企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 脆弱性診断で浮き彫りになるサイバー攻撃のリスク » 安全でないデシリアライゼーション

安全でないデシリアライゼーション

ここでは安全でないデシリアライゼーションについて解説しています。そもそもデシリアライゼーションとは何なのか、想定される攻撃や企業が受ける被害についてまとめました。

目次

安全でないデシリアライゼーションとは

アプリケーションでは、プロセス間通信や一時的なプログラム実行の中断などを効率よく処理するために、実行中のオブジェクトを一つのバイト列にして(シリアライズ)、データの授受や保存などを行います。

このシリアライズされたデータを読み込み、元のオブジェクトに変換する処理をデシリアライズと呼びます。そして外部から与えられるデータをデシリアライズする際に発生する脆弱性のことを安全でないデシリアライゼーションと言います。

安全でないデシリアライゼーションで攻撃を受けるとどうなる?

デシリアライズの際に発生するリスクはオブジェクトの持つフィールドに任意の値が設定可能になる問題と、アプリケーションに存在する脆弱性のあるクラスを利用することで、リモートコードが実行されてしまいます。具体的な被害としては管理者権限を取得されたり、攻撃者が仕込んだプログラムが実行されることが考えられます。

脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る

安全でないデシリアライゼーションの代表的な被害事例

安全でないデシリアライゼーションに関する被害についての報道や報告などは見つかりませんでした。他のサイバー攻撃と比べるとあまり知られていませんが、デシリアライズの脆弱性については発見されることが多くなりました。

2021/05/27 Checkbox Survey に安全でないデシリアライゼーションの脆弱性

Checkbox社が提供するCheckbox Surveyにおける調査機能を追加できるASP.NET アプリケーションに安全でないデシリアライゼーションの脆弱性(CWE-502、CVE-2021-27852)が存在し、遠隔の第三者によってサーバ上で任意のコードを実行される可能性があることをJVNに公開されました。

参照元:Japan Vulnerability Notes(https://scan.netsecurity.ne.jp/article/2021/05/31/45744.html

2019/04/02 「Apache Solr」の安全でないデシリアライゼーションの脆弱性「CVE-2019-0192」を検証

トレンドマイクロ社ではセキュリティリサーチャのMichael Stepankin氏によって、全文検索プラットフォーム「Apache Solr」の脆弱性「CVE-2019-0192」が報告されたことを明らかにしました。攻撃者がリアライズした不正なオブジェクトを送信することで、脆弱なApache Solr上で任意のコードを実行できることを検証しました。

参照元:トレンドマイクロセキュリティブログ(https://blog.trendmicro.co.jp/archives/20755

安全でないデシリアライゼーションによる被害が出る原因

安全でないデシリアライゼーションの具体的な被害についてはまだ情報がありませんが、複数のセキュリティ機関によって一部のアプリケーションで脆弱性があることが発見され、注意喚起したりアプリの最新版へのアップグレードを呼びかけています。

こうした情報に耳を傾けず、放置してしまうことがサイバー攻撃の被害を発生させる要因となります。脆弱性が疑われるアプリケーションを利用している場合は、セキュリティ対策を進めておくことが大切です。

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる