独立行政法人の情報処理推進機構(IPA)が過去に無料公開していたセキュリティー学習ソフト「安全なウェブサイト運営入門」に脆弱性が見つかった。同機構が2017年3月16日、公式サイト上で発表した。ユーザーには「(ソフトの)使用を停止してください」と注意喚起している。
「OSコマンド・インジェクション」の脆弱性の存在が判明したという。IPAの担当者によれば、悪意のある第三者からセキュリティー攻撃を受けた場合に、「ファイルを削除するといったコマンドを勝手に入力される」危険性がある。
-
IPAの「安全なウェブサイト運営入門」紹介ページ(画像はキャッシュ)
ソフトのサポートは2013年に終了
今回脆弱性が見つかった「安全なウェブサイト運営入門」は、IPAが2008年に公式サイト上で公開したサイト運営者向けの学習ソフト。シミュレーションゲーム形式で体験的に学習できる点が特徴で、ウェブサイトの脆弱性による被害への具体的な対策方法を扱っている。
ただ、ソフトのサポートは公開から5年後の13年に終了しており、16年3月にはダウンロード公開も停止している。そのため、IPAによる今回の注意喚起は、過去にソフトをダウンロードしていて、現在もそのソフトを利用しているユーザーに向けたものだ。
17年3月21日のJ-CASTニュースの取材に応じたIPAセキュリティセンターの担当者によると、見つかった脆弱性は第三者が細工したソフトのセーブデータファイルを読み込んだ際に起きる可能性がある。具体的にどのような被害が想定できるかについては、
「この脆弱性は、第三者が任意のコマンドを実行できる点にあります。ファイルの細工の仕方によって変わってきますが、PC上のファイルを削除するといったコマンドが考えられると思います」
と話した。とはいえ、IPAはすでに後継の学習ソフトを公開していることから、担当者は
「(現在も問題のソフトを)利用しているユーザーはそこまで多くないとは思います」
とも付け加えていた。
「ギャグみたいになっててかわいそう」
今回の脆弱性公表の理由について、担当者は
「具体的な被害があったという報告はこれまでに受けていませんが、脆弱性が見つかったまま放置して良い問題とはいえないため、今回のような対応をとりました」
と説明。その上で、今回の脆弱性を発見した時期については「ソフトのサポートを終了した後だった」とも話していた。
サポートがすでに終了していたソフトだったとはいえ、情報セキュリティー対策を推進するIPAが公開していたソフトに脆弱性が発見されたことについて、ツイッターやネット掲示板には、
「身をもってインターネットの危険性を訴えてるのか」
「ミイラ取りがミイラになったな」
「ギャグみたいになっててかわいそう」
と揶揄する声が出ている。ただ一方で、「サポート終了してるソフトの話なので、仕方ない」と冷静に見る声も複数出ていた。
なお、IPAが提供する学習ソフトに脆弱性が発見されたのは今回が初めてではない。16年10月に公開した「脆弱性体験学習ツール AppGoat(アップゴート)」に複数の脆弱性が発見されたとして、IPAは17年2月に修正版のソフトを配布していた。
こうした背景もあり、ネット上では「IPA、またなのか」「前にも見た気がすんな」といった声も出ている。2つの脆弱性の関連について上述したIPAの担当者は、
「『安全なウェブサイト運営入門』と『アップゴート』の脆弱性には何の関連もありません。たまたま重なってしまっただけです」
と説明していた。