サーバーへの不正侵入やマルウェアの拡散といったサイバー攻撃で、攻撃者に狙われているのはOSやミドルウェア、アプリケーションに潜む「脆弱性」です。そのため、脆弱性が発見されたときには、すばやくパッチを適用するなどの対処が必要となります。しかし、実際には多くの企業が脆弱性を突いたサイバー攻撃で被害を受けています。
脆弱性による被害を防ぐための「構成管理」「脆弱性管理」という管理手法について、NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏に話を聞きました。
短期化する脆弱性を狙ったサイバー攻撃の脅威
情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2018」を発表し、ランキング形式で今年注意すべきセキュリティ上の脅威を明かしました。
ランキングは個人と組織の2つのカテゴリに分かれており、組織のランキングで注目されているのが、前年ランク外から4位にジャンプアップした「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」です。

OSやアプリケーション、ミドルウェアなどに脆弱性が発見されたとき、通常はセキュリティ機関や開発元のベンダーなどがその情報を公開し、脆弱性を解消するためのパッチが提供されます。しかし場合によっては、パッチの開発に時間がかかったり、ユーザー都合で即座に適用できない(しない)といったケースもあります。このように、脆弱性情報の公開からパッチ適用までの間隙を縫って行われる攻撃が大きな脅威となっているわけです。
NTTコミュニケーションズのセキュリティ・エバンジェリストである竹内 文孝氏は、脆弱性情報が公表されてから、それを利用した攻撃を行うためのコード(攻撃コード)が出現するまでの時間が年々短縮されていると指摘します。
「例えば2000年に大きな騒ぎを起こしたワームの一種『NIMDA』が利用した脆弱性は300日以上前、2002年に大流行した同じくワームの『Slammer』も半年以上前の脆弱性を利用していました。しかし2013年に発見されたソフトウェアフレームワーク『Apache Struts2』の脆弱性では、翌日には攻撃コードが出回っています」

一方、昨年大きな話題となったランサムウェアの「WannaCry」は、数カ月前に発覚した脆弱性を利用していました。この背景には、脆弱性を解消する修正プログラムやパッチが提供されても、それを適用せずに運用するユーザーが多いことを表しています。
「脆弱性の公開から即座に攻撃されることがある一方、修正プログラムを適用していないシステムを狙った攻撃も発生しています。こうした背景から、IPAのランキングにおいて脆弱性の悪用がランクインしたのではないかと思います」(竹内氏)