Trellixが15年前公表のPythonモジュール脆弱性について約58万レポジトリを調査、いま何件存在する?:セキュリティ・アディッショナルタイム(48)
McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業Trellixは2022年9月28日、カンファレンスをラスベガスで開催し、一部をオンラインで配信。リサーチ部門Trellix Advanced Research Center(ARC)の設立を発表した。ARCが15年前に公表したPythonのtarfileモジュールに存在するパストラバーサル脆弱性について約58万の公開レポジトリを調査したところ、今なお存在する割合は高いものだったという。
ランサムウェアによる被害が急増し、脆弱(ぜいじゃく)性を突いた不正アクセスも後を絶たない中、かつてに比べると企業トップもセキュリティ対策の必要性を認識するようになってきた。政府や監督省庁からの注意喚起、あるいはグループ企業や取引先からの要請で、セキュリティ対策に取り組まざるを得ないという背景もあるだろう。
ただ今度は別の課題が浮上してきた。被害を防ぎ、事業への影響を抑えるためにさまざまな製品を導入したのはいいが、現場のIT担当者、セキュリティ担当者の負荷が増大しているのだ。それは海の向こうの米国でも同様のようだ。
米国のセキュリティ企業、Trellixは2022年9月28日にカンファレンスをラスベガスで開催し、一部をオンラインで配信した。同社は独自の調査結果を踏まえながら、セキュリティ運用負荷の増大という課題にどう取り組むべきかの指針を紹介した。
攻撃の増大を前に疲弊するセキュリティチーム
Trellixは、McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業だ。両社の資産を生かしつつ、機械学習(ML)技術や自動化を組み合わせたeXtended Detection and Response(XDR)製品を軸に事業を展開している。
同社CEOのブライアン・パルマ氏は基調講演の中で、現在のセキュリティ状況の特徴を4つ挙げた。
1つは、国家が民間企業をターゲットにしたサイバー攻撃を展開していることだ。その手段として頻繁に用いられているのが、攻撃の動きを隠蔽(いんぺい)しやすく、長期にわたって潜伏可能な「サプライチェーン攻撃」だという。「Solarwindsの一件が示した通り、国家が別の国家を攻撃するだけでなく、民間企業も攻撃するようになっている」(パルマ氏)
2つ目は、攻撃対象範囲「アタックサーフェス」の拡大だ。日本でも近年見られる傾向だが、電子メールによる攻撃に加え、SMSを用いた「スミッシング」が増加している。
3つ目は、以前から存在した標的型攻撃の増大で、特にランサムウェアが標的型攻撃の手法を取り入れ、中小・中堅企業から大手企業に至るまで、多くの民間企業に甚大な損害を与えている。
そして、これらの帰結でもあるが、4つ目のポイントが「セキュリティチームの疲弊」だ。ただでさえセキュリティに関する知識を持った人材は不足しており、新たにセキュリティ担当者を雇うのも、転職せずに社内にとどまってもらうのも困難となり、ギリギリの運用を強いられているケースが多い。「そこに、自動化もされない形でさまざまなセキュリティ機器から多数のアラートが届き、セキュリティチームは燃え尽きている状態だ」とパルマ氏は指摘した。
Trellixが約9000人のセキュリティ専門家を対象にした調査結果からも、こうした実態は裏付けられている。回答者のうち89%は、「現在のセキュリティはサイロ化されている」、つまり「バラバラなツールやテクノロジーが乱立しており、統合されていない状態」と回答したという。
パルマ氏はTrellixのCEOに就任してから、さまざまな顧客と対話してきた。欧州のある企業のCISO(最高情報セキュリティ責任者)は「76種類のセキュリティツールを運用しており、そのうち30種類は重複している。つまり、同じようなことを別の担当者が別のツールで行っており、予算を無駄にしている状態だ。確かにスタッフは一生懸命働いてくれているが、スマートな状態ではない」と本音を漏らしたそうだ。
かつてペプシコのCISOを務めた経験があるパルマ氏は、こうした声はよく理解できるとした上で、上層部からのプレッシャーと業務に忙殺され、心が折れかけているセキュリティ担当者に対し、「XDRというシンプルなアーキテクチャを提供して問題を解決し、セキュリティオペレーション(SecOps)を革新する」とした。
「しばしばセキュリティ担当者からは、現在のSecOpsは、コストがかかる割には効果が上がらず、しかも非効率だという不満を耳にする。なぜならこれまでのSecOpsには、MLがないし、適切な意思決定に必要なインサイトも、自動化もないからだ。Trellixはこの状態を変えていきたい」(パルマ氏)
その一環としてTrellixは、リアルタイムな脅威インテリジェンスやIoC(Indicator of Compromise)を提供する基盤として、Trellix Advanced Research Center(ARC)の設立を発表した。数百名規模のセキュリティアナリストを擁し、攻撃手法やアクターの動向を調査し、TrellixのXDR製品に反映する。
ハリケーンに備えるには、気象情報を見て進路を予測するのが重要なのと同じように、サイバー攻撃においては敵を知り、どのように攻撃してくるかを知ることが重要だ。最新の脅威情報とそこから得られるコンテキストがあって初めて、脅威に対する準備を整え、いざというときに素早く対応できる。
増大するサプライチェーンのリスク、15年前の脆弱性が今なお影響
リサーチ部門のARCでは既に、WindowsのeBPF(extended Berkeley Packet Filter)を悪用したバックドアや、「REvil」ランサムウェアが構築したアフィリエイト網の実態など幾つかの知見をブログで公表する他、法執行機関とも協力し、テイクダウンに役立ててもらっている。
リサーチ成果の一つが、Pythonのtarfileモジュールに存在するパストラバーサルの脆弱性(CVE-2007-4559)に関する調査結果だ。これは、CVE番号が示す通り15年も前に公表された脆弱性だが、「15年前のこの脆弱性が、今なお影響を及ぼし続けている」と、Trellixのプリンシパルエンジニア兼脆弱性リサーチディレクター、ダグ・マッキー氏は述べた。
この脆弱性の危険度は「低」に分類されるものにすぎない。「しかし、Python tarfileモジュールはサプライチェーンの一部となっており、著名なフレームワークを通して多くのWebアプリケーションに大きなインパクトを与える恐れがある」(マッキー氏)という。
試しにARCが、約58万の公開レポジトリを対象に脆弱なtarfileモジュールの有無を調査したところ、全体の61%に当たる約35万件が該当することが判明した。「しかもこれは、オープンソースソフトウェアのプロジェクトのみを対象にしたもので、クローズドなソフトウェアにも影響を与える可能性がある。一方で、この数字は攻撃者にとっては十分魅力的なオッズだ」とマッキー氏は警告する。
これを踏まえARCでは、アプリケーションにCVE-2007-4559の脆弱性が存在するかどうかを開発者がチェックできるツールを開発し、GitHubで公開している。
これは、あくまでサプライチェーン攻撃の一例にすぎない。マッキー氏は「IBMリサーチのレポートによれば、攻撃の20%がサプライチェーンに起因し、被害額は446万ドルに上るとの数字もある。しかも、サプライチェーン攻撃では侵害に気付くまで平均で235日もの期間がかかり、その間、攻撃者がネットワーク内をうろつくのを許すことになる」と、ソフトウェアサプライチェーンに潜むリスクを指摘した。
そしてあらためて、自分たちがどのようなライブラリやコンポーネントを利用しているかを把握し、適切に利用、管理していくことが重要だとした。
ML技術を生かし、最新の脅威情報を反映したXDRで問題の解決を
Trellix XDRは、McAfeeとFireEyeから継承した製品群をベースに、エンドポイントに加え、ネットワーク、クラウド、メールなどからデータを収集し、MLを駆使して自動的に解析を加え、セキュリティ運用を支援する。
製品最高責任者を務めるアパルナ・ラーサム氏は、「より多くの攻撃と、テレワークも相まって増え続けるデバイス、広がるアタックサーフェスといった要因から、現在のセキュリティ担当者は複雑さに取り巻かれている。Trellixはこれまでのポイントソリューションに新たなレイヤーをもう1つ追加するのではなく、統合されたエンタープライズプラットフォームを提供する」と述べた。
Trellix XDRの特徴の一つは、ML技術を駆使して対応、修復までを自動化し、人手不足の中でも運用できるようにすることだという。さらに幅広いパートナーと連携し、さまざまなリソースからデータを収集しつつ、1つの統合されたコンソールを通して状況を把握できるように支援するとした。
TrellixはXDRにARCのナレッジを組み合わせることによって、「敵がどこから来て、何をターゲットにしているか」といったコンテキストを踏まえながらシステムを堅牢(けんろう)化し、よりよい備えができる。さらに、「どのマシンが感染したか」「何をブロックしたか」といった事柄を特定、検知するだけでなく、プレイブックを用いて封じ込めや調査までも自動化できるようになるという。
「プラットフォームにコンテキストを加味し、自動化することで、レスポンスに要する時間を短縮し、セキュリティ運用課を効率化できる。つまり、より少ないリソースでより多くのことを達成でき、また一過性の対策だけでなく再発防止に向けたサイクルを回すことができる」(パルマ氏)
同社はTrellix XDRを、スタティックなツールではなく、企業それぞれの環境や事情に合わせてカスタマイズやパーソナライズが可能なプラットフォームとして提供する。検知や対応にとどまらず復旧フェーズまで自動化することで、「適合的かつ柔軟で、学習し続ける、『生きたセキュリティ』というコンセプトを実現する」とした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
OSSのサプライチェーン、脆弱性に課題あり
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
BPFのアーキテクチャ、命令セット、cBPFとeBPFの違い
Linuxにおける利用が急速に増えている「Berkeley Packet Filter(BPF)」について、基礎から応用まで幅広く紹介する連載。今回は、Linuxで用いられるBPFのアーキテクチャなどを説明する。