サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 「認証情報の不十分な保護」の脆弱性はどのようなものなのか

「認証情報の不十分な保護」の脆弱性はどのようなものなのか

「認証情報の不十分な保護」の脆弱性はどのようなものなのか
目次
  • 今回の解説ニュース
  • CWE-522「認証情報の不十分な保護」の脆弱性とは
  • 脆弱性を見つける事に長けたホワイトハッカーとは何者なのか?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P に認証情報の不十分な保護の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月13日、ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の不十分な保護の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

テプラの脆弱性がIPAに報告されています。今回発見された脆弱性の内容や、脆弱性が報告される背景について説明します。

今回の脆弱性は、ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の保護が不十分であることについて報告されています。具体的には、当該製品にネットワーク経由でアクセス可能な第三者によって、インフラストラクチャモードでWi-Fiアクセスポイントに接続するための認証情報が漏えいする可能性があると発表されています。

対策として、最新版にアップデートすることが挙げられていますが、本体ソフトウェアを最新版にアップデートすると、ネットワーク経由でのWi-Fiアクセスポイントに接続するための設定変更や登録情報の読出しができなくなるということです。代わりに、ネットワーク設定確認ツールからネットワーク経由でテプラ本体にアクセスする機能を削除したソフトウェアがリリースされています。

CWE-522「認証情報の不十分な保護」の脆弱性とは

CWE-522が附番されている「認証情報の不十分な保護」の脆弱性について説明します。

CWEとは、Common Weakness Enumerationの略で共通脆弱性タイプ一覧とも訳される、ソフトウェアにおける脆弱性の種類を識別するための共通基準です。CVEと同じくMITERによって仕様策定が行われ、脆弱性に関して共通言語で議論することができます。

CWE-522の「認証情報の不十分な保護」はInsufficiently Protected Credentialsの日本語訳です。MITERのページには具体的なソースコードで例が示されていますので、そちらを引用しながら説明します。

例えば、皆さんも使ったことがある、パスワード変更の画面があったとします。ユーザ名と新しいパスワードを入力して、確認のために新しいパスワードをもう一度入力します。2回入力したパスワードが一致した場合、ユーザのパスワードが更新されるプログラムです。実はこのプログラムにはCWE-522、つまり「認証情報の不十分な保護」の脆弱性があります。

パスワードを変更しているユーザが、パスワードを変更されるユーザと一致しているか確認していないことが、認証情報の不十分な保護の脆弱性として挙げられます。よって、攻撃者は被害者ユーザのパスワードを変更することができ、アカウントを乗っ取ることができます。対策の一つとして、パスワードを変更しているユーザが本人であることを確認するために、古いパスワードを入力させるようなことが必要となるわけです。

脆弱性を見つける事に長けたホワイトハッカーとは何者なのか?

ホワイトハッカーには様々な定義がありますが、対義語をブラックハッカーとした場合、持っている技術を良いことに使うか、悪いことに使うかの違いがあります。

もしあなたが脆弱性を見つけたら・・・?
例えば、Aさんが使っているECサイトで脆弱性を見つけたとします。それは、どんな商品でも0円で買うことができる脆弱性です。この場合、Aさんに用意された選択肢は2つです。1つは、その脆弱性を利用して、欲しい商品をすべて0円で買うことができます。お金を気にせずほしいものがすべて手に入るので、Aさん自身は幸せを感じるかもしれません。もう1つは、脆弱性をECサイトの管理者に報告して、脆弱性を修正してもらうことです。損失を免れたECサイトの管理者は、Aさんに感謝するかもしれません。
セキュリティ技術は「誰の為」に「どう使う」のか
どちらを選択するかは、脆弱性を発見した人に依存することになりますが、自分が持っているセキュリティの技術は、良いことにも悪いことにも使うことができます。ナイフを手にした人間が、自分の欲望に従って人を傷つければ犯罪者になりますし、おいしい料理を作って人を幸せにすれば料理人になることと似ています。よって、自分の持つセキュリティの技術を、社会にとって良いことに使う人をホワイトハッカーと呼ぶにふさわしいのかもしれません。

今回は、テプラの脆弱性とホワイトハッカーの定義についてお届けしました。脆弱性の報告に限らず、我々のセキュリティにかかわる活動が社会にどういった意味をもたらしているか、常に意識して行動していきたいと思っています。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ