セキュリティの
学び場

今回の解説ニュース

LINEの脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、リリース後に脆弱性の有無を確認するタイミングについて説明します。

今回の脆弱性は、LINE client for iOSにサーバ証明書の検証不備の脆弱性が存在するというものです。影響を受けるシステムは、LINE Client for iOS 13.12.0から13.16.0のバージョンです。影響として、中間者攻撃で通信データが盗聴される可能性があるということです。深刻度を表すCVSSv3の基本値は4.8で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-5554」で検索してみてください。

発見された脆弱性の内容

中間者攻撃とは、Man-In-The-Middle attackの訳で、MITM攻撃とも略される、ネットワーク上の通信経路上で行われるサイバー攻撃の一つです。通信の仲介者に成りすますことで、通信内容を盗み見たり、改ざんしたりするサイバー攻撃です。

例えば、初めて会う人と打ち合わせをするとします。相手が何者であるかは、名刺や身分証明書を確認して、あらかじめ認識している本人であるか検証した上で、打ち合わせに望めますが、その確認が不十分であると、相手がどこの誰かわからない状態で、個人情報を打ち合わせで伝えることになるかもしれません。

今回の脆弱性も同様に、通信先があらかじめ想定したサーバであるか確認する必要があるところを、通信先を確認するプロセスの一つであるサーバ証明書の検証が不十分であるため、結果として、誤ったサーバと通信してしまうことで中間者攻撃を受け、通信データが盗聴される可能性があることになります。

リリース後に脆弱性の有無を確認するタイミング

脆弱性診断を行うタイミングとして、追加機能のリリース前と定期的な診断の2つのタイミングが重要です。

まず、新機能や修正箇所が多いリリース直後は、脆弱性が潜んでいる可能性が高くなるため、脆弱性診断を実施することで、リリース直後の被害を防ぐことができます。具体的には、新機能や修正プログラムのリリース前だったり、OSやライブラリのアップデート適用するタイミングで、テスト環境に対して脆弱性診断を実施することが推奨されます。

また、システムは常に新しい脅威にさらされているので、定期的に脆弱性診断を実施することで、システムの脆弱性が存在していないことを含めて、定期的に把握することが重要です。具体的には、予算化して年に1回実施することや、システムの重要度やリスクに応じて、半年や四半期に1回、個別に脆弱性診断を実施するタイミングを設定することが推奨されます。