セキュリティの
学び場

今回の解説ニュース

脆弱性対策情報の登録状況が、脆弱性別と製品別について発表されています。多く見つかった脆弱性の内容や、特定の製品に集中して脆弱性が発見されている理由について説明します。

2022年7月から9月におけるJVN iPedia日本語版へ登録された脆弱性対策情報は4,459件で、累計登録件数が148,266件になったということです。

件数が多かった脆弱性は、「クロスサイトスクリプティング」が678件、「境界外書き込み」が336件、「境界外読み取り」が192件、「SQLインジェクション」が169件、「パス・トラバーサル」が120件などとなっています。製品別登録状況では、1位が「Qualcomm component」、2位が「macOS」、3位が「iOS」、4位が「Apple Mac OS X」、5位が「iPadOS」であったということです。

情報登録件数1位、クロスサイトスクリプティングの脅威

クロスサイトスクリプティング、略してXSSの脅威として、他の脆弱性と組み合わせることによって、XSSの脆弱性の被害を受けたユーザの権限が攻撃者に乗っ取られる可能性があります。

ご覧の皆さんへおさらいの意味も込めて、クロスサイトスクリプティングとは、XSSと略される、主にWebアプリケーションで発生する脆弱性です。攻撃者はXSSの脆弱性のあるWebサイトにスクリプトを埋め込むことで、被害者がWebサイトへアクセスした際に、被害者の情報を窃取するなどの攻撃に悪用することができます。

例えば、AさんがXSSの存在するECサイトで脆弱性を悪用した攻撃を受けたとします。Aさんがログイン済みの状態でXSSを悪用した攻撃を受けると、アクセスしている人がAさんであることをECサイト側で認識する情報が、攻撃者に奪われてしまう可能性があります。

仮に、そのAさんがECサイトの管理者であった場合、ECサイトの個人情報や、場合によってはECサイトの設定を変更する権限まで奪われてしまいますので、結果としてフィッシングサイトやマルウェアの配布に、ECサイトが悪用されてしまう可能性があります。

これらの被害が実際に発生するためには、複数の脆弱性が同時に悪用されることが必要になりますが、実際にECサイトのXSSが原因で、クレジットカード情報が漏えいした可能性のあるインシデントが多数確認されています。

脆弱性報告数にApple製品が上位を占めた背景は？

Apple製品について脆弱性対策情報の登録が多かった理由として、製品のユーザが多いこと以外に、一つの脆弱性が発見された際に、同様の問題が存在していないか、追加で調査された可能性があります。

例えば、毎週Webラジオの編集をしてくれている方が作業の流れとして、タイトルの書き方であったり、チャプターの入れ方であったり、一定のルールに従って毎週対応しているとします。仮に、そのやり方に間違いがあった場合、過去の配信も含めて修正する必要が出てきてしまうことは、想像がつくのではないでしょうか。

このように、同じ企業でつくられた製品は、同じルールに基づいた設計で開発されていることで、一つの脆弱性が発見された際に、複数の問題が立て続けに発見されることがあります。また、そのような状況を鑑みて、一つの脆弱性が発見された際に、多くのセキュリティ研究者が調査を試みるという背景も影響しているかもしれません。

よって、脆弱性が公表された際に、同じ企業や製品を利用していないか確認したり、警戒レベルを上げたりすることも、有効なセキュリティ対策の一つとなります。

今回は、第3四半期で登録件数が多かった脆弱性対策情報の傾向と対策についてお届けしました。