2月7日(水)付けネットニュース(こちらを参照)で多数のアプリの致命的な脆弱性について取り上げていたのでご紹介します。
米マイクロソフトの「Skype for Windows」や米スラックの「Slack」といった多くのアプリに深刻な脆弱性が見つかりました。
1月18日に報告された「CVE-2018-1000006」です。
この脆弱性を悪用すると、ユーザーが特定のURLにアクセスするだけで、攻撃者が指定した任意のプログラムが実行されてしまうのです。
なぜ、多くのアプリに同時に脆弱性が発生したのか、その理由はこれらのアプリが共通して「Electron」というフレームワークを利用していたためです。
Electronに脆弱性があり、Electronを利用している複数のアプリにも脆弱性が発生したのです。
Electronは、米ギットハブが開発したオープンソースのアプリ開発用フレームワークで、同社がテキストエディタ「Atom」を開発する過程で生まれたものです。
Electronを利用すると、HTMLやCSS、JavaScriptといったWeb技術を使ってマルチプラットフォームのデスクトップアプリを簡単に開発出来るのです。
このため、最近はデスクトップアプリの開発に幅広く使われているのです。
なお、脆弱性が存在するElectronのバージョンは、1.8.2-beta.3以前、1.7.10以前、1.6.15以前で、最新のElectronでは脆弱性が修正されており、SkypeやSlackは既に脆弱性を修正したバージョンが公開されています。
以上、ネットニュースの一部をご紹介してきました。
ここで特にお伝えしたいことは、ネットアプリの脆弱性を悪用すると、ユーザーが特定のURLにアクセスするだけで、攻撃者が指定した任意のプログラムが実行されてしまうケースがあるということです。
そもそも全てのアプリが常に脆弱性を100%カバーしているという状態はあり得ません。
また、こうした脆弱性が見つかっても、すぐに修正が加えられるとは限りません。
ですから、こうしたケースの場合、ほとんどユーザーは悪意のある攻撃者の罠にかかってしまうことになります。
では私たち一般ユーザーはこうしたリスクに対してどのように対応すればいいのでしょうか。
大きく3つの対応策があると思います。
一つ目は、むやみに怪しいサイトを参照しないことです。
二つ目は、いつこうした被害に遭っても最小限の被害に食い止めるための自己防衛策です。
具体的には、重要なデータの定期的なバックアックです。
しかもその媒体はパソコン内部ではなく外部記憶装置でなければなりません。
更に、特に重要なデータについては更新の都度のバックアップが必要です。
三つ目は、セキュリティ対策ソフトの導入です。
これくらいしか個人としての対応策はありません。
一方、以前お伝えしたように、国による罰則規定もリスク対応策としての効果はあります。
その際の考慮点は、犯行者が不正なソフトで利益を得ようとしても摘発された際に支払う罰金の金額がとても割に合わないと思わせるほどの高額の罰金の設定、および世界各国の協調体制での犯罪防止の取り組みです。