トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向:“バグハンター”共通の苦労も(2/2 ページ)
最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、数年前に指摘された古い脆弱性がいまだに悪用されることが多いという。最近の脆弱性の傾向と、企業や組織が向き合うべき姿勢とは。トリップワイヤの脆弱性調査チーム「VERT」のエンジニア2人に話を聞いた。
VERT調査員も経験しているバグハンターの苦労
オラクル製品やLinuxカーネルなど、さまざまなソフトウェアの脆弱性調査を行ってきたというヒブズ氏。同氏が愛用しているのは、検証用にさまざまな環境を再現するVMwareの他、WiresharkやTCPdump、Regshot、Kali LinuxにNmap、BinWalk、IDA Proといった、セキュリティ研究者にはおなじみのツール群だ。そして時にはPythonを活用してツールを作成し、作業の自動化にも取り組んでいるという。「セキュリティ研究者にとっては、プログラミングスキルも大切だ」(ヒブズ氏)
同氏は、「脆弱性調査の一部を自動化することで、限られた人手でも、多数の脆弱性に一貫した形で対応できるようになる。手作業でカバーできる範囲はどうしても限られる。より簡単な問題への対処を自動化することで、全体を見渡し、人間がより複雑な問題に注力できる」とも述べている。
VERTではこうして検証した脆弱性を、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)をベースに幾つか独自の指標を加味してスコアリングし、IP360で管理できる形で提供している。時には未知の脆弱性を発見し、ベンダーと調整を図ることもあるというが、その過程では個人のセキュリティ研究者同様に、「返事が返ってこない」「脆弱性の深刻度や影響範囲について合意が得られない」といった苦労もあるようだ。
こうした経験を踏まえて同社は、「責任ある公開(Responsible Disclosure)は相互協力に基づくもので、リサーチャーとベンダー、双方の適切な対応とお互いへの配慮が必要だ」と述べている。
特にベンダーには、セキュリティ専用の連絡先を公開しておき、脆弱性に関連する情報を受け取ったら迅速に調査、トリアージ(事案を緊急度などによって分類し、対策の優先順位を決めること)の体制を整えておくこと、その過程で、修正や公表に向けたスケジュールをリサーチャーと共有することが望ましいとした。また、自社の製品に存在する脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」も、基準や支払条件を適切に定義した上で実施すれば「成熟したセキュリティプログラムに向けた論理的な一歩となる」と位置付けている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- トリップワイヤが「IP360」をバージョンアップ、仮想アプライアンスを追加
トリップワイヤ・ジャパンは2014年4月17日、企業向けの脆弱性管理製品「IP360」のバージョンアップを発表した。これまで提供してきた物理アプライアンスに加え、仮想アプライアンスも提供する。 - 脆弱性情報を読み解く際の必須用語、exploit(エクスプロイト)とは
セキュリティ専門家が時事ネタを語る本連載。第35回はセキュリティ用語としての「exploit(エクスプロイト)」について解説します。 - サイボウズ、バグハンターたちに向け「感謝祭」を開催
サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。