セキュリティの
学び場

今回の解説ニュース

ファイル圧縮ツールに脆弱性が発見されています。ご利用中の方は別のファイル圧縮ツールの利用を検討してください。発見された脆弱性の内容と、悪意のあるコードを発見する方法について説明します。

今回の脆弱性は、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツール XZ Utils に悪意のあるコードが挿入されたというものです。影響を受けるシステムはXZ Utils 5.6.0 および 5.6.1です。影響として、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるということです。

深刻度を表すCVSSv3の基本値は10.0で、最も高い「緊急」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-3094」で検索してみてください。

発見された脆弱性の内容

XZ Utilsは広く使われているツールなので、大きな影響が発生する可能性があります。また、影響を受けるソフトウェアを利用しているか確認する方法についても、注意が必要です。

XZ UtilsはLinuxやmacOSで広く使われているファイル圧縮ツールです。多くのファイル圧縮ツールでXZ形式の圧縮や解凍に対応するためにもXZ Utilsが利用されています。また、XZ Utilsはオープンソースで誰でも無料で利用できるため、多くの人や組織が使っている可能性があります。

脆弱性を含むバージョンを使っているか確認する方法は複数ありますが、XZ Utilsを起動して確認することは絶対に避けましょう。理由として、すでに侵害されたバージョンのXZ Utilsを使っていた場合、脆弱性の影響を受ける可能性があるからです。当該ソフトウェアの情報を確認する場合は、各種パッケージ管理ソフトを利用するか、各OS提供元から公開されている情報を参照するようにしてください。

悪意のあるコードを発見する方法

セキュリティ専門家や開発者であれば気が付くことができるかもしれませんが、一般的に発見することは困難であると考えられます。

今回の脆弱性は、特定の条件下でバックドアとして悪用される恐れがあるものとみられています。悪意のあるコードは、XZ Utilsの共同開発者によって2024年2月24日頃に挿入されており、コードには複雑な難読化処理が施されているため、一般的に発見することは困難であると思われます。

悪意のあるコードが埋め込まれたソフトウェアを使わないようにするための対策として、動的解析や静的解析で、コードの安全性を事前に確認する方法が挙げられます。これらの解析には専門的な知識が要求されますので、セキュリティ専門家に依頼することも検討しましょう。

また、実績のあるバージョンのソフトウェアを使うことで、リスクを軽減することが期待できます。ただし、最新のバージョンを使うこともセキュリティ対策の基本となりますので、両者でよいバランスを取ることが求められます。