「認証情報の不十分な保護」の脆弱性はどのようなものか
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」1月21日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・CWE-522「認証情報の不十分な保護」の脆弱性とは
・脆弱性を見つける事に長けたホワイトハッカーとは何者なのか?
今回の解説ニュース
テプラの脆弱性がIPAに報告されています。今回発見された脆弱性の内容や、脆弱性が報告される背景について説明します。
今回の脆弱性は、ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の保護が不十分であることについて報告されています。具体的には、当該製品にネットワーク経由でアクセス可能な第三者によって、インフラストラクチャモードでWi-Fiアクセスポイントに接続するための認証情報が漏えいする可能性があると発表されています。
対策として、最新版にアップデートすることが挙げられていますが、本体ソフトウェアを最新版にアップデートすると、ネットワーク経由でのWi-Fiアクセスポイントに接続するための設定変更や登録情報の読出しができなくなるということです。代わりに、ネットワーク設定確認ツールからネットワーク経由でテプラ本体にアクセスする機能を削除したソフトウェアがリリースされています。
CWE-522「認証情報の不十分な保護」の脆弱性とは
CWE-522が附番されている「認証情報の不十分な保護」の脆弱性について説明します。
CWEとは、Common Weakness Enumerationの略で共通脆弱性タイプ一覧とも訳される、ソフトウェアにおける脆弱性の種類を識別するための共通基準です。CVEと同じくMITERによって仕様策定が行われ、脆弱性に関して共通言語で議論することができます。
CWE-522の「認証情報の不十分な保護」はInsufficiently Protected Credentialsの日本語訳です。MITERのページには具体的なソースコードで例が示されていますので、そちらを引用しながら説明します。
例えば、皆さんも使ったことがある、パスワード変更の画面があったとします。ユーザ名と新しいパスワードを入力して、確認のために新しいパスワードをもう一度入力します。2回入力したパスワードが一致した場合、ユーザのパスワードが更新されるプログラムです。実はこのプログラムにはCWE-522、つまり「認証情報の不十分な保護」の脆弱性があります。
パスワードを変更しているユーザが、パスワードを変更されるユーザと一致しているか確認していないことが、認証情報の不十分な保護の脆弱性として挙げられます。よって、攻撃者は被害者ユーザのパスワードを変更することができ、アカウントを乗っ取ることができます。対策の一つとして、パスワードを変更しているユーザが本人であることを確認するために、古いパスワードを入力させるようなことが必要となるわけです。
その他のトピック
脆弱性を見つける事に長けたホワイトハッカーとは何者なのか?
(全文はこちら)