身内に潜む敵？ 実はリモートより怖いlocal攻撃：IT基礎英語

[鈴木聖子，ITmedia]

　リモートワークやリモート攻撃など、remoteが何かと脚光を浴びる昨今。けれどセキュリティの世界では、脅威が潜んでいるのはremoteばかりとは限らない。敵はもっと身近な所にもいる。

　コンピュータ用語でremoteの対義語は「local」。日本語で「ローカル」というと、どうも田舎者みたいな雰囲気が漂うけれど、英語のlocalは本来、特定の地域や近隣に限定した状態を形容する。例えば「local people」といえば、大都会であれ地方であれ、その地域の地元の人々のことを指す。

　これをセキュリティ用語に使って「local attack（ローカル攻撃）」といえば、社内ネットワークなど身内の環境内にいる攻撃者が、その立場を利用して不正をはたらくこと。つまり敵は内部にいて、攻撃の機会をうかがっている。

　ソフトウェアの脆弱性の重大性を評価する場合は、remoteかlocalかが重要な判断基準の1つとされ、remote攻撃が可能な脆弱性の方が、local攻撃の脆弱性よりも危険度は高い位置づけになる。リモート攻撃は誰がどこから仕掛けてくるか分からないから怖いけれど、localのユーザーは社内の人間なので、そんな悪いことはしないはず、と一般的には考える。ソフトウェアの脆弱性が発覚した場合、大々的に騒がれるのも、リモート攻撃の脆弱性の方だ。

　しかし実は、「local攻撃の方がもっとずっと一般的で、防ぐのが難しい」のが実態だという。

Having a local account implies a certain amount of trust, and it isn't always easy to imagine just how that trust could be violated. Most local exploits involve some sort of elevation of privilege, such as turning a normal user into the superuser, root.

（BlackBerry QNX）

localアカウントを持っているということは、ある程度の信頼を意味する。その信頼がどう裏切られ得るのか簡単には想像できない。local攻撃はほとんどの場合、一般ユーザーがroot特権を持つスーパーユーザーに転じるなど、何らかの権限の昇格を伴う。

　例えば2019年に発覚した、Windowsのlocal権限昇格の脆弱性。Kaspersky Labは、Microsoftが修正する前に、何者かがこの脆弱性を悪用していたと伝えた。攻撃に利用されているローカル権限昇格の脆弱性をKaspersky Labが発見したのは、これで5回連続だったという。

Kaspersky

　内部の事情に詳しいインサイダーがこうした脆弱性を悪用して管理者特権を獲得すれば、リモートの攻撃者よりずっと簡単に情報を盗み出したり、システムに手を加えるなど好き勝手なことができる。しかも敵は内部にいるので不正を検知するのも難しい。

　インサイダーに限らず、localの脆弱性はリモートの脆弱性と組み合わせて、外部から侵入した攻撃者に利用されることもあり、そうなれば被害は一気に拡大する。たとえ深刻度評価は低くても、local攻撃はあなどれない。

local攻撃は非常に危険だ