サイバー空間にゴールデンウイークはなかった？――5月のセキュリティ関連トピックまとめ：セキュリティクラスタ まとめのまとめ 2016年5月版（1/3 ページ）

連載目次

　2016年5月のセキュリティクラスタですが、せっかくのゴールデンウイークに画像処理ツールImageMagickの脆弱（ぜいじゃく）性、通称「ImageTragick」が公表されたために、休みどころではなくなってしまった人も多くいたようです。

　一方、毎年恒例の「DEF CON CTF」の予選に全国各地の“CTFer”が挑んだり、「サイバー犯罪に関する白浜シンポジウム」にセキュリティ関係者が集結したりするなど、セキュリティイベントが各所で開催されました。

　そして2016年5月9日には、長年日本のインターネットセキュリティ分野を牽引されてきた山口英氏の突然の訃報に、TL上が悲しみに包まれました。

ゴールデンウイークなのに「ImageTragick」脆弱性で大慌て

　日本ではゴールデンウイークにあたる5月上旬ですが、他国では普段通り業務が行われており、脆弱性情報も休みなく公表されます。多くの日本人が休暇を満喫していた5月4日にも、「ImageMagick」という画像処理ツールの脆弱性が公表されました。

　「ImageTragick」と名付けられたこの脆弱性ですが、近年の例に倣い、脆弱性のドメインやロゴ、Twitterアカウントまでが用意されました。先月の「BadLock」（関連記事）のように、最近は名前が付けられ大々的に発表されたにもかかわらず、ふたを開けてみれば名前ほどではない脆弱性も少なくないのですが、今回のImageTragickは「細工された画像ファイルを読み込むと外部からOSコマンドが実行されてしまう」というかなり危険度の高いものでした。攻撃方法も単純で、かつ公開されていたため、自身の環境で攻撃を試してみた人も多かったようです。

　サーバ内で動いている画像処理アプリケーションをリモートから攻撃するようなケースはなかなか想像できないかもしれませんが、実は「WordPress」や「Movable Type」をはじめとするたくさんのWebアプリケーションにおいて、このImageMagickが画像変換に使われています。このような場合、悪意を持ったユーザーがWebから画像をアップロードすることでサーバ内部を攻撃できてしまうため、想像以上に多くのサーバが影響を受ける脆弱性だったというわけです。

　なお、この脆弱性に関しては公表と同時に「policy.xml」というファイルを書き換えるという暫定的な回避方法が公開されました。また、ディストリビューションによってはすぐにアップデートが出たものもあったため、ゴールデンウイーク中にもかかわらず対応を迫られた人や、ゴールデンウイークが明けてすぐに対応に追われた人も多くいたようです。