第54話 攻撃者が標的とするアプリケーションの共通点
CIS Controls 16ではアプリケーションのセキュリティについて考察する。
認証情報を持たないアプリケーションの欠陥は、攻撃手段として選ばれています。しかし、今日のアプリケーションは、非常に複雑で多様、かつダイナミックな環境で開発、運用、保守されています。アプリケーションは、ウェブ、モバイル、クラウドなどの複数のプラットフォームで実行され、アプリケーションのアーキテクチャは、従来のクライアントサーバーやデータベース・ウェブサーバー構造よりも複雑になっています。
少ない開発で大きな効果があげられる標的アプリ
攻撃者の立場では、出来るだけ効率良く情報窃取を行いたいと考える。脆弱性を見つけてマルウェアコード(スクリプト)を組み合わせるという手間暇に合う対象がの杣しい。
それは出来るだけ多くのユーザが使っているグローバルなアプリケーションやWebアプリケーションである。
ユーザ数が多いほど効率が良い
グローバルなアプリケーションとは、MicrosoftのOffice製品などが筆頭とあげられるだろう。特に世界中のビジネスマンが利用している。非常に効率が良い標的アプリと言える。
Office製品と並ぶ標的はブラウザアプリだ。少し前まではビジネス用途のブラウザはInternetExploreであった。現在はChromeが最も標的とされるブラウザだ。
Offic製品やブラウザのセキュリティ対策は「セキュリティパッチを最新にすること」に尽きる。Office製品を経由したマルウェア感染は、VBAマクロからPowerShellなどのスクリプトを経由するため、Office製品のアプリのパッチだけでは不十分で、WindowsOSのセキュリティパッチの更新も必要となる。
Chromeブラウザもシェアの拡大と共に、深刻な脆弱性のセキュリティパッチのリリースの頻度が高まって来ている。世界中の攻撃者が標的をIEからChromeに切り替えた証拠であろう。
共通の脆弱性が残っているWebアプリ
もう1つの標的アプリはWebアプリである。
Webアプリは各社がオリジナルで開発したものも多いが、攻撃者が標的とする脆弱性は世界共通なものであるため、攻撃者にとっては攻撃効率が良い。
Webアプリの対策としては、下記3項目が有効である。
・セキュリティパッチの適用(OS、ミドルウェア、Webサーバ等)
・セキュアな設計(IPA発行「安全なウェブサイトの作り方」参照等)
・定期的な脆弱性診断
本対策については以下のサイトを参照にされたい。
まとめ
攻撃者が標的に使うアプリは以下の2つを注意する必要がある。
・グローバルなアプリ(Office製品とブラウザ)とWebアプリ。
・いずれもセキュリティパッチ更新が最も重要。
・特に、Webアプリはセキュア設計と定期的な脆弱性診断も重要。
【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。
この記事が気に入ったらサポートをしてみませんか?