ここではXML外部実体攻撃とはどのようなことを指すのかについて解説。XMLの脆弱性を突いて発生させる仕組みや攻撃により企業にどのような被害をもたらすのかをまとめました。
XMLの仕様を悪用して外部ファイルを読み込ませるサイバー攻撃のことをXML外部実体攻撃と言います。XMLはデータを記述するマークアップ言語の一つで、XML外部実体参照と呼ばれるファイル読み込み機能があります。
この機能はローカルファイルだけでなくHTTPを使用してネットワーク経由で外部ファイルを指定できることから、脆弱性があることがわかると攻撃者は悪意のある外部ファイルを読み込ませることで、サイバー攻撃を仕掛けるというわけです。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
XML外部実体攻撃により考えられる被害は読み込ませる外部ファイルにより異なります。サーバ内部のファイルを指定しファイル内容が出力されれば機密情報の漏えいが起きますし、外部のネットワークファイルを指定して不正なリモート要求を行い、非公開サーバに対して不正にアクセスを行うSSRF攻撃につなげることも可能です。
XML外部実体攻撃に関する被害についての報道や報告などは見つかりませんでした。但し、IPAなどの情報機構から脆弱性データベースであるJVN(Japan Vulnerability Notes)にXML外部実体攻撃の脆弱性について注意喚起されています。
IPAおよびJPCERT/CCは三菱電機製空調管理システムにおける複数の脆弱性があることをJVNで指摘。これはXML外部実体参照 (XXE)の不適切な制限やWEB機能の認証アルゴリズムの不適切な実装に関する脆弱性で、後に三菱電機からも暗号化通信における情報漏えいや改ざんなどの脆弱性があることが発表されました。
JVNはオムロン株式会社が提供するCX-Motion ProにXML外部実体参照(XXE)の脆弱性(CWE-611)が存在することを発表しました。CX-Motion Proがインストールされたファイルシステムにある情報が漏えいする可能性があるため、最新版アップデートするよう注意喚起しました。
XML外部実体攻撃の具体的な被害については把握することはできませんが、すでに市場に出回っている製品に脆弱性があることが発表されており、システムの最新バージョンアップなどを適切に行わないと攻撃される可能性があります。
XML外部実体攻撃に限らず、脆弱性が疑われるシステムのセキュリティ再チェックや修正プログラムのインストールなどを行わないで放置していると、攻撃者に狙われ被害を発生させる要因となりますので要注意です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス