何事にも失敗は付き物。
その失敗から何を学ぶかが大事。
よく聞く話ですね。
エンジニアがチェックすべき「失敗集」として、「JVN」というサイトがあります。
今回はこのサイトについてと載せられている失敗事例をいくつかご紹介します。
「JVN」とは?
「JVN」は「Japan Vulnerability Notes」略で、
「日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、
情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト」です。
簡単に言うと、「日本で見つけたVulnerability(脆弱性)のまとめサイト」です。
エンジニアには馴染み深いあんなものやこんなものについて起こり得る問題やその対策方法がまとめられています。説明するより見た方が早い!ということで、3点ほど事例をピックアップしてご紹介します。
①Android アプリ「メルカリ」における Intent の取り扱い不備に関する脆弱性
詳細はこちら。
まずは馴染み深いアプリの事例をチョイスしてみました。
一応「メルカリ」について説明すると「個人で売ったり買ったりできるフリマアプリ」です。
お店になかなか置いていないものを探している時などに便利ですね。
このアプリから悪質なサイトにアクセスすると最終的にアカウント乗っ取りされるかも!?という話です。
最新版では修正済で、アプリ起動時の強制アップデートがあるため今後は発生しないとのことです。
②Apache HTTP ServerにおけるNULLポインタ参照の脆弱性
詳細はこちら。
脆弱性の内容が初学者にも身近なためチョイスしました。
「Apache」と呼ばれるWebサーバーについての事例です。
内容はNULL参照で、これによるエラーを見たことが無いプログラマーはいないと思います。
最新版では修正済とのことで、アップデートすることで対策完了です。
③log4netにおけるXML外部実体参照(XXE)の脆弱性
詳細はこちら。
最後にチョイスしたのは先の2つと対策方法が違う事例です。
これは「log4net」というログ出力機能(ライブラリ)を利用したプログラムや製品に関わる話で、
設定ファイルの内容次第でアプリケーションが危険な状態になるという内容です。
対策は、自分で作成しているプログラム内で利用している場合はアップデートでOKです。
しかし製品の場合は自身で更新できないため、設定ファイルの内容に気を付けるくらいしかないようです。
後は製品の修正を依頼する等でしょうか。
終わりに
他にも大量の事例があるので、身近な内容がないか探してみると面白いですよ。
今回ご紹介したように、大抵の問題はアップデートで解決します。
面倒ではありますが、更新が無いかはこまめにチェックするべきですね。