ここから本文です

ハッキング集団「ShadowBrokers」と沈黙のNSA (5) 全てはロシアのシナリオ通り?

THE ZERO/ONE 9/15(木) 12:18配信

前回は、Shadow Brokersが公開したファイルによって発見された複数の脆弱性について説明した。特にエクスプロイト「EXTRABACON」が標的とするCiscoのファイアウォール製品に存在していたゼロデイが深刻だったことや、その対応にCiscoが追われたことはお伝えした通りだ。

せっかくのパッチが適用されていない?

しかし、犯罪者よりも先に脆弱性に対処し、自社製品(とりわけ比較的新しいバージョンのASA)の顧客を守るために奮闘したCiscoの努力も、顧客がパッチを適用しなければ意味がない。この点に注目したのが、セキュリティ企業Rapid 7のDerek AbdineとBob Rudisだった。

彼らはRapid 7のブログの中で、まずEXTRABACONのエクスプロイトの複雑さを説明している。この攻撃を実行するためには様々な条件をクリアしなければならないため、全てのASA製品のユーザーが深刻な危険に晒されているわけではないと前置きしたのち、次のように述べた。

「とはいえEXTRABACONの脆弱性は、コアネットワークのセキュリティ基盤のデバイスにおける極めて致命的な脆弱性であり、またCiscoが発表したパッチは(通常の環境であれば)簡単かつ安全にあてられるものだ。ほとんどの組織は、このパッチの入手とテストを行い次第、すぐにでも適用するのが賢明である」

「このエクスプロイト(EXTRABACON)が公開されたことに対して、Ciscoは賞賛に値する取り組みで(顧客の)組織が適用できるパッチを用意した。そして我々Rapid7 Labは、『現在、外部に接しているCisco ASAデバイス』と、『それらのデバイスのうち、どれほどの数がパッチを適用していないのか』の両方を確認できるかどうかを知りたいと考えた」

そして彼らは「Project Sonar」(外部に接しているIPアドレスを調査するRapid 7のプロジェクト)を活用した調査に乗り出した。まずRapid 7は前回のスキャンの際に、5万台以上のCisco ASA SSL VPNデバイスを発見していた。同社は、これらのデバイスが「最後にリブートされた時間」に注目した。なぜなら、使用しているデバイスにパッチを適用した際には再起動を行う必要がある。つまりパッチの配布日以降、最終リブートのタイムスタンプが一度も更新されていない場合、そのデバイスにはパッチが当てられていないことが分かる。

Rapid 7が確認していた約5万台のデバイスのうち、1万2000台からはタイムスタンプを取得することができなかった。しかし残りの3万8000台のうち1万97台(26%)は8月29日から12日以内に再起動が行われていることが分かった。それらはパッチを当てた可能性が高い。しかし残りの2万8000台(74%)にはパッチが適用されていなかった、ということになる。

この調査報告のページには、Rapid 7が把握している組織のうち「10台以上のVPN ASAデバイスを導入している世界の15組織」を挙げたリストが掲載されている。その筆頭に挙げられているのは、55台のデバイスを利用している日本の大手通信プロバイダ(社名は非公開)だが、その企業は過去33日間、リブートを行っていないと報告された。

しかし、その日本企業だけが特に怠慢だったわけではない。15組織のうち、パッチの適用が済んでいた可能性が高いのは2組織のみ(ベトナムの大手金融企業、スイスの大手テクノロジー企業)だけだった。たとえば23台のデバイスを利用している米国の大手テクノロジー企業も27日間、20台のデバイスを利用している米国のヘルスケア企業は47日間もリブートをしていないことが記されている。

1/3ページ

最終更新:9/15(木) 12:18

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]