そもそも「脆弱性」とは何なのか――WannaCry後&リモートワーク時代の脆弱性対策:脆弱性対策・管理入門(1)
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「マルウェア」とは悪意のあるソフトウェアや悪質なコードの総称を指す。「マルウェア対策」というと、セキュアWebゲートウェイ、IDS(侵入検知)、EDR(エンドポイントでの検出と対応)、アンチウイルスなどが最初に語られることが多い。
それらがマルウェア自体やその活動を検知し防御するものであるのに対して、そのマルウェアが悪用している脆弱(ぜいじゃく)性そのものを予防的にふさぐ作業もまた、極めて基本的かつ有効なマルウェア対策である。OSやソフトウェアのセキュリティパッチを小まめに適用すること。パッチが存在しなくとも緊急性やリスクの高い脆弱性が存在するサービスを閉じておくこと。このような基本的な脆弱性対策の重要性は、多くの人たちが理解しながら、欧米だけではなく、香港、シンガポールなどアジア圏の各国と比べても、日本国内の意識は低かったといえる。
本連載では、今日的なセキュリティ上の脅威を基に、ますます増してゆく脆弱性対策の重要性を基本から説明し、脆弱性対策の手助けを行う脆弱性スキャナーや脆弱性管理システムの有効性について読者に理解してもらうことを目的としている。
新型コロナウイルス感染症(COVID-19)による緊急事態宣言が発令されている現在(2020年4月27日)、リモートワークの必要性をきっかけとして再び、マルウェア対策の注目度が上がっている。この状況であるからこそ、企業のITセキュリティに関係する全ての方々に読んでいただきたい。
連載は、下記のような内容を予定している。
- 第1回:脆弱性とは何か
- 第2回:新型コロナウイルス感染症によるリモートワークとセキュリティ上の脅威
- 第3回:Windows 7のサポート終了と脆弱性
- 第4回:脆弱性対策は公開サーバだけでよいか
- 第5回:脆弱性はファイアウォールやアンチウイルスソフトウェアで守れるか
- 第6回:脆弱性管理とセキュリティ診断サービスの未来(まとめ)
連載初回となる今回は、「脆弱性とは何か」について説明する。
脆弱性の定義
脆弱性とは「Vulnerability」の日本語訳だ。コンピュータシステム内で認可されていない行動を攻撃者が試みる際、悪用されやすいセキュリティ上の弱点を指す。脆弱性が認知されてから、その脆弱性をふさぐ修正が行われるまでの期間、そのシステムやオペレーションは「脆弱である」とされる。「セキュリティバグ」とほぼ同じ意味だが、脆弱性はソフトウェアに限らずハードウェア、物理的なオペレーションにも及ぶため、より広義の意味を持つ。
Vulnerabilityは多くの組織や文書でさまざまな定義が付けられているが、参考にOpen GroupのVulnerabilityの定義を紹介する。
“The probability that threat capability exceeds the ability to resist the threat.”
(脅威の性能が脅威への抵抗力を超えること)
脆弱性が発生する原因としては、不十分なテスト、監査証跡の不足、デザイン上の欠陥などが考えられる。これらはソフトウェアバグの発生原因でもあり、ソフトウェアバグの中で特にセキュリティ上の弱点となるものが脆弱性といえる。バグが発生しないソフトウェア開発が極めて難しいのと同様、脆弱性が発生しないソフトウェアを作成するのは困難である。そのため、脆弱性への対処がサイバーセキュリティにおける大きなテーマであり続けている。
脆弱性と脅威
2020年にIPA(独立行政法人 情報処理推進機構)が発表した、「情報セキュリティ10大脅威2020」によれば、ビジネスメール詐欺や情報漏えいに関する幾つかの脅威を別にすれば、組織に対するサイバーセキュリティ上の脅威のほとんどが、脆弱性の悪用をきっかけとしたものである。あらかじめ脆弱性がふさがれていれば、これらの脅威に対する影響を最小限にすることができる。
例えば、IPAの10大脅威における第1位である標的型攻撃では、メールの添付ファイルや悪意のあるWebサイトを通じて、ターゲットとする特定組織内のPCをマルウェアに感染させ、そのPCを経由してさまざまな情報を盗み出す。この時、マルウェアに感染時、あるいはマルウェアの活動時、その端末が持つ脆弱性を悪用する。こういった脆弱性をふさぐことが、これらの脅威に対する防御策となる。
各種ウイルス、ワームなど「マルウェア」といわれる悪意あるソフトウェアは、その動作や結果はそれぞれ異なるが何らかの脆弱性の悪用を起点としている。だからこそマルウェアが悪用している脆弱性を予防的にふさぐ作業は、極めて基本的かつ有効な対策となり得る。
脆弱性情報の取得
脆弱性をふさぐには、まず脆弱性の情報を手に入れる必要がある。世界で最も包括的かつ信頼されている脆弱性情報源は、米国政府が支援している非営利団体のMITREが管理しているCVE(Common Vulnerabilities and Exposures)である。個々の脆弱性にCVE番号が割り当てられると同時に分かりやすい名前が付けられる。CVEは脆弱性情報のインデックスのような役割であり、そのCVEの詳細情報はMITREのスポンサーであるNIST(National Institute of Standards and Technology)が管理するNVD(National Vulnerability Database)で提供されている。CVEが目次でNVDが本文のような形だ。NVDでは各CVEに対してCVSS(Common Vulnerability Scoring System)という各CVEの危険度を表す0から10.0までの採点が行われている。
- CVE:脆弱性のインデックス
- NVD:CVEの詳細情報とCVSSを提供
- CVSS:各CVEの危険度を採点
この時、「CVEは脆弱性の全てではない」という点には注意が必要だ。CVEは公共性を重視し、世の中で使用されている製品が対象であり、ユーザーがカスタムで作成したプログラムやWebインタフェースなどは当然ながらカバーされない。加えて、SaaSなどのWebベースのクラウドサービスでも、脆弱性の修正についてはサービス事業者が責任を持つため、広くユーザーに通知する役割を持つCVEは割り当てられない。
各ソフトウェアベンダーが提供している一次情報も重要である。脆弱性がベンダーの製品で発見された場合、そのベンダーからユーザーへの情報の通知はCVEの採番より時間的に早い場合が多い。CVEだけではなく、MicrosoftやRed HatなどのOSベンダーや、主要なビジネスソフトウェアベンダーからの緊急セキュリティ情報を受け取る体制作りが求められる。
脆弱性の悪用
例として著名なマルウェアであるWannaCryが、「どのように脆弱性を悪用して感染していったのか」、そして「どのような脆弱性対策が有効であったのか」を見ていく。
2017年5月12日を起点として世界中で爆発的に流行したWannaCryは、ランサムウェアと呼ばれる身代金要求を行うマルウェアの一種だが、ワーム(自己増殖する機能を備えたプログラム)として自ら感染を広げていく機能を持つ。WannaCryの感染に利用されたのが、「EternalBlue」として知られる攻撃ツール(exploit)であり、Microsoft Windowsの脆弱性を悪用したものだ。EternalBlueはWannaCryだけではなく、他のマルウェアにおいても繰り返し感染の目的において利用されており、Windowsのファイル/プリンタ共有プロトコル「SMB(Server Message Block)v1」に存在する脆弱性を悪用し、遠隔から攻撃者が任意のコードを実行することを可能とする。
余談ではあるがリークされた情報によると、「EternalBlueは元々、米国家安全保障局(NSA)が諜報目的で作成した、長く隠匿されていた攻撃ツールである。このツールがNSA外部に漏れてしまった可能性があることを受けて初めて、NSAはMicrosoftに脆弱性の通知を行った」とされている。このため、NSAはMicrosoftからの非難を筆頭に各方面から大きな批判を受けている。
EternalBlueが悪用した脆弱性は、Microsoftでは「MS17-010」で2017年3月15日に発行しサポート対象であるWindows OSに修正プログラムを配布し、サポート対象外のOSではSMBv1サービスを閉じるように通知している(流行開始後の5月13日にはサポート対象外であるWindows OSにも特別に修正プログラムを配布している)。なおCVEでは、「CVE-2017-0144」で2017年3月16日に発行されている。ここから58日間の間に、さらにMicrosoftはMS17-010を含む月例セキュリティロールアップを3度リリースしている。ここから考えられる、WannaCryに感染したユーザーにおけるセキュリティ対策の問題点は下記2点だ。
- 全く修正プログラムを適用しないWindows OSがLAN内に存在した
- サポート対象外であるWindows OSのSMBv1サービスを放置した
WannaCry後の脆弱性対策
WannaCry以前は脆弱性があったとしてもインターネットにつながれていないクローズド環境や、ファイアウォールに守られたプライベートネットワークならばリスクは低いと考えられていた。そのため、「外部に接続されている公開サーバだけ脆弱性対策を行うことで十分だ」と考える組織も多かった。しかし、ラップトップ端末は移動する。どこかでマルウェアに感染したPCを、脆弱性が放置されているLANに接続すれば、感染は拡大する可能性があることをWannaCryは明確に示している。
PCの持ち出しを禁止する組織もあるが、ユーザーの利便性が大きく損なわれており、新型コロナウイルス感染症をきっかけとしたリモートワークなどの働きやすさを考えれば今後もPC持ち出し禁止が継続するとは考えにくい。解決策としてのVDI(仮想デスクトップインフラストラクチャ)の利用も進んだが、アプリケーションの性能に影響があり、これもユーザーの利便性が大きく損なわれている。
こういった理由で、組織内の端末における脆弱性そのものへの対策に注目度が上がってきている。次回の記事では、リモートワークとセキュリティ上の脅威について、脆弱性管理の観点から説明する。
関連記事
なぜ、「脆弱性」はなくならないの?
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。
緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。