【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
セキュリティTips for Today!


第9回 プラグイン脆弱性問題に決め手はあるのか


飯田 朝洋
トレンドマイクロ株式会社
サポートサービス本部
コアテクノロジーサポートグループ
Threat Monitoring Center 課長
2009/11/13

 こんなにあるプラグイン脆弱性問題


  プラグインで発見された脆弱性の一端をご紹介したいと思います。次の表は、2009年に発見された主なプラグイン脆弱性の一覧です。

日付
脆弱性の概要
CVE(JVN)
2009年9月9日 Apple、Quick Timeの脆弱性により、任意のコードが実行される可能性がある CVE-2009-2202
2009年7月13日

Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される

 CVE-2009-1136
2009年7月7日 Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される CVE-2008-0015
2009年5月12日 アドビシステムズ セキュリティ アドバイザリ(APSB09-06) Adobe ReaderおよびAcrobat用セキュリティアップデート公開 CVE-2009-1492
2009年2月24日 アドビシステムズ アドバイザリ(APSB09-01) Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 CVE-2009-0520

表2 2009年に発見されたプラグイン関連の主な脆弱性(2009年9月27日現在)

 上記で挙げた脆弱性は、これまでに発見されたほんの一部に過ぎません。過去、幾度となくプラグインから脆弱性が発見され、そのたびに該当のプラグインのバージョンアップを強いられてきました。

 ウイルス感染とは「不正プログラムを実行すること」

 ここからは少し話の趣向を変えて、「ウイルス感染とはどのようなことなのか」ということについて、少し話を進めていきたいと思います。

 ウイルスと聞くと、何か特別なもののように思いがちですが、ウイルスもPC上で動作するプログラムだということを忘れてはいけません。

 要するに、正規のプログラムもウイルスといわれる不正プログラムも、バイナリレベルで見てしまえば同じプログラムだということです。もちろん、ウイルスはユーザーにとって好ましくない動作、もしくは意図しない動作をするプログラムを指しますので、危険なプログラムといえます。

 ここで私がお伝えしたかったことは、ウイルスというものはプログラムである以上、ウイルスに感染するということは、不正プログラム(ウイルス)を実行する必要があるということです。すなわち、不正プログラムを実行しない限り、ウイルス感染もあり得ないということです。

 つまるところ、ウイルス感染という状況を作るには、次のいずれかの行為が必要となります。

  1. ユーザー自ら不正プログラムを実行する
  2. ユーザーの意識が及ばぬところで不正プログラムが勝手に実行されてしまう。

 上述の「1.」については、アイコン偽装、拡張子偽装やソーシャルエンジニアリングなどの手法により、ユーザー自らの意思で実行をさせるように細工が施されていることが多いです。
図1 拡張子偽装でexeファイルへの実行を狙う例

 また、「2.」に関しては、脆弱性を悪用する場合や、ドライブ・バイ・ダウンロードなどといった手法により、ユーザー意識の水面下で不正プログラムがバックグランドで実行されウイルス感染に至ります。

 本記事で取り上げている「プラグイン」を悪用してウイルス感染に至るケースは、後者のユーザーの意識が及んでいないところで、勝手に不正プログラムが実行されてしまい、ウイルス感染してしまいます。

 このようにユーザーの意識しないところで、脆弱性を悪用されて勝手にウイルスに感染させられてしまうといったケースでは、常日ごろからの対策がとても重要になってきます。しかし、「プラグイン」を意識していないユーザーにとっては、その対策も難しくなってきます。

 今回の記事では、このプラグインのバージョン管理についてTipsをご紹介したいと思います。

前のページへ 2/3 次のページへ

Index
プラグイン脆弱性問題に決め手はあるのか

Page 1
派手なWebサイトの裏にある技術
プラグインの役割を知る
プラグインの脆弱性問題
→ Page 2
こんなにあるプラグイン脆弱性問題
ウイルス感染とは「不正プログラムを実行すること」

Page 3
完ぺきなソリューションがないプラグイン対策
プラグイン管理の「将来への期待」

セキュリティTips for Today! バックナンバー


セキュリティTips for Today! 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ