セキュリティの
学び場

今回の解説ニュース

シンクグラフィカ製メールフォームプロCGIに脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。今回発見された脆弱性の内容と、その対策について説明します。

今回、発見された脆弱性は、正規表現を用いたサービス運用妨害、ReDoSの状態になるものです。影響として、遠隔の第三者からサービス運用妨害攻撃を受ける可能性があります。該当するバージョンはメールフォームプロCGIの4.3.1.2およびそれ以前のバージョンです。

深刻度を表すCVSSv3の基本値は3.7で、上から4番目に高い注意レベルとされています。割り当てられたCVE番号はCVE-2023-32610です。脆弱性の詳細はCVE番号で検索してみてください。

サービス運用妨害 (ReDoS) の脆弱性とは

今回、発見されたReDoSの状態になる脆弱性について、できるだけわかりやすく説明します。

例えば、みなさんが上司から許容範囲を超えた仕事を一度に振られてしまったら、どのような状態になりますか？いつもはできる仕事も含めて、何もできなくなってしまうかもしれません。ReDoSやサービス運用妨害攻撃も同様で、許容範囲を超える処理をシステムに行わせることで、通常の応答もできなくすることを狙ったサイバー攻撃です。

ReDoSとは、Regular Expressions DoSの略で、正規表現を使ったサービス運用妨害を行うサイバー攻撃です。正規表現の処理に時間を要する文字列を任意に入力できる場合、システムのリソースを意図的に奪うことができます。

サービス運用妨害が行われた場合、CPUやメモリなどのリソースが著しく消費されたり、システムがダウンしたりすることがあります。

ReDoSのサイバー攻撃を成功させる方法

ReDoSのサイバー攻撃を成功させる方法として、正規表現の処理に膨大な時間をかけさせるための文字列を、攻撃者が入力することが必要です。

正規表現を使った文字列の比較は一定の法則に従って処理が行われます。正規表現は、メタ文字と呼ばれる特殊な意味を持つ文字があり、特殊文字を使って表すことができます。

その中には、直前にある文字を参照するメタ文字などもあって、それらを悪用することで、長時間にわたって後戻りの処理が繰り返される場合があり、システムのリソースが著しく消費されることで、ReDoSの状態を引き起こす可能性があります。

開発者ができるReDoSの対策

開発者ができるReDoSの対策として、正規表現の書き方に脆弱性がないか確認したり、入力文字列を制限したりすることが挙げられます。

ReDoSに限らず、SQLインジェクションなどと同様に、独自に開発したソフトウェアに対して、脆弱性が作りこまれていないか確認することが必要です。まずは、処理するプログラムに脆弱性がないか確認することが原則となりますので、ReDoSの場合は正規表現の書き方に問題がないか確認することが必要です。

ただし、自分の書いた正規表現や処理自体に問題を見つけることは簡単ではありませんので、もう一つの対策として、入力文字列を制限することが挙げられます。ReDoSの場合は入力文字数によって影響が異なりますので、文字数を制限した場合に攻撃の影響を軽減させることができます。

それでも心配な場合は、ソフトウェア全体に対して、セキュリティ専門企業に脆弱性診断を依頼してみるのもいいかもしれません。