業務アプリ・ソフトの落とし穴(1) ~脆弱性のリスクを認識し対応しよう~

ビジネスのIT化や、昨今の「働き方改革」対応のために、業務アプリやソフト、あるいはクラウドサービスを利用する企業が増えています。これらのツールはリモートワーク やテレワークにもとても役立ちます。本稿では、利用が広がる業務用アプリケーションのリスクについて考察します。

アフターコロナにおける企業のテレワーク導入事例をまとめた資料はこちら

目次[ 非表示 ][ 表示 ]

企業でも利用が広がる無償のアプリやサービス

クラウドサービスやアプリケーションを活用する男性

ビジネスのIT化や、昨今の「働き方改革」対応のために、業務アプリやソフト、あるいはクラウドサービスを利用する企業が増えています。これらは様々な業務に対応し、パソコンやスマートフォンなどから利用することができるため、場所を選ばず業務を行うことができます。たとえば日報の提出のために会社に寄る必要がなくなるため、時間や業務の効率化にも寄与しますし、リモートワークにも有効です。

最近の業務アプリやソフト、クラウドサービスなどは、無償で利用できるものも多くあります。無償で利用できるものには、有償版の機能を制限して提供されるものや、OSS(オープンソースソフトウェア:ソフトウェアのソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア)として提供されるもの、キャンペーンやベンダーのブランド認知のためなど、様々なケースがあります。いずれにしても、無償で利用できるメリットは大きく、また無償でも豊富な機能を提供しているものもあり、利用者にとってはありがたいものです。

アプリやソフトでは、脆弱性の管理が重要

アプリやソフト、サービスの利用が広まる一方で、有償・無償にかかわらず発生する問題が「脆弱性」です。脆弱性とは、プログラム上の不具合のことで、「セキュリティホール」とも呼ばれます。脆弱性やその影響は多岐に及び、動作が重くなるといった軽微なものから、サイバー攻撃に悪用されるものまであります。特に、パソコンやサーバーを乗っ取られて情報漏えいや事業停止など重大な被害を受けることもあります。

脆弱性が発見されると、アプリやソフトなどを提供するベンダーが修正を行い、パッチやアップデートとして公開します。たとえば、マイクロソフトでは毎月第二水曜日に修正プログラムを提供していますし、多くのウェブブラウザは起動時にアップデートを確認し、自動的に適用するようになっています。

こうした脆弱性情報を収集、あるいは報告を受け付けて公開している組織があります。日本では、独立行政法人 情報処理推進機構(IPA)や、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が、これにあたります。IPAやJPCERT/CCでは、比較的重要度の高い脆弱性について注意喚起を行うほか、四半期ごとに届出状況についてレポートを公開しています。

IPA 独立行政法人 情報処理推進機構 「脆弱性情報の届出受付」ページ
(画像引用元:IPA 独立行政法人 情報処理推進機構「脆弱性情報の届出受付

報告を行うのは、開発元のベンダーやセキュリティの研究者が主ですが、サイバー攻撃者も同様に脆弱性情報を探しています。これは前述のようにサイバー攻撃に有効なためで、専門の研究者のいるサイバー攻撃者グループもあるといいます。脆弱性情報を入手すると、それを悪用するためのエクスプロイト・コード(攻撃コード)を作成し、それをマルウェアに仕込ませるのです。

脆弱性関連情報の届出受付:IPA 独立行政法人 情報処理推進機構

JPCERT コーディネーションセンター 脆弱性対策情報

会議アプリ「Zoom」に脆弱性が発見される

顕微鏡を覗く女性

実際に脆弱性が確認された例として、オンライン会議アプリケーション「Zoom」の脆弱性を紹介します。Zoomは、Windows、macOS、Linux、iOS、Androidなど多くのデバイスに対応するミーティングアプリケーションです。複数人数で同時にビデオ通話やチャットによるオンライン会議が可能で、ブラウザや「Office 365」「Outlook」「Gmail」などのプラグインとして動作させてメールやカレンダー機能と連携させることもできます。

Zoomには複数のプランが用意されていますが、機能を制限した無償版もあります。そのため、世界中で多くのユーザーが利用していました。このZoomに脆弱性が発見されたのです。Zoomは、素早くアプリを起動できるように、デバイス上に独自のサーバーをインストールしていました。macOS版のこのサーバーに、不具合が発見されました。

このサーバーは、外部からアクセス可能な状態になっていました。このため、サイバー攻撃者がサーバーを介して、どのウェブサイトでもユーザーの許可を得ることなく、Zoomの通話に強制参加させることができ、デバイスのビデオカメラを有効にすることができました。しかも、このサーバーは、アプリをアンインストールしても削除されず、脆弱性が残ったままの状態でした。

脆弱性情報を公開したのはセキュリティ研究者で、7月8日(米国時間)のことでした。開発元のZoomはこの発表を受けて、アップル社と対応を行い、アップルから強制アップデートをかけることでサーバーを削除し、脆弱性を解消しました。アップデートは7月9日(同)から順次公開されており、早い対応だったといえます。

このように、特に業務アプリ・ソフトを利用する場合には、開発元による脆弱性情報の開示や対応について確認しておくべきでしょう。そして多くの場合、脆弱性情報と合わせてアップデート情報も公開されるので、なるべく早くパッチやアップデートを適用するようにしましょう。

ビデオ会議アプリ「Zoom」に脆弱性、Macのカメラに侵害の恐れ--修正へ - CNET Japan
アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 | TechCrunch Japan

後編は、2019年9月3日に公開します。

アフターコロナにおける企業のテレワーク事例

関連記事

アカウント管理は効率化が必須!企業が抱えるアカウント管理の課題と解決方法を解説

アカウント管理は効率化が必須!企業が抱えるアカウント管理の課題と解決方法を解説

  • #情シス
情シスの業務効率化はどう進める?よくある課題3選とその解決方法を解説

情シスの業務効率化はどう進める?よくある課題3選とその解決方法を解説

  • #情シス
  • #業務効率化
リージョンとは?基本知識とWeb会議システムにおける考え方を解説

リージョンとは?基本知識とWeb会議システムにおける考え方を解説

  • #情シス
  • #Web会議
Zoomのセキュリティ事情を解説!リスクを回避して安全に使う方法を紹介

Zoomのセキュリティ事情を解説!リスクを回避して安全に使う方法を紹介

  • #情シス
  • #Web会議