ClickShareの脆弱性にはパッチが適用されたが、より大きな問題が隠されていた

2020年9月28日発行
マティアス・マドゥ博士著
ケーススタディ

ClickShareの脆弱性にはパッチが適用されたが、より大きな問題が隠されていた

2020年9月28日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

この記事の一版は DevOps.com.この記事はシンジケーション用に更新されており、脆弱性に関する課題へのインタラクティブなリンクが含まれています。

最近の記憶では、誰もが会議中にプレゼンテーション技術の問題に直面したことがあるのではないでしょうか。あまりにも頻繁に起こることなので、少なくとも最初は不便な体験をすることが予想されます。だからこそ、ClickShareのシームレスなアプリがエンドユーザーにすぐに受け入れられたのは当然のことだと思います。彼らにとって、ClickShareのアプリケーションを使って、ラップトップやタブレット、スマートフォンから大画面や会議室のプロジェクターにプレゼンテーションをプッシュすることほど簡単なことはありません。ベルギーに本社を置くデジタルプロジェクションとイメージング技術のサプライヤーであるBarco社は、自動化プラットフォームをそのように設計し、大企業はそのコンセプトを受け入れました。FutureSource Consulting社によると、バルコの会議技術における市場シェアは29%で、フォーチュン1,000社のうち40%の企業に導入されているという。

12月にF-Secure社の研究者が、一見何の変哲もない自動化プラットフォームにセキュリティの脆弱性があることを明らかにし、ビジネス界に衝撃を与えました。今回発見されたセキュリティ上の欠陥は重大なものであり、様々な悪意ある行為を可能にする可能性があります。

研究者たちは、この脆弱性を利用して、リモートユーザーがアクティブなプレゼンテーションを盗み見たり、安全なネットワークへのバックドアを作成したり、さらにはBarcoデバイスに接続するすべてのユーザーを感染させるスパイウェア配信サーバーを設定することができることを示しました。突然、企業は、組織内の会議室やオフィスに直接、深刻なセキュリティ問題をインストールされるという事態に直面しました。そして、その脆弱性の性質上、1台のデバイスが危険にさらされるだけで、ネットワーク全体の侵害につながる可能性がありました。

"エフセキュアは、このレポートの中で、「1つのユニットを侵害することに成功した攻撃者は、1つの家族の中でも、複数の家族の中でも、どのユニットでも有効な暗号化された画像を生成し、復号化する能力を獲得します。"さらに、このような攻撃者は、設定されたWi-Fi PSKや証明書など、静止状態の機密データにアクセスすることができます。"

Barco社は、自社製品に発見された脆弱性に対して、非常に積極的にパッチや修正プログラムを発行しています。セキュリティベンダーのTenable社が最近発表したレポートによると、Barco社を含む8つのプレゼンテーションツールに15の脆弱性が見つかっています。2月の時点では、Barcoだけが積極的に修正プログラムを配布しています。

Barco社の脆弱性の中には、ハードウェアの変更が必要なものもありますが(企業がこの程度のセキュリティ対策をすると、導入は悪夢のようになるでしょう)、多くの脆弱性はソフトウェアのパッチで修正できます。これにより、ほとんどの企業ユーザーは、当面の問題を解決するための一見良い計画を立てることができますが、今すぐに解決できるわけではありません。Barco社の問題は、有名なハードウェアやソフトウェア製品の脆弱性に対処する上では、氷山の一角に過ぎません。

問題の根源

差し迫った問題が解決された今、私たちは、重大なセキュリティ上の欠陥を持つデバイスが、なぜ世界中の何千もの会議室に置かれているのか、あるいは、そもそもなぜ設計やプログラムが不十分なのかを問う必要があります。エフセキュアのチームは、ゼロデイの脆弱性やこれまで知られていなかった脆弱性を発見したわけではありません。Barco社の製品で発見された欠陥のうち10個は、コードインジェクション攻撃のような、よく知られた一般的な脆弱性に関連していました。そのほとんどは、すでにCVE(Common Vulnerabilities and Exposures)で識別されていました。

では、なぜ数十年前のCVEが最新のプレゼンテーションツールにコード化され、さらにはハードワイヤードされてしまったのでしょうか。考えられる唯一の答えは、開発者がそれらを知らなかったか、Barcoのデバイスが設計される際にセキュリティが優先されなかったということです。残念ながら、このような状況はよくあることであり、Barco社のチームに限ったことではありません。

脆弱性を修正するのに最適な時期は、アプリケーションが開発されている最中、つまりユーザーに配布されるずっと前です。最悪の(そして最もコストのかかる)時期は、製品が配備された後、あるいは攻撃者に悪用された後です。Barco社は、今回のセキュリティ上の大失敗により、かつての難攻不落の市場シェアに打撃を受けたことで、この教訓を学ぶことになるでしょう。

しかし、プレゼンテーションツールのような一見シンプルなデバイスでさえ、驚くほど複雑で、しかもあらゆるものとネットワークでつながっている今日の世界では、セキュリティの修正を開発プロセスに戻すことは容易ではありません。このような環境では、セキュリティは組織のベストプラクティスにならなければなりません。ソーシャルメディア用のアプリケーションを開発している企業でも、スマートトースターを製造している企業でも、組織のあらゆる面でセキュリティを考慮しなければなりません。

セキュリティのベストプラクティスを優先し、それを共有の責任とすることは、開発、セキュリティ、運用の各チームが協力して安全なソフトウェアや製品をコーディング、デプロイするDevSecOpsムーブメントの目標です。そのためには、何よりも文化の変革が必要です。セキュリティ上の脆弱性がある製品を展開することは、本来の機能を果たせない製品を作ることと同様に、失敗であるという新しい考え方が必要なのです。

健全な DevSecOps 環境では、ソフトウェアに触れる人は誰でもセキュリティを意識するべきであり、開発者は自分の作業に悲惨なバグを持ち込まないように適切かつ頻繁にトレーニングを受けるべきです。もしBarco社のチームがセキュリティを共通の責任として考えていたならば、数十年前のCVEを含むこのような大量の脆弱性がプレゼンテーションツールに混入することはなかったでしょう。

安全に進むために

次のBarco社のように、有名なセキュリティの欠陥が自社のデバイスを通じて世界中の何千もの企業ネットワークに展開されたことを説明しなければならないような事態は誰も望んでいません。このような事態を避けるためには、ソフトウェアやスマートハードウェアを開発する企業は、共有の責任と組織のベストプラクティスとして、直ちにセキュリティを優先させるべきです。健全なDevSecOpsプログラムの構築には時間がかかり、文化の転換も必要になるでしょうが、その努力に見合うだけの結果が得られるはずです。堅牢なDevSecOpsは、問題が発生する前に脆弱性を潰すことができます。

製品やソフトウェアを購入する企業にとっては、DevSecOpsを導入している企業をサポートすることが一番の利益になります。そうすることで、企業から入手したデバイスやソフトウェアが、ますます巧妙になっていく攻撃者に悪用される時限爆弾にならないようにすることができます。

をご覧ください。 Secure Code Warriorブログページでは、DevSecOpsに関するより詳しい情報や、セキュリティ上の欠陥や脆弱性の被害から組織や顧客を守る方法を紹介しています。

バルコが経験したセキュリティバグを深く掘り下げてみませんか?

これらのゲーム化された課題をプレイすることができます。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

ClickShareの脆弱性にはパッチが適用されたが、より大きな問題が隠されていた

2024年1月22日発行
マティアス・マドゥ博士著

この記事の一版は DevOps.com.この記事はシンジケーション用に更新されており、脆弱性に関する課題へのインタラクティブなリンクが含まれています。

最近の記憶では、誰もが会議中にプレゼンテーション技術の問題に直面したことがあるのではないでしょうか。あまりにも頻繁に起こることなので、少なくとも最初は不便な体験をすることが予想されます。だからこそ、ClickShareのシームレスなアプリがエンドユーザーにすぐに受け入れられたのは当然のことだと思います。彼らにとって、ClickShareのアプリケーションを使って、ラップトップやタブレット、スマートフォンから大画面や会議室のプロジェクターにプレゼンテーションをプッシュすることほど簡単なことはありません。ベルギーに本社を置くデジタルプロジェクションとイメージング技術のサプライヤーであるBarco社は、自動化プラットフォームをそのように設計し、大企業はそのコンセプトを受け入れました。FutureSource Consulting社によると、バルコの会議技術における市場シェアは29%で、フォーチュン1,000社のうち40%の企業に導入されているという。

12月にF-Secure社の研究者が、一見何の変哲もない自動化プラットフォームにセキュリティの脆弱性があることを明らかにし、ビジネス界に衝撃を与えました。今回発見されたセキュリティ上の欠陥は重大なものであり、様々な悪意ある行為を可能にする可能性があります。

研究者たちは、この脆弱性を利用して、リモートユーザーがアクティブなプレゼンテーションを盗み見たり、安全なネットワークへのバックドアを作成したり、さらにはBarcoデバイスに接続するすべてのユーザーを感染させるスパイウェア配信サーバーを設定することができることを示しました。突然、企業は、組織内の会議室やオフィスに直接、深刻なセキュリティ問題をインストールされるという事態に直面しました。そして、その脆弱性の性質上、1台のデバイスが危険にさらされるだけで、ネットワーク全体の侵害につながる可能性がありました。

"エフセキュアは、このレポートの中で、「1つのユニットを侵害することに成功した攻撃者は、1つの家族の中でも、複数の家族の中でも、どのユニットでも有効な暗号化された画像を生成し、復号化する能力を獲得します。"さらに、このような攻撃者は、設定されたWi-Fi PSKや証明書など、静止状態の機密データにアクセスすることができます。"

Barco社は、自社製品に発見された脆弱性に対して、非常に積極的にパッチや修正プログラムを発行しています。セキュリティベンダーのTenable社が最近発表したレポートによると、Barco社を含む8つのプレゼンテーションツールに15の脆弱性が見つかっています。2月の時点では、Barcoだけが積極的に修正プログラムを配布しています。

Barco社の脆弱性の中には、ハードウェアの変更が必要なものもありますが(企業がこの程度のセキュリティ対策をすると、導入は悪夢のようになるでしょう)、多くの脆弱性はソフトウェアのパッチで修正できます。これにより、ほとんどの企業ユーザーは、当面の問題を解決するための一見良い計画を立てることができますが、今すぐに解決できるわけではありません。Barco社の問題は、有名なハードウェアやソフトウェア製品の脆弱性に対処する上では、氷山の一角に過ぎません。

問題の根源

差し迫った問題が解決された今、私たちは、重大なセキュリティ上の欠陥を持つデバイスが、なぜ世界中の何千もの会議室に置かれているのか、あるいは、そもそもなぜ設計やプログラムが不十分なのかを問う必要があります。エフセキュアのチームは、ゼロデイの脆弱性やこれまで知られていなかった脆弱性を発見したわけではありません。Barco社の製品で発見された欠陥のうち10個は、コードインジェクション攻撃のような、よく知られた一般的な脆弱性に関連していました。そのほとんどは、すでにCVE(Common Vulnerabilities and Exposures)で識別されていました。

では、なぜ数十年前のCVEが最新のプレゼンテーションツールにコード化され、さらにはハードワイヤードされてしまったのでしょうか。考えられる唯一の答えは、開発者がそれらを知らなかったか、Barcoのデバイスが設計される際にセキュリティが優先されなかったということです。残念ながら、このような状況はよくあることであり、Barco社のチームに限ったことではありません。

脆弱性を修正するのに最適な時期は、アプリケーションが開発されている最中、つまりユーザーに配布されるずっと前です。最悪の(そして最もコストのかかる)時期は、製品が配備された後、あるいは攻撃者に悪用された後です。Barco社は、今回のセキュリティ上の大失敗により、かつての難攻不落の市場シェアに打撃を受けたことで、この教訓を学ぶことになるでしょう。

しかし、プレゼンテーションツールのような一見シンプルなデバイスでさえ、驚くほど複雑で、しかもあらゆるものとネットワークでつながっている今日の世界では、セキュリティの修正を開発プロセスに戻すことは容易ではありません。このような環境では、セキュリティは組織のベストプラクティスにならなければなりません。ソーシャルメディア用のアプリケーションを開発している企業でも、スマートトースターを製造している企業でも、組織のあらゆる面でセキュリティを考慮しなければなりません。

セキュリティのベストプラクティスを優先し、それを共有の責任とすることは、開発、セキュリティ、運用の各チームが協力して安全なソフトウェアや製品をコーディング、デプロイするDevSecOpsムーブメントの目標です。そのためには、何よりも文化の変革が必要です。セキュリティ上の脆弱性がある製品を展開することは、本来の機能を果たせない製品を作ることと同様に、失敗であるという新しい考え方が必要なのです。

健全な DevSecOps 環境では、ソフトウェアに触れる人は誰でもセキュリティを意識するべきであり、開発者は自分の作業に悲惨なバグを持ち込まないように適切かつ頻繁にトレーニングを受けるべきです。もしBarco社のチームがセキュリティを共通の責任として考えていたならば、数十年前のCVEを含むこのような大量の脆弱性がプレゼンテーションツールに混入することはなかったでしょう。

安全に進むために

次のBarco社のように、有名なセキュリティの欠陥が自社のデバイスを通じて世界中の何千もの企業ネットワークに展開されたことを説明しなければならないような事態は誰も望んでいません。このような事態を避けるためには、ソフトウェアやスマートハードウェアを開発する企業は、共有の責任と組織のベストプラクティスとして、直ちにセキュリティを優先させるべきです。健全なDevSecOpsプログラムの構築には時間がかかり、文化の転換も必要になるでしょうが、その努力に見合うだけの結果が得られるはずです。堅牢なDevSecOpsは、問題が発生する前に脆弱性を潰すことができます。

製品やソフトウェアを購入する企業にとっては、DevSecOpsを導入している企業をサポートすることが一番の利益になります。そうすることで、企業から入手したデバイスやソフトウェアが、ますます巧妙になっていく攻撃者に悪用される時限爆弾にならないようにすることができます。

をご覧ください。 Secure Code Warriorブログページでは、DevSecOpsに関するより詳しい情報や、セキュリティ上の欠陥や脆弱性の被害から組織や顧客を守る方法を紹介しています。

バルコが経験したセキュリティバグを深く掘り下げてみませんか?

これらのゲーム化された課題をプレイすることができます。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。