Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた:特集:1P情シスのための脆弱性管理/対策の現実解(1)
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回は、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、いまそこにある問題点や「企業がどう対策すべきか」について聞いた。
オープンソースソフトウェア(OSS)の利用が当たり前になった今、“脆弱性”情報をいち早く押さえることは非常に重要だ。その対応の早さが企業の存続をも左右するようになっている。システムの脆弱(ぜいじゃく)性を考えたとき、現在ではソフトウェアの脆弱性だけでなく、ハードウェアに近い部分の脆弱性、設定に起因するグレーゾーンの脆弱性、そして組織の脆弱性も考えていかねばならない。
多種多様な脆弱性に対応するには、公開された情報を基に、企業そして情報システム部門などの現場の担当者がそれをどう生かすかに焦点が当たっている。そこで、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、今そこにある問題点や「企業がどう対策すべきか」について聞いた。
脆弱性は終わらない
――脆弱性に関する事件が次々と明らかになっています。最近、piyokangoさんの印象に残る、特徴的な脆弱性はありますか?
piyokango氏 最近の事例とはもう言えないかもしれませんが、やはり「Apache Log4j 2」(以下、Log4j)の脆弱性(CVE-2021-44228)に関連する状況を挙げたいと思います。この脆弱性は2021年末に大きく注目され、テレビや新聞などのメディアでも広く取り上げられました。
2021年12月の公表直後には、脆弱性を悪用する活動に関連した観測情報もありましたが、この脆弱性に関連したインシデントは多くありませんでした。多くの方の尽力により、真っ先に狙われる、インターネット上に公開されたシステムへの対応が迅速に行われた成果だと思います。
では、なぜ私がそれを“最近”として取り上げたのかというと、このLog4jに関する脆弱性の影響は、今もなお続いているからです。米国のサイバーセキュリティインフラセキュリティ庁(CISA)がLog4jの脆弱性に関連するアドバイザリーを2022年6、7月と続けて出しています。「脅威アクターによってLog4jを悪用したシステムへのサイバー攻撃が依然として続いているので、警戒せよ」と注意喚起したものです。
思い返すと、SANS Technology Institute(以下、SANS)の研究者(Johannes Ullrich氏)が、2021年12月にLog4jの脆弱性がいったん落ち着いたタイミングで、「Log4jへの対応はマラソンのようになる。そのように考えよう」とコメントしたことが記憶に残っています。Log4jはライブラリであり、「システムの中のどこで使われているか」を特定することが重要ですが、Log4jが内包されているシステムを漏れなく見つけ出す必要がある場合は時間も相応に要してしまうこともあります。その意味で“マラソン”と表現したのかもしれません。
CISAの注意喚起を見ると、Log4jそのものではなく、その脆弱性を悪用した「VMware Horizon」「VMware Unified Access Gateway(UAG)」への攻撃に警戒せよという内容になっています。これら脆弱性の修正自体は2022年1月にパッチが公開されましたが、これを適用できていない組織が攻撃を既に受けている可能性があるのです。CISAがこのような内容で注意喚起を2回にわたって出すということは、より深刻な被害につながりかねない状況が発生しているのではないかと推測できます。
――対応が進む組織、対応が遅れる組織が二分化しているという印象です。
piyokango氏 対応が遅れてしまう組織は、脆弱性に関して「知らなかった」という場合もあれば、「知っていて、優先順位が低かった」という場合もあるでしょう。仮に知っていた場合でも、まさに今のように脆弱性に関連する情報が落ち着いてしまったことで「攻撃も既にやんだ」と誤解したり、対象のシステムがインターネットにつながっていなかったりすることで、「パッチ適用の優先度は下げてもよい」「月次や四半期ごとといった定期的な対応でよい」と判断してしまう場合もあるのではないでしょうか。
しかし今では、他の手段で社内システムの境界内に入り込み、その後内部のネットワーク上に存在する脆弱性を狙う攻撃もあるわけです。
「スプリントレース」から始まり「マラソン」に続く
――社内システムの対応が遅れる場合も多いでしょうね。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か?
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。
セキュリティのトレンド:なぜLog4Shellの脆弱(ぜいじゃく)性は攻撃され続けるのか
2021年12月、Apache Log4jの脆弱(ぜいじゃく)性であるLog4Shellの情報が公開された。本稿ではLog4Shellの概要と、なぜ攻撃者がLog4Shellを悪用するのかを解説する。
無知? 怠慢? 脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由――パッチマネジメント自動化はどんな効果があるのか
パッチ適用の時間を短縮する「自動化」について解説する連載。初回は、脆弱性を突かれた企業がセキュリティパッチを適用できなかった理由、「そもそもパッチ適用作業とは何をするものなのか」を整理します。パッチ適用全体を管理する業務「パッチマネジメント」と、その自動化がもたらす効果についても解説します。