セキュリティの
学び場

今回の解説ニュース

e-Taxソフトのインストーラーに脆弱性が発見されています。ご利用中の方は最新版の利用を検討してください。発見された脆弱性の内容と、深刻度の高い脆弱性の特徴について説明します。今回の脆弱性は、e-Taxソフトのインストーラーに権限昇格の脆弱性が存在するというものです。影響を受けるシステムは、2024年9月24日より前に国税庁ホームページ上に掲載されていたe-Taxソフトのインストーラーです。影響として、攻撃者により用意された不正なDLLをアプリケーションよりも高い権限で実行される可能性があるということです。深刻度を表すCVSSv3の基本値は7.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-47045」で検索してみてください。

権限昇格の脆弱性で起こる被害

権限昇格の脆弱性で起こる被害として、攻撃者が本来アクセスできないデータへアクセスされたり、システムをのっとられたりする可能性があります。

割り当てられた権限が一般ユーザから管理者などへ昇格されることで、システム内で想定以上の操作ができてしまう可能性があります。例えば、一般社員の方が、社長の権限を持って会社のシステムを自由に操作できるようになったら、社員が本来見られない機密情報を見られたり、システムを改ざんしたりすることが可能になるのが、想像できるのではないでしょうか。

権限昇格の脆弱性が悪用されると、企業秘密や顧客情報、個人情報などの機密データが不正に閲覧されたり、コピーされたりして、外部に漏洩する可能性があります。このような情報漏洩は、組織の信用失墜だけでなく法的責任にも繋がり、甚大な損害をもたらす場合があります。

また、攻撃者は権限昇格によってシステム全体を乗っ取ることができる場合があるため、システムの機能を停止させたり、不正なプログラムを実行したりすることができる可能性があります。さらに、攻撃者はシステムを乗っ取った後、ランサムウェアに感染させ、データを暗号化して身代金を要求する場合があります。データの復旧には高額な費用がかかるだけでなく、業務が長期にわたって停止してしまうことで、ビジネスにも大きな支障をきたす可能性があります。

深刻度の高い脆弱性の特徴とは？

深刻度の高い脆弱性として、リモートコード実行の脆弱性や、SQLインジェクションなどが挙げられます。

深刻度の高い脆弱性の特徴として、システムの停止や改ざん、情報漏洩が遠隔から簡単にできるものが挙げられます。その一例として、リモートコード実行の脆弱性やSQLインジェクションが挙げられます。

リモートコード実行の脆弱性は、攻撃者が、リモートから攻撃対象のシステム上で任意のコードを実行できる脆弱性です。影響として、システムの乗っ取りやデータの窃取、改ざんやサービスの停止など、あらゆる種類の攻撃が可能になります。

SQLインジェクションは、攻撃者が、Webアプリケーションの入力フォームなどにSQL文を挿入し、データベースを不正に操作する脆弱性です。影響として、データベースの漏洩、改ざん、削除など、データベースのシステム全体への影響が考えられます。

その他にも、認証系の脆弱性でアカウントが乗っ取られたり、ディレクトリトラバーサルの脆弱性で情報漏洩が発生したりすると、深刻度が高く設定される場合がありますので注意が必要です。また、未知の脆弱性であるゼロデイ脆弱性の場合は、最新のセキュリティ対策を施したシステムであっても攻撃を成功させる可能性がありますので、別のセキュリティ対策などで暫定対応をすることが求められます。