前回に引き続き、2014年4月以降、重要性の高い脆弱性が相次ぎ見つかった問題について述べる。今回は、システム管理者や開発者が意識すべき脆弱性との付き合い方に関して考えよう。

脆弱性問題はすべて解決していない

 4月に発生した「HeartBleed」と「Struts」に関わる脆弱性について、多くの組織で対応に苦慮したものと推測している。一般にWebサイトでは、ゴールデンウィーク連休休みを利用してシステムの入れ替えを実施することが多い。4月はその最終準備に追われるタイミングだが、さらに脆弱性への対応を余儀なくされたのである。

 しかも、脆弱性問題はすべて解決したわけではない。この原稿を執筆している間にもHeartBleed問題を引き起こした、オープンソースの暗号通信ソフト「OpenSSL」について、中間者攻撃(Man-in-the-Middle attack)によって暗号化したはずの通信内容を読み取られ、改ざんされるなどを許してしまう「CCSインジェクション(ChangeCipherSpec Injection Vulnerability)」など複数の重大な脆弱性が発見された。この問題の解決には、最新プログラムを使うようにという注意喚起があったため、またも貴重な週末が消えてしまった技術者が多数いたのではないかと推測している。

 暗号化通信という信頼の基盤を支えるプログラムで脆弱性問題が相次いで露呈したのは、セキュリティに携わる人間にはとても痛いことだ。恐らくまだ埋蔵されている可能性があり、今後も噴出するものと覚悟しななくてはならないだろう。そういう観点ではOpenSSL自体の使用をやめて、評価の高い別のプログラムを適用することを検討してもよい。

 筆者が属しているラックのセキュリティ監視センター(JSOC)では、HeartBleedを狙った攻撃の実態を調べてみた(図1)。

図1●2014年4月以降のサイバー攻撃の推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」)
図1●2014年4月以降のサイバー攻撃の推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」)
[画像のクリックで拡大表示]

 グラフの青線が観測した全攻撃の件数の変化である。真ん中あたりで急激に増加し、その後横ばいとなったが、以前より攻撃が件数が2倍程度増えていることが分かる。グラフの赤線は、全攻撃のうち中国に割り当てられたIPアドレスからの攻撃件数となる。