トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向：“バグハンター”共通の苦労も（1/2 ページ）

最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、数年前に指摘された古い脆弱性がいまだに悪用されることが多いという。最近の脆弱性の傾向と、企業や組織が向き合うべき姿勢とは。トリップワイヤの脆弱性調査チーム「VERT」のエンジニア2人に話を聞いた。

[高橋睦美，＠IT]

　セキュリティ企業のトリップワイヤ・ジャパンは、脅威の監視／改ざん検知を行う「Tripwire Enterprise」に加え、ネットワーク全体にまたがって脆弱（ぜいじゃく）性やリスクを管理する「Tripwire IP360（以下、IP360）」を提供している。このIP360が参照する脆弱性情報を作成し、更新しているのが、専門の脆弱性調査チーム「Vulnerability and Exposure Research Team」（VERT）だ。

　VERTでは米マイクロソフトや米オラクルをはじめ、主要なベンダーが提供するソフトウェアの脆弱性情報を検証する他、顧客から寄せられる要望やバグレポートに応じて特定のアプリケーションについても脆弱性調査を行い、IP360で管理できる形で情報を提供している。

　このVERTのセキュリティ調査員として脆弱性の調査や分析に取り組んでいるレーン・テムズ氏とダーリーン・ヒブス氏に、最近の脆弱性の傾向と、企業が向き合う姿勢について尋ねた。

トリップワイヤの脆弱性調査チーム「Vulnerability and Exposure Research Team」（VERT）の調査員、レーン・テムズ（写真＝左）とダーリーン・ヒブス氏（写真＝右）

エクスプロイットキットで使われるのは、イノベーティブな手法ではなく「古い脆弱性」

　既にさまざまな専門家が指摘している通り、最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、一から独自に作成されることはほとんどない。大抵は、脆弱性を悪用するエクスプロイットキット（Exploit Kit）やフレームワークを活用し、犯罪者それぞれがカスタマイズを加える形でランサムウェアやボットなどを作成する。それが最近のマルウェア増加の要因の1つとなっている。

　テムズ氏がそんなエクスプロイットキットやフレームワークが悪用する脆弱性を調査したところ、興味深い傾向が明らかになったという。これは米ベライゾンのデータ漏えい調査レポートでも指摘されていることだが、「いまだに数年前に指摘された古い脆弱性が悪用されるケースが多い」のだという。

　同氏は2006年以降に登場したエクスプロイットキットを調査し、それらが悪用する脆弱性をCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）ベースで調査した結果、「2010年前後はJavaやアドビの脆弱性が標的になった。また、2013年にはJavaに多くの脆弱性が見つかり、これらは攻撃者にとって魅力的なターゲットとなった。ところが2014年以降、新しい脆弱性がエクスプロイットキットに取り込まれるケースが減少していた。これは想定外の結果だった」と述べた。フレームワークについても同様の傾向が見られたという。

　テムズ氏は、エクスプロイットキットやフレームワークが悪用する脆弱性の数について、ロジスティック方程式を参考に分析を加えた。その結果「いわばマーケットが飽和しており、新たな脆弱性をエクスプロイットキットやフレームワークに組み込もうとする意欲が低下している」と結論付けている。

　事実、古い脆弱性を狙った攻撃はいまだに有効だ。その一例が、世界30カ国、130以上の産業／製造業関連組織や企業を狙った標的型攻撃「Ghowl（グール）」だ。「この手法は特に革新的なところはなく、使い古された手口が用いられている」（テムズ氏）。それにもかかわらず、人という弱い鎖をフィッシングを使って突くことで、比較的セキュリティを重視してきた企業や組織に影響を与えたという。

　「理由は幾つかあるが、まず、自社にどんなシステムがあるかを把握していない組織が多い。つまりパッチマネジメントに問題があるわけだが、これはIP360などのツールで支援できるだろう。だが規模の大きな企業や組織では、レガシーシステムとの互換性の問題もある。今までのシステムを動かし続けなければならない環境では、パッチを適用するとアプリケーションの動作に支障が出てしまう恐れがある」（レーン氏）

　レーン氏は、クラウドコンピューティングの活用や、短いサイクルの中で開発を行い、問題を解決していくDevOpsやCD（継続的デリバリー）／CI（継続的インテグレーション）、アジャイル開発といったトレンドが、こうした問題を緩和できる可能性があると述べた。「DevOpsやCD／CIの一部として、新しい変更をデプロイする際にパッチを適用すればいいし、もし問題が起きたら修正するか、ロールバックすればいい」（レーン氏）。ひいてはテスト駆動型開発の中で、アプリケーションが期待通りの機能を満たすだけでなく、セキュリティ要求も満たしていると確認し、セキュリティを最初から組み込めるようになるのではないかと期待を述べている。