セキュリティの
学び場

今回の解説ニュース

ネットワークカメラに脆弱性が発見されたということです。発見された脆弱性の詳細や、サポートが終了したソフトウェアを使い続けるリスクについて説明します。

今回の脆弱性は、三洋電機株式会社が提供する複数のCCTVネットワークカメラにクロスサイトリクエストフォージェリ、略してCSRFが発見されました。悪用されると、遠隔の第三者によって、当該製品に対するHTTPリクエストを通じて管理者権限でパスワード変更などをされる可能性があります。対象となる機器の詳細は、CVE番号「CVE-2022-4621」で検索してください。

なお、本件の発見者によって、本脆弱性の検証コードが公開されています。また、開発者によると当該製品のサポートは2019年で終了しているため、本脆弱性に対する修正は提供されないということです。

改めてCSRFとは？見つかるとどんな危険があるのか

発見されたネットワークカメラのCSRFについて、公開されている検証コードからわかる内容について説明します。

まず、CSRFとはクロスサイトリクエストフォージェリの略で、Webアプリケーションに存在する脆弱性です。ログイン済みユーザからのリクエストが意図したものであるかシステム側で識別する仕組みがないことで、攻撃者の誘導により予期しない処理が実行される可能性があります。

例えば、Aさんがコンビニで買い物をする際は、店に入って、商品をかごに入れて、レジで会計をすると思います。もし、たまたまコンビニにいたBさんが、別の商品をAさんのかごに入れたら、Aさんがかごの中身をしっかり確認していないと、そのままいらない商品を含めてお会計をしてしまうかもしれません。

CSRFも同様で、ログインした利用者の意図したリクエストであるかどうかを識別する仕組みを持たないWebサイトは、攻撃者の誘導によるリクエストを受け入れてしまう場合があります。本脆弱性の発見者により公開されている検証コードを読み解いてみると、ログイン済みの管理者が攻撃者の用意した罠ページにアクセスすると、管理者のパスワードを変更したり、ネットワークカメラにアクセスするための認証自体をオフにしたりすることができるようです。

また、ネットワークカメラの管理者や一般ユーザを含めて、デフォルトのパスワードが推測可能なものであることについても、検証コードの中で触れられています。

サポートが終わっている製品に対しての方が攻撃者に狙われやすい？

多くの人が使っている製品であれば、攻撃者はサポートが終了している製品であっても、積極的に脆弱性を探すことが想定されます。

脆弱性に対応する方法は、主に「修正プログラムを適用すること」「脆弱性のあるサービスを停止すること」「別途セキュリティ対策を導入すること」の3つが挙げられます。このうち、サポートが終了している場合は、原則として修正プログラムが提供されることはありませんので、3つの方法のうち1つの対策を失うことになります。今回、脆弱性が発見された製品のホームページにも「修理受付および電話・メールでのお問い合わせサポートは終了しました」と書かれています。

サポートが終了した製品は使わないことが原則ですが、何らかの理由で使い続けなければいけない場合、製品の脆弱性が発見されたサービスだけを停止するか、別途セキュリティ対策の導入を検討することが必要です。しかし、サポートが終了した製品に脆弱性が見つかっても、詳細が公表されるとは限らないため、使い続けるには相当のリスクがあることを理解する必要があります。

今回は、ネットワークカメラに発見された脆弱性の詳細と、サポートが終了したソフトウェアを使い続けるリスクについて説明しました。