セキュリティ修正パッチの管理――迅速な適用が最も大切

2008.07.08

Symantec Security Response Weblog

「Patch Management -- Speed is of the Essence」より
June 19，2008　Posted by Hon Lau

　たいていの人は，ソフトウエアに存在するセキュリティ・ホールの情報が公開されると，それがトラブルの種になることをよく知っている。ところが対象ソフトのベンダーが情報を公開しても，セキュリティ・ホールの多くは修正パッチ未適用のままになることがある。セキュリティ・ホールから生ずるトラブルを効率よく解消するには，ベンダーとユーザーがそれぞれの役割を果たせば良い。ソフトウエア・ベンダーは，迅速に確実な修正パッチをリリースしなければならない。ユーザーは，リリースされた修正パッチをできるだけ早急に適用する必要がある。多くのソフトウエア・ベンダーは，修正パッチの作成と配布という自分たちの務めをきちんと果たそうとしている。ここでの問題は，リリース後すぐに修正パッチを適用しないユーザーがいまだに多いことだ。もっとも，ユーザーの立場で見ると，適用を遅らせたくなる理由はいろいろある。いずれにしろ，修正パッチのリリースから適用までの時間差が，攻撃を招くスキとなってしまう。

　先ごろDavid Brumley氏，Pongsin Poosankam氏，Dawn Song氏，Jiang Zheng氏という人物が，この問題の悪化につながるであろう興味深い研究レポート（PDF形式）を発表した。レポートでは，情報未公開だが修正パッチ適用済みのセキュリティ・ホールについて，攻撃用エクスプロイトを自動生成する手段が詳しく解説されている。それによると，あるソフトウエアで修正パッチ未適用と適用済みという二つのバイナリ・ファイルを比較して違いを見つければ，その修正パッチの対象とするセキュリティ・ホールを攻撃するエクスプロイトを作れる。この自動生成手段では，ほんの数分でエクスプロイトができるという。表面上，この方法で作るエクスプロイトは修正パッチ適用済みセキュリティ・ホールを狙うので，重大な話と思えない。ただし，実は二つの問題が存在するのだ。

　先の研究レポートで紹介された方法が使われると，あまり知られていないセキュリティ・ホールを容易に発見できるようになり，将来エクスプロイトの攻撃対象とされるものが増えかねない。情報不足のおかげで存在が知られにくかったり，攻撃者に見過ごされたりしていたセキュリティ・ホールも，見つけられる可能性がある。

　もう一つの問題は，修正パッチ適用の流れにある。よく知られているように，修正パッチの適用作業は一貫した手順が決まっておらず，なかなか進まない。過去に何度も悪用された問題であり，新たな修正パッチの提供されたセキュリティ・ホールが攻撃されて大きな被害につながってきた。このような状況になるのは，修正パッチの適用がスムーズに行われないからだ。さらに，IT業界では「修正パッチをリリース後すぐ適用するユーザーは多くない」ことが常識である。適用が先送りされる理由を以下に挙げておく。

・修正パッチを入手するにはダウンロードが必要で，多くの場合アップデート処理は自動化されていないため，ユーザーが自ら手作業で探さなければならない

・修正パッチが正常に機能する保証はなく，予想外の副作用をもたらすことがあり，場合によっては本物のセキュリティ問題と大差ないほど重大な問題を引き起こす可能性がある

　多くの企業は，極めて複雑で重要なITシステムを使っている。発生するかどうか分からないリスクを解消する目的でうまく動いているシステムに手を入れる行為そのものが，企業にとってリスクとなる。人間は「壊れていなければ直すな」という考えに陥りがちだ。この考えからは，少なくとも舞台をITセキュリティに絞る限り，現実世界と仮想世界で物事の動きが異なるという観点が抜け落ちている。現実世界なら，攻撃を企む連中が大挙してビルや自宅に押し寄せ，侵入手段となる守りの甘いところを探す事態など起こらない。なぜなら，そのような試みがうまくいくことは少ないうえ，危険を伴うからだ。ところが仮想世界では，大量の攻撃対象に接触して弱点を探したり，継続的に監視したりすることなど簡単にできる。つまり，インターネットにアクセスしていて偶然トラブルに巻き込まれることよりも，トラブルが向こうからやってくることの方が多い。ユーザー自身がセキュリティ維持につながるあらゆる手段を漏れなく，確実に実行することも，大きな負担となる。

　ユーザーは，使用中のITシステムに影響するであろう状況について，常に情報を集めるようにしなければならない。修正パッチをできるだけ早く入手して試験し，適用するとともに，警戒を怠らないようにしよう。パッチ適用が迅速に行われないまだだと，セキュリティ・ホールを悪用される危険性はなくならない。エクスプロイト自動生成に関する今回の研究レポートは，パッチ適用の遅れという問題に注目を集め，状況を現在よりも悪化させる可能性がある。実際に我々は，パッチ公開直後に修正対象のセキュリティ・ホールを狙う新たな脅威が現れたことを確認した。例えば，同僚のOrla Cox氏とMasaki Suenaga氏はブログで，修正パッチ公開済みセキュリティ・ホールに対する攻撃事例と，パッチ適用の遅れが攻撃成功の主要因だと報告した（Cox氏の記事/Suenaga氏の記事）。研究レポート（PDF形式）で示された手口が広まると，今後この状況はさらに進展し，悪用されるセキュリティ・ホールが増えるだけでなく，エクスプロイトが早く登場するようになるだろう。

　最後に要点をまとめておく。一般ユーザーも企業も，セキュリティ・ホール情報収集と修正パッチ管理を真剣に考え，自分たちのITシステムにかかわるであろう脅威を継続的に監視しなければならない。毎日公開される数多くのセキュリティ・ホールを追い続けることは，専任の担当者が必要になるほどの，絶えず適切な対応が求められる作業だ。

Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Patch Management -- Speed is of the Essence」でお読みいただけます。