ここから本文です

トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向、バグハンターの苦労

@IT 10/14(金) 18:49配信

 セキュリティ企業のトリップワイヤ・ジャパンは、脅威の監視/改ざん検知を行う「Tripwire Enterprise」に加え、ネットワーク全体にまたがって脆弱(ぜいじゃく)性やリスクを管理する「Tripwire IP360(以下、IP360)」を提供している。このIP360が参照する脆弱性情報を作成し、更新しているのが、専門の脆弱性調査チーム「Vulnerability and Exposure Research Team」(VERT)だ。

【その他の画像】バグハンター共通の苦労とは……

 VERTでは米マイクロソフトや米オラクルをはじめ、主要なベンダーが提供するソフトウェアの脆弱性情報を検証する他、顧客から寄せられる要望やバグレポートに応じて特定のアプリケーションについても脆弱性調査を行い、IP360で管理できる形で情報を提供している。

 このVERTのセキュリティ調査員として脆弱性の調査や分析に取り組んでいるレーン・テムズ氏とダーリーン・ヒブス氏に、最近の脆弱性の傾向と、企業が向き合う姿勢について尋ねた。

●エクスプロイットキットで使われるのは、イノベーティブな手法ではなく「古い脆弱性」

 既にさまざまな専門家が指摘している通り、最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、一から独自に作成されることはほとんどない。大抵は、脆弱性を悪用するエクスプロイットキット(Exploit Kit)やフレームワークを活用し、犯罪者それぞれがカスタマイズを加える形でランサムウェアやボットなどを作成する。それが最近のマルウェア増加の要因の1つとなっている。

 テムズ氏がそんなエクスプロイットキットやフレームワークが悪用する脆弱性を調査したところ、興味深い傾向が明らかになったという。これは米ベライゾンのデータ漏えい調査レポートでも指摘されていることだが、「いまだに数年前に指摘された古い脆弱性が悪用されるケースが多い」のだという。

 同氏は2006年以降に登場したエクスプロイットキットを調査し、それらが悪用する脆弱性をCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)ベースで調査した結果、「2010年前後はJavaやアドビの脆弱性が標的になった。また、2013年にはJavaに多くの脆弱性が見つかり、これらは攻撃者にとって魅力的なターゲットとなった。ところが2014年以降、新しい脆弱性がエクスプロイットキットに取り込まれるケースが減少していた。これは想定外の結果だった」と述べた。フレームワークについても同様の傾向が見られたという。

 テムズ氏は、エクスプロイットキットやフレームワークが悪用する脆弱性の数について、ロジスティック方程式を参考に分析を加えた。その結果「いわばマーケットが飽和しており、新たな脆弱性をエクスプロイットキットやフレームワークに組み込もうとする意欲が低下している」と結論付けている。

 事実、古い脆弱性を狙った攻撃はいまだに有効だ。その一例が、世界30カ国、130以上の産業/製造業関連組織や企業を狙った標的型攻撃「Ghowl(グール)」だ。「この手法は特に革新的なところはなく、使い古された手口が用いられている」(テムズ氏)。それにもかかわらず、人という弱い鎖をフィッシングを使って突くことで、比較的セキュリティを重視してきた企業や組織に影響を与えたという。

 「理由は幾つかあるが、まず、自社にどんなシステムがあるかを把握していない組織が多い。つまりパッチマネジメントに問題があるわけだが、これはIP360などのツールで支援できるだろう。だが規模の大きな企業や組織では、レガシーシステムとの互換性の問題もある。今までのシステムを動かし続けなければならない環境では、パッチを適用するとアプリケーションの動作に支障が出てしまう恐れがある」(レーン氏)

 レーン氏は、クラウドコンピューティングの活用や、短いサイクルの中で開発を行い、問題を解決していくDevOpsやCD(継続的デリバリー)/CI(継続的インテグレーション)、アジャイル開発といったトレンドが、こうした問題を緩和できる可能性があると述べた。「DevOpsやCD/CIの一部として、新しい変更をデプロイする際にパッチを適用すればいいし、もし問題が起きたら修正するか、ロールバックすればいい」(レーン氏)。ひいてはテスト駆動型開発の中で、アプリケーションが期待通りの機能を満たすだけでなく、セキュリティ要求も満たしていると確認し、セキュリティを最初から組み込めるようになるのではないかと期待を述べている。

●VERT調査員も経験しているバグハンターの苦労

 オラクル製品やLinuxカーネルなど、さまざまなソフトウェアの脆弱性調査を行ってきたというヒブズ氏。同氏が愛用しているのは、検証用にさまざまな環境を再現するVMwareの他、WiresharkやTCPdump、Regshot、Kali LinuxにNmap、BinWalk、IDA Proといった、セキュリティ研究者にはおなじみのツール群だ。そして時にはPythonを活用してツールを作成し、作業の自動化にも取り組んでいるという。「セキュリティ研究者にとっては、プログラミングスキルも大切だ」(ヒブズ氏)

 同氏は、「脆弱性調査の一部を自動化することで、限られた人手でも、多数の脆弱性に一貫した形で対応できるようになる。手作業でカバーできる範囲はどうしても限られる。より簡単な問題への対処を自動化することで、全体を見渡し、人間がより複雑な問題に注力できる」とも述べている。

 VERTではこうして検証した脆弱性を、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)をベースに幾つか独自の指標を加味してスコアリングし、IP360で管理できる形で提供している。時には未知の脆弱性を発見し、ベンダーと調整を図ることもあるというが、その過程では個人のセキュリティ研究者同様に、「返事が返ってこない」「脆弱性の深刻度や影響範囲について合意が得られない」といった苦労もあるようだ。

 こうした経験を踏まえて同社は、「責任ある公開(Responsible Disclosure)は相互協力に基づくもので、リサーチャーとベンダー、双方の適切な対応とお互いへの配慮が必要だ」と述べている。

 特にベンダーには、セキュリティ専用の連絡先を公開しておき、脆弱性に関連する情報を受け取ったら迅速に調査、トリアージ(事案を緊急度などによって分類し、対策の優先順位を決めること)の体制を整えておくこと、その過程で、修正や公表に向けたスケジュールをリサーチャーと共有することが望ましいとした。また、自社の製品に存在する脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」も、基準や支払条件を適切に定義した上で実施すれば「成熟したセキュリティプログラムに向けた論理的な一歩となる」と位置付けている。

[高橋睦美,@IT]

最終更新:10/14(金) 18:49

@IT

なぜ今? 首相主導の働き方改革