広く使われているソフトウエアの脆弱性を突く攻撃が相次いでいる。ニュースなどによれば、細工が施されたWebサイトにアクセスするだけで、パソコンの情報が盗まれるという。脆弱性を悪用するのは簡単なのだろうか。
実験では、2015年7月に見つかったFlash Playerの脆弱性を突いた(図10-1)。この脆弱性を悪用した攻撃が実際に出回ったため、当時は大きな話題となった。IPAやJPCERTコーディネーションセンターといったセキュリティ組織は注意喚起を発表。開発元のアドビシステムズも、すぐに修正版を提供した。今回の実験では、その脆弱性が存在する古いバージョンのFlash Player 18.0.0.194を使った。パソコンにこのFlash Playerをインストールし、脆弱性を突くプログラムを起動したWebサーバーにアクセスした。パソコンのOS(Windows 7)やウイルス対策ソフト(Microsoft Security Essentials)は最新の状態にしている。
図10-1●脆弱性悪用実験の環境
脆弱性のあるFlash Playerをインストールしたパソコンを使って、罠が仕掛けられたWebサーバーにアクセスする。アクセスするだけで脆弱性を悪用されるかを調べた。パソコンのOSやウイルス対策ソフトは最新の状態にした。また、パソコンとWebサーバーの間にはファイアウオールを設置し、Webサーバー側から始まる通信は通さないようにしている。
[画像のクリックで拡大表示]
WebサーバーのOSはLinux。脆弱性を突くプログラムとしては、脆弱性を検証するために利用されている「Metasploit」というツールを使用した。
また、パソコンとWebサーバーの間にはファイアウオールを設置し、Webサーバー側から始まる通信は通さないようにした。パソコン側から始まる通信やそれへの応答は通す。例えば、パソコンから送られるHTTPのGETリクエストや、それに応えるWebサーバーからのHTTPレスポンスは通すようにしている。企業や団体の多くでは、同様のポリシーを採用しているだろう。