目次
記事の要約
- Snowflake Connector for .NETの脆弱性CVE-2025-46326が公開された
- バージョン2.1.2から4.4.1未満でTOCTOU脆弱性が存在
- ローカル攻撃者がログ設定を改ざんできる可能性があった
Snowflake Connector for .NETの脆弱性情報公開
Snowflake社は2025年4月28日、Snowflake Connector for .NETにおけるセキュリティ上の脆弱性CVE-2025-46326を公開した。この脆弱性は、バージョン2.1.2から4.4.1未満のバージョンに影響を与えるTime-of-Check to Time-of-Use (TOCTOU) race conditionである。
LinuxとmacOS環境でEasy Logging機能を使用する場合、コネクタはユーザー指定のファイルからログ設定を読み込む。この際、ファイルへの書き込み権限が所有者のみであることを検証するが、この検証にTOCTOU race conditionが存在し、ファイル所有者とコネクタを実行しているユーザーの整合性を正しく確認できていなかったのだ。
そのため、ローカル攻撃者が設定ファイルまたはその親ディレクトリへの書き込み権限を持つ場合、ログレベルや出力先を改ざんし、ログ機能を不正に制御できる可能性があった。この問題はバージョン4.4.1で修正されている。
Snowflake社は、影響を受けるユーザーに対し、速やかにバージョン4.4.1以降へのアップデートを推奨している。
脆弱性詳細と対応策
| 項目 | 詳細 |
|---|---|
| 脆弱性名 | CVE-2025-46326 |
| 脆弱性タイプ | TOCTOU race condition |
| 影響を受けるバージョン | 2.1.2以上、4.4.1未満 |
| 影響を受けるOS | Linux、macOS |
| 影響 | ローカル攻撃者によるログ設定の改ざん |
| 修正バージョン | 4.4.1 |
| 発表日 | 2025年4月28日 |
TOCTOU脆弱性について
TOCTOU脆弱性とは、Time-of-check to Time-of-useの略で、チェックと使用のタイミングのずれを悪用する脆弱性である。
- ファイルの存在確認後、ファイルの内容が変更される
- 権限チェック後、権限が変更される
- 状態の確認と実際の使用の間に、状態が変化する
この脆弱性は、システムの状態がチェックされた時点と実際に使用される時点との間に変化が生じることで発生する。そのため、攻撃者はこのタイミングのずれを悪用して、不正な操作を行うことが可能になるのだ。
Snowflake Connector for .NETの脆弱性に関する考察
Snowflake Connector for .NETの脆弱性修正は、迅速な対応が求められる重要なセキュリティアップデートだ。この脆弱性によって、ローカル攻撃者がログ設定を改ざんできる可能性があったことは、システムの機密性や完全性に深刻な影響を与える可能性があった。
今後、同様のTOCTOU脆弱性が他のソフトウェアでも発見される可能性がある。開発者は、セキュリティコードレビューや静的・動的解析ツールなどを活用し、早期に脆弱性を発見し修正する体制を構築する必要があるだろう。また、ユーザーは、ソフトウェアのアップデートを常に最新の状態に保つことが重要だ。
さらに、ログ機能のセキュリティ強化についても検討が必要である。例えば、ログファイルへのアクセス制御を厳格化したり、ログデータの暗号化を導入したりすることで、攻撃者によるログ改ざんをより困難にすることができるだろう。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-46326」.https://www.cve.org/CVERecord?id=CVE-2025-46326, (参照 2025-05-13).
