ここでは安全でないデシリアライゼーションについて解説しています。そもそもデシリアライゼーションとは何なのか、想定される攻撃や企業が受ける被害についてまとめました。
アプリケーションでは、プロセス間通信や一時的なプログラム実行の中断などを効率よく処理するために、実行中のオブジェクトを一つのバイト列にして(シリアライズ)、データの授受や保存などを行います。
このシリアライズされたデータを読み込み、元のオブジェクトに変換する処理をデシリアライズと呼びます。そして外部から与えられるデータをデシリアライズする際に発生する脆弱性のことを安全でないデシリアライゼーションと言います。
デシリアライズの際に発生するリスクはオブジェクトの持つフィールドに任意の値が設定可能になる問題と、アプリケーションに存在する脆弱性のあるクラスを利用することで、リモートコードが実行されてしまいます。具体的な被害としては管理者権限を取得されたり、攻撃者が仕込んだプログラムが実行されることが考えられます。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
安全でないデシリアライゼーションに関する被害についての報道や報告などは見つかりませんでした。他のサイバー攻撃と比べるとあまり知られていませんが、デシリアライズの脆弱性については発見されることが多くなりました。
Checkbox社が提供するCheckbox Surveyにおける調査機能を追加できるASP.NET アプリケーションに安全でないデシリアライゼーションの脆弱性(CWE-502、CVE-2021-27852)が存在し、遠隔の第三者によってサーバ上で任意のコードを実行される可能性があることをJVNに公開されました。
トレンドマイクロ社ではセキュリティリサーチャのMichael Stepankin氏によって、全文検索プラットフォーム「Apache Solr」の脆弱性「CVE-2019-0192」が報告されたことを明らかにしました。攻撃者がリアライズした不正なオブジェクトを送信することで、脆弱なApache Solr上で任意のコードを実行できることを検証しました。
安全でないデシリアライゼーションの具体的な被害についてはまだ情報がありませんが、複数のセキュリティ機関によって一部のアプリケーションで脆弱性があることが発見され、注意喚起したりアプリの最新版へのアップグレードを呼びかけています。
こうした情報に耳を傾けず、放置してしまうことがサイバー攻撃の被害を発生させる要因となります。脆弱性が疑われるアプリケーションを利用している場合は、セキュリティ対策を進めておくことが大切です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス