昨年、Adobeは悪意のある攻撃の標的となっているという認識を抱き、ソフトウェアのセキュリティ確保と保護に向けた取り組みを強化しました。しかし、セキュリティ研究者が、Adobeが開発したセキュリティ対策の一つが比較的簡単に回避できることを明らかにしました。
サンドボックスセキュリティ制御は、一種のソフトウェアセーフゾーンを作成します。これは、アプリケーションのコア機能を危険にさらしたり、PC自体への広範なアクセスを許可したりすることなく、スクリプトやコードを実行できる隔離された領域です。しかし、悪意のあるソフトウェアがサンドボックスを回避できた場合、そのセーフゾーン外で動作し、システムを悪用したり、データを侵害したりする可能性があります。
Invinceaの創設者兼チーフサイエンティストであるAnup Ghosh氏は、私に次のようなコメントをメールで送ってくれました。「AdobeがReader X製品のリリース計画を発表した際、サンドボックスの導入によって、彼らが直面していた主要な脆弱性攻撃問題のいくつかを解決しようとしていることを称賛しました。しかし、アプリケーションサンドボックスは正しい方向への一歩ではあるものの、今後数ヶ月のうちに悪用される可能性のあるリスクが依然として残っていると警告しました。」
ついにその時が来たようだ。セキュリティ研究者のビリー・リオス氏は、Adobeサンドボックスの回避は、その仕組みを理解している者にとっては比較的容易であることを発見した。リオス氏は最近のブログ記事でこのハッキングについて説明し、Adobeサンドボックスは一部のコード実行を制限しているものの、「残念ながら、これらの制限はドキュメントに記載されている『ネットワークと一切通信できない』という制限とは異なります。ローカルファイルシステムサンドボックスを回避する最も簡単な方法は、リモートサーバーにfile://リクエストを送信することです」と述べている。
ゴーシュ氏は次のように説明しています。「このエクスプロイトは、コードを破ったり、実装上の欠陥を見つけたりするものではありません。むしろ、サンドボックスの設計上の欠陥を露呈させるものです。他のアプリケーションサンドボックスと同様に、サンドボックスの設計者は、攻撃者が権限を悪用しようとするあらゆる方法を考え出し、それらの経路を遮断する方法(包帯)を考え出すという、耐え難い状況に追い込まれています。」
しかし、サンドボックスの回避には明るい兆しもある。リオス氏は、「幸いなことに、ローカルネットワーク上のシステムのIPアドレスとホスト名(RFC 1918アドレス)しか渡せないようです。攻撃者がインターネット上のリモートサーバーにデータを送信したい場合、別の手段を講じる必要があるでしょう」と指摘する。
Adobe、そして他社のサンドボックス実装に公平を期すために言うと、サンドボックスが完璧なセキュリティソリューションだとか、侵入不可能だと主張した人は誰もいません。Rios氏が指摘したように、Adobeはサンドボックス内のファイルはネットワークと一切通信できないという不都合な表現を使っていました。これは誤りですが、セキュリティ対策はあくまでも一つの方法、あるいは一つの保護層に過ぎず、万能薬など存在しないことを認識すべきです。
