セキュリティの
学び場

今回の解説ニュース

無線LANルータの脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、利用中の機器に脆弱性が見つかった際に、情報を得る方法について説明します。

今回の脆弱性は、エレコム株式会社が提供する複数の無線LANルーターにOSコマンドインジェクションの脆弱性が存在するというものです。影響を受けるシステムは、WRC-X3000GSN v1.0.2、WRC-X3000GS v1.0.24およびそれ以前のバージョン、WRC-X3000GSA v1.0.24およびそれ以前のバージョンです。影響として、細工されたリクエストを当該製品にログイン後のユーザから送信された場合、任意のコマンドを実行される可能性があるということです。

深刻度を表すCVSSv3の基本値は6.8で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-49695」で検索してみてください。

OSコマンドインジェクションの脆弱性について

OSコマンドインジェクションの脆弱性について、できるだけわかりやすく説明します。

例えば、みなさんが晩御飯にお寿司を買ってきたとします。10貫あるお寿司の中に1つだけわさびをたっぷり入れておくと、おいしく食べられるはずの晩御飯が、ただの罰ゲームに変わってしまいます。さらに、複数人でお寿司を食べる際には、順番をうまく調整すれば、目的の誰かに、大量のわさびが入ったお寿司を狙って食べさせることができるかもしれません。

OSコマンドインジェクションも同様に、本来は正常に処理されるはずのデータに不正な文字列を注入することで、異常な処理になってしまうことがあります。さらに、不正な文字列を巧妙に細工することで、攻撃者が意図したOSコマンドをシステム内で実行することが可能になります。

OSコマンドインジェクションとは、主にWebアプリケーションの脆弱性を突いたサイバー攻撃の一種です。攻撃者は、Webアプリケーションなどのシステムへ入力するデータに、OSコマンドの実行を可能にする文字列を紛れ込ませ、サーバ上でOSコマンドを不正に実行させます。

利用機器の脆弱性情報を知る方法

利用している機器の脆弱性情報を知る方法として、公式ホームページや脆弱性情報をまとめたサイトを定期的に確認することが必要です。もし、脆弱性を確認することが難しい場合は、機器のアップデートを定期的に行い、脆弱性を都度修正することが求められます。

脆弱性情報が最も早く発表されるサイトは、多くが機器を製造している企業の公式ホームページです。よって、無線LANルーターなど、ネットワークにつながる場合は特に、利用している機器に脆弱性が公表されていないか、定期的に確認することが求められます。JVNなど脆弱性情報をまとめたサイトで確認することもできますが、毎日多くの脆弱性が公表されていますので、そこから自分の利用している機器を見つけることは困難かもしれません。

もし、何らかの理由で脆弱性を確認することが難しい場合は、機器のアップデートを定期的に行うことで、脆弱性の有無を把握せずともリスクを軽減することができます。事前にアップデートの手順を確認しておくことで、更新があった際に速やかに対応することが可能となります。