1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. プロキシの自動検出機能「WPAD」に存在する脆弱性「badWPAD」に研究者が注意喚起

プロキシの自動検出機能「WPAD」に存在する脆弱性「badWPAD」に研究者が注意喚起

プロキシの自動検出機能「WPAD」に存在する脆弱性「badWPAD」に研究者が注意喚起Webブラウザーにプロキシの設定を自動配布するための技術「WPAD」(Web Proxy Auto-Discovery)に存在する脆弱性について、8月5日、米国で行われたセキュリティーカンファレンス「Black Hat USA 2016」に登壇した研究者、マキシム・ゴンチャロフ氏が幅広い攻撃の可能性を明らかにした。

プロキシサーバー(「代理サーバー」の意。特に内部ネットワークからインターネット接続を行う際、高速かつ安全な通信を実現するための中継サーバーのこと)は、企業内部から外部のインターネットにアクセスする際、アクセス制御や負荷分散などの役割を果たす。WPADは、ブラウザーが使うプロキシサーバーを自動的に設定する技術のことで、現在も多くのWebブラウザーに装備されている。

WPADには、「DNSクエリ」(ドメイン名をIPアドレスに変換する名前解決のための処理要求)に存在する脆弱性が以前から指摘されていた。ソフトウエアなどの脆弱性関連情報を提供するJVNは、WPADのDNSクエリが外部に漏れることで名前衝突の問題が発生する可能性があることを注意喚起していた(→参考リンク)。

この脆弱性により、悪意ある第三者により中間者攻撃が行われる可能性がある。

JVNで推奨されているように、社内ネットワークでWPAD機能を使用しない場合、WPADの設定を無効にするなどの対策を行えば、脆弱性のリスクを低減することが可能だ。しかし、ゴンチャロフ氏が実態について調査を行ったところ、自動プロキシ設定が有効になっていると思われる多数のブラウザーからのアクセスが観測されたという。なお、この脆弱性は同氏により「badWPAD」と名づけられた。

「badWPAD」のリスクの一つとして、gTLD (ジェネリックトップレベルドメイン:用途が限定されないトップレベルドメインのこと。トップレベルドメインとは、インターネットで使われるドメイン名の構成要素のち「.」で区切られた後ろの要素のことで「com」や「jp」など) の問題が挙げられる。悪意ある第三者により「.tokyo」などの地理的名称TLDが取得されると、攻撃に悪用される可能性があるとゴンチャロフ氏は警鐘を鳴らしている。

新gTLDプログラムが開始され、各所でgTLDの新設が行われていることから、今後、当該脆弱性を悪用した攻撃が行われる可能性がある。

Webアクセスにプロキシを使わないインターネット環境にある企業やユーザーは、自動プロキシ設定機能を無効にするなど、JVNが推奨する対策を行うことが推奨される。なお、JVNによれば、WindowsのInternet Explorerでは、初期設定でWPADの使用が有効になっている。また、MacやLinuxでは、Safari、Chrome、FirefoxはWPADに対応しているものの、初期設定では無効になっているということだ。

東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは(ASCII.jp)
WPADと名前衝突の問題(JVNTA#91048063)


日立ソリューションズのセキュリティソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

badWPAD

gTLD

WPAD

プロキシ

脆弱性

  • CVE(Common Vulnerabilities and Exposures)とは
  • カテゴリートップへ
  • LAPS(Local Administrator Password Solution)とは