キヤノンITソリューションズ
ITインフラセキュリティ技術本部
技術四部
セキュリティリサーチャー
酒井健太氏

かつて、脆弱性が放置されていた時代がありました。このワークショップでは、なぜ脆弱性が放置されていたのか？なぜタイトルのように脆弱性を管理しなければならないのかを、近年のIT／セキュリティ動向を交えて解説するとともに、キヤノンITソリューションズが提供している脆弱性診断ソリューションが紹介されました。

IoT市場の拡大とそれにともなうさまざまな機器のインターネットへの接続、B2C市場規模の増大にともなうWebサイトの増加など、IT市場が絶え間なく成長し続けています。その一方で、企業を取り巻くセキュリティリスクも、IT市場の成長とともに変化しているのが現状です。

それを象徴する事例のひとつとして、酒井氏はサイバー攻撃を行う攻撃者側の目的の変化を挙げています。かつて、攻撃者の目的は自己顕示欲や技術の誇示でした。しかし、近年ではその目的が「金銭」に変わっています。現在、攻撃者のおもな標的は、情報資産や機密情報、サーバやPCの権限といった「現金化できるもの」です。盗み出された機密情報などは、ダークウェブ（注1）で売買されています。

続いて、酒井氏は2018年のサイバーセキュリティにまつわる事件を振り返り、仮想通貨の不正引き出しや、公共交通機関を運営する企業へのランサムウェア被害、CPUの脆弱性、CMS（Content Management System：コンテンツ管理システム）の脆弱性、フィッシングメールの巧妙化を挙げるとともに、こういった事件に共通するのが「脆弱性の悪用」であると指摘しました。

（脚注1）
ダークウェブ：インターネットには接続されているものの、アクセスするために特定のツールや認証などが必要な、オーバーレイネットワークに存在しているWebサイト群。

「脆弱性」とは、セキュリティホールやコンピュータソフトウエアの欠陥などを指す言葉です。リリース当初は問題がなかったものの、後に（問題が明らかになって）脆弱性となった事例もありました。

一方で、攻撃者は、脆弱性を修正するセキュリティ修正プログラムが公開される前に、その脆弱性を突いて攻撃を行おうとします。そのような、脆弱性への対策が実施される前に、その脆弱性を突いて行われる攻撃が「ゼロデイ攻撃」です。

ワークショップの中で、酒井氏はWindows Server 2018、Windows 7 SP1、RedHat Enterprise Linux 5の延長サポート終了にともなうリスクの可能性を指摘しました。アプリケーションやコンテンツの互換性を理由に、依然としてこれらのOSを使用しているユーザーは数多く存在しています。

しかし、延長サポートが終了してしまえば、セキュリティ修正プログラムがリリースされず、脆弱性が発見されたとしても修正が行われません。したがって、延長サポートが終了してしまったOSを使用し続けることは、恒久的なゼロデイ攻撃のリスクにつながる、というわけです。

2017年に全世界で発見・報告された脆弱性の件数は、実に14714件に上ります。そして、2018年11月時点での脆弱性の件数は、昨年を上回る15400件に達しました。脆弱性が増加した理由としては、IoTによるデバイスの増加や、フレームワーク／アプリケーションの増加などが考えられます。ただし、この件数は報告されている脆弱性であり、まだ報告されていない、野放しになっている脆弱性、つまりゼロデイ脆弱性は含まれていません。

脆弱性が悪用された代表的な事例として、酒井氏が紹介したのが、2017年5月17日に世界各国で被害が確認されたランサムウェア「WannaCry（ワナクライ）」です。「WannaCry」は、Windowsのファイル共有機能であるSMBの脆弱性（MS17-010）を悪用して感染を拡大しましたが、その脆弱性に対応するセキュリティ修正プログラムは2017年3月の段階で、すでにリリースされていました。つまり、「WannaCry」はゼロデイ攻撃ではなかったのです。すでに脆弱性が報告されているにも関わらず、それが放置されてしまったため、世界中で大きな被害がもたらされました。なお、この脆弱性を狙った攻撃は、現時点でも増加中であり、引き続き警戒が必要です。

酒井氏は、「WannaCry」の例のように脆弱性が報告されているにもかかわらず、放置されてしまう原因として、セキュリティアラートに対応する時間や人材が不足していることや、対応マニュアルが更新されていないこと、攻撃手法の高度化・巧妙化、そしてサイバー攻撃やセキュリティソリューションの種類があまりにも多く、すべてを把握できないことを指摘しています。