第80話 PCセキュリティパッチの防御率を計算する

最も費用対効果の高い「アタリマエ対策」

境界機器（ネットワーク機器や公開サーバなど）のセキュリティパッチの適用や不要ポート閉めを、ゼロトラストFTAでは「境界機器のアタリマエ対策」と名付けている。
この対策は、最も費用対効果が高く、全ての企業や組織において優先して実施されるべき対策である。
また世の中の数多いセキュリティ製品やサービスも、企業がこの「アタリマエ対策」が実施されているのが前提である。

PCにおいても「アタリマエ対策」とは「セキュリティパッチの適用」である。PCにおけるセキュリティパッチは次の３つから構成される。
・OSセキュリティパッチ（Windows Update）
・アンチウイルスソフト定義ファイル
・アプリセキュリティパッチ（OfficeやChromeなど）

今回は「PCのアタリマエ対策（セキュリティパッチ）」の防御率について考察する。

ゼロデイ攻撃が占める割合を算出する

セキュリティパッチは基本的に既知の攻撃についてはほぼ防ぐことが出来ると考える。防ぐことが困難なのは「ゼロデイ攻撃」と呼ばれる、OSベンダーやセキュリティベンダーが想定していない攻撃手法だ。

したがって、PCのアタリマエ対策の防御率は、全体の攻撃のうちゼロデイ攻撃の割合がどのくらいを占めるかで算出することが出来る。

Emotetの感染件数と攻撃件数の推移を比較

今回は2022年３月前後に大流行したEmotetのデータで考察する。
下記データはIPAが発表したEmotetの月毎の新規感染数である。

https://www.jpcert.or.jp/at/2022/at220006.html

また下記データはトレンドマイクロ社が発表したEmotetの検出数である。この検出数傾向は、攻撃数傾向とほぼ相関があると仮定する。

https://www.trendmicro.com/ja_jp/jp-security/22/k/securitytrend-20221114-01.html

どちらも３月がピークであるため、３月の数値を1.0とした時のそれぞれ「検出件数（≒攻撃数）」「感染件数」を比較する。

ゼロデイ攻撃割合＝0.43

マイクロソフト社が５月にこのEmotetに対する対策をリリースしている。したがって１〜４月の感染件数をゼロデイ攻撃で感染した件数と考える。
検出件数（≒攻撃件数）のうち、ゼロデイ攻撃での感染件数の比率を計算すると、0.43となりほぼ４割と考えられる。

ということは、アタリマエ対策（セキュリティパッチ）で防ぐことが出来たと考えられるのは、攻撃件数のうち約６割となる。
この約６割（d=0.6）がPCアタリマエ対策の防御率と想定して良いだろう。

短期集中型攻撃という傾向

本来であればセキュリティパッチの防御率はd=1.0（ほぼ100%防ぐことができる）のはずだが、d=0.6という値になっているのは、攻撃パターンがゼロデイ短期集中で実行されているからだ。

マイクロソフトがセキュリティパッチをリリースするまでの期間に攻撃が集中している。６月には攻撃第二波もあったがほとんど効果がなかったため、攻撃件数が激減している。

PCのセキュリティパッチは半強制的に実施されるため

境界機器のようにシステム管理者が手動でセキュリティパッチを適用するケースは、放置された脆弱性は多数残存しているため攻撃者は既知の攻撃でもコンスタントに仕掛けて来る。
しかしPCの場合は、セキュリティパッチは半強制的に適用される（Windwos10以降のセキュリティアップデートはユーザが意図的に更新をずらしても基本的には５週間以内には強制的にアップデートが実行される。）ため、攻撃者はセキュリティパッチが広まるゼロデイの期間に集中して攻撃を行うのだ。

防御率６割でも効果が高いと言える理由

このためPCについてはアタリマエ対策の防御率d=0.6と思ったより効果がないように見えるが、これは逆にアタリマエ対策（セキュリティパッチ）が効果があるからとも言える。

今回は2022年のEmotetの例を上げたが、PCに対する短期集中型攻撃の傾向は他の攻撃でも同様であると考えられる。

セキュリティパッチがリリースされているにも関わらず、パッチ適用せずに感染するケースが４割もあると想定できることから、やはりPCについても「アタリマエ対策」は最優先で実施されるべき対策と言える。