連日の「深刻な脆弱性」の報道から何を得て、情報をいかに咀嚼していくべきなのか(1/3 ページ)
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITが、2017年8月30日に開催したセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』のレポート、後編をお届けする。
@ITは、2017年8月にセミナー『連日の「深刻な脆弱(ぜいじゃく)性」どう向き合い、どう対応するか』を東京で開催した。本稿では、レポートシリーズの後編として、前編同様、多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けする(前編記事)。
WannaCryから数カ月、一連の報道から得られる教訓とは?
多くの企業のセキュリティ担当者は、ベンダーから得られる情報の他、ニュースや脆弱性情報を集約するサイトを通じて脆弱性情報を把握し、対応に取り組んでいることだろう。自社システムをよりよく守るために、どのようにこれらの情報を受け止め、生かすべきだろうか?
「セキュリティリサーチャーズ脆弱性ナイト(世界のどこかはきっと夜)」と題するパネルディスカッションでは、根岸征史氏(インターネットイニシアティブ)、辻伸弘氏(ソフトバンク・テクノロジー)、piyokango氏という日本を代表するセキュリティリサーチャー3人がそのヒントを紹介した。
2017年前半、世界各地に被害をもたらしたランサムウェア「WannaCry」を巡っては、一時期非常に多くの報道があった。最近でこそ報道は沈静化したが、「そこから得られる教訓はたくさんある」と根岸氏は振り返った。
辻氏は「大きな騒ぎになった事件を見ると、話題やニュースのピークと、実際の攻撃のピークがリンクしていないことがある。ニュースのトーンが下がった後も攻撃はまだ終わっていないことがあるし、その逆もある」と問題を提起した。
その端的な例がWannaCryだ。「話題になったのは2017年5月だが、予兆は1月ごろからあった」(piyokango氏)。WannaCryはWindowsの脆弱性を悪用して拡散したが、その脆弱性を修正するパッチは3月に公開されていた。こうした状況を踏まえると「きちんと計画的にパッチを当てていれば、2カ月間の猶予の間に防げた可能性は高い。また、脆弱性を悪用して自動的に感染させる攻撃コードが公開されたのは4月のことで、そこから数えても猶予は1カ月あった。何がしかの対応をしなければまずいという信号は以前からあった」と根岸氏は指摘した。辻氏も「大騒ぎになったのは5月半ばだったが、それ以前に大々的に注意を呼び掛けられたタイミングは幾つかあったのではないか」と振り返った。
ニュースになった後も課題は残る。WannaCryに続いて、同じ脆弱性を悪用する別のマルウェア「Petya」が登場し、やはり大きな被害をもたらした。「あれだけの騒ぎがあったのに、1カ月たってもまだ同じ被害に遭う組織がある。根の深い問題だと感じた」(辻氏)。
根岸氏によると、「6月から8月にかけて、IIJではいまだにこの脆弱性を狙う攻撃を観測しており、今なお非常な勢いで広がっている。中には感染していることに気付いていないケースがあるのではないか」という。
これだけ騒ぎになった後でもなお感染が起こっている背後には、「インターネットに直接接続していないと思い込んでいた」「持ち出し・持ち込みPCなど感染経路の想定が甘かった」などの可能性が考えられる。いずれにせよ「起きる前の対応体制に加え、感染が起きたとしても何とかするための体制を整え、『もし同じことが起きたら自分たちは大丈夫か』と考えるところにWannaCryからの学びがあるのではないか」と根岸氏は一連の事件を振り返った。
受け取った脆弱性情報、咀嚼(そしゃく)のポイントは?
piyokango氏は「ニュースになると、どこか人ごとのように見てしまいがちだ。確かに脆弱性の情報を100%フォローするのは大変だが、後手に回ると対応が遅れてしまう。脆弱性をチェックする立場にある人は、脆弱性情報を意識して見るようにし、『うちに影響がありそうだな』と引っ掛かりを持てる感度を保つ方がいい」と述べた。
その大前提として必要になるのが「自分たちが使っているものを把握すること」(根岸氏)。辻氏も「情報セキュリティは情報管理の上に成り立つ」と述べ、どこにどんなソフトウェアがあり、どのようにつながっているか、またもし分からなければ誰に聞けば分かるのかを整理しておくことが重要だとした。
その上で課題となるのが、「脆弱性情報を把握したとして、それが自分たちの組織やシステムにどんな影響を与えるかの判断が難しい」ということだ。ベンダー側の脆弱性情報に「緊急」と書かれていた場合、本当に今すぐ対応すべきなのか、それとも少しは猶予があるのか。リソースが限られている中、どのタイミングで対応すべきか判断を下すのは非常に難しい。
辻氏は1つの考え方として、「例えば、インターネットに直接つながっていない場合は、優先度を下げてもいいと思う。脆弱性の深刻さを示す指標として有名なものが『CVSS(Common Vulnerability Scoring System)』だが、実は複数の基準で構成されていることはあまり知られておらず、ニュースでも大抵は『基本評価基準』の数値が報じられる。しかし僕が気にするのは、Exploitability(攻撃される可能性)だ。基本評価基準の数値が高くても、攻撃方法が難しく、実際に攻撃を食らう可能性が低ければどうということはないし、逆に、基本評価基準の数値が低くても、既に攻撃方法が存在するもの、攻撃コードが公開されているものは注意するようにしている」と述べた。
これを受けて根岸氏は「点数だけでは全ては測れない」と述べつつも、脆弱性を巡る情勢は日々変化しており、特に攻撃コードについては、いつ、どのタイミングで出てくるか分からず、把握が難しいことを指摘した。
この問題に対する1つの方法は「Twitterで当該CVEを検索すること。また、Exploit DBやCVE Detailsといったサイトの情報も役に立つ」と辻氏は説明し、「難しいとは思うが、ぜひユーザーの皆さんにも見てほしい。ベンダー依存ではなく、自分たちでも情報を集める術を持ってほしい」と呼び掛けた。
では「piyolog」ではどうやって情報を集め、まとめ、公開しているのだろうか。piyokango氏は、根岸氏のブログ投稿を見て自分なりにやり方を咀嚼し、実践してきたそうだ。基本は「報道を取っ掛かりにして調べ、徐々に知りたい範囲を狭めていく。また、Twitterでセキュリティ情報を積極的に投稿している人やトピックに詳しそうな人を探し、その人がどんなWebサイトを見ているかなどやり方を参考にしつつ、自分にとって最適な方法を模索している」という。
種明かししてもらうと非常に地道な作業だが、根岸氏も「ここだけ見ておけばOK、というような情報ソースはないし、時にはまとめ情報の中に誤りが含まれることもある。そのことを織り込んで、当事者全員がどのように情報収集していくかを考えていかなければいけない」と述べた。
1人CSIRTで情報発信している辻氏も、「最終的に守るのは自分たちのシステム。そのため、専門家の言っていることを受け止め、一歩踏み出すきっかけになればいいなと思っている」と述べ、パネルディスカッションを締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。 - 「日本型組織」はなぜサイバー攻撃に弱いのか
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポートをお届けする。 - 東京五輪からバグハントまで、多様な視点からサイバーセキュリティの“今”を探る
本稿では、@IT編集部が2016年6月23日に東京・青山ダイヤモンドホールで開催した「@ITセキュリティセミナー」レポートの第1弾をお届けする。