サイバー攻撃の足掛かりとなるのがソフトの脆弱性。攻撃者は脆弱性が見つかった日から攻撃を仕掛けてくる。今日は脆弱性の無い安全なシステムでも、明日は分からないのが現状だ。脆弱性情報の収集を日々怠らず、事故の未然防止に注力しよう。
セキュリティ事故(インシデント)の発生後の対応に加え、未然防止に向けた予防的な役割もCSIRT(セキュリティ事故対応チーム)に求められます。今回は予防につながる、脆弱性情報の収集と対応を解説します。
セキュリティを取り巻く状況は刻々と変わります。導入時点ではセキュリティ上の問題がないシステムでも、新しい脆弱性や攻撃手法の公開によって新しい問題が生じることはよくあります。気付かないまま放置すると、新しい攻撃に遭って致命的なインシデントを引き起こしかねません。
インシデント対応は多くの労力がかかるものです。防げる事故はあらかじめ先回りして事故の芽を摘みましょう。そのため、CSIRTは猛威をふるっている攻撃手法や最新の事件や事故といった脅威情報、脆弱性情報を常に収集、分析し、状況によっては緊急性を持って対応します。
脆弱性情報を毎日チェック
攻撃者側の技術レベルは高まっており、OSや各種ソフトウエアの脆弱性が公開されてから攻撃が始まるまでの期間はどんどん短くなっています。ソフトウエアの開発元などから脆弱性情報がリリースされるとすぐに攻撃者は解析を始め、ソフトウエアのどこにどのような脆弱性が存在するかを特定し、攻撃コードを開発してきます。
例えば、「Shellshock」と呼ばれる有名な脆弱性が2014年9月25日に公開されました。LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」に見つかった危険な脆弱性で、リモートから任意のコードを実行できるものです。
実は公開当日にShellshockの脆弱性を悪用する攻撃が確認されています(図1)。脆弱性情報が公開された場合、それを使って侵入されるのは時間の問題と胆に銘じるべきです。
