサイバー攻撃を成功させる方法

ReDoSのサイバー攻撃を成功させる方法として、正規表現の処理に膨大な時間をかけさせるための文字列を、攻撃者が入力することが必要です。

正規表現を使った文字列の比較は一定の法則に従って処理が行われます。正規表現は、メタ文字と呼ばれる特殊な意味を持つ文字があり、特殊文字を使って表すことができます。

その中には、直前にある文字を参照するメタ文字などもあって、それらを悪用することで、長時間にわたって後戻りの処理が繰り返される場合があり、システムのリソースが著しく消費されることで、ReDoSの状態を引き起こす可能性があります。

開発者ができるReDoSの対策

開発者ができるReDoSの対策として、正規表現の書き方に脆弱性がないか確認したり、入力文字列を制限したりすることが挙げられます。

ReDoSに限らず、SQLインジェクションなどと同様に、独自に開発したソフトウェアに対して、脆弱性が作りこまれていないか確認することが必要です。まずは、処理するプログラムに脆弱性がないか確認することが原則となりますので、ReDoSの場合は正規表現の書き方に問題がないか確認することが必要です。

ただし、自分の書いた正規表現や処理自体に問題を見つけることは簡単ではありませんので、もう一つの対策として、入力文字列を制限することが挙げられます。ReDoSの場合は入力文字数によって影響が異なりますので、文字数を制限した場合に攻撃の影響を軽減させることができます。

それでも心配な場合は、ソフトウェア全体に対して、セキュリティ専門企業に脆弱性診断を依頼してみるのもいいかもしれません。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ