見出し画像

プラットフォームの脆弱性を放置してはいけないワケ

Cyber NEXT

「パスワードの定期的な変更を強制すべきではない」とNIST(米国国立標準技術研究所)が提唱してから、もう7年になるでしょうか。
理由は変更しても覚えられる簡単なパスワード設定になりがちだからとか、管理できずメモしちゃう人が出てくるからだとか、さまざまな憶測が飛び交っています。
パスワードを定期的に変更することで、セキュリティリスクが上がってしまうなら、やらないほうがいいという考え方もありますね。
 
ですが「セキュリティ対策に取り組まない」選択をする際に注意したいのが、本来すべき対策を誤って必要ないと判断してしまい、セキュリティリスクを見逃してしまう場合です。
プラットフォーム脆弱性管理も、理由をつけて実施せずにリスクを見逃してしまいがちなセキュリティ対策の一つだと思っています。
 
今回は、プラットフォーム脆弱性管理にありがちな誤解をシーイーシーのホワイトハッカーが紹介します。


バージョンやパッチの管理さえしていれば脆弱性診断は必要ない?

時々、バージョン管理と脆弱性診断は片方だけで良い、と耳にしますが・・・、実は誤解なんです。両方実施しないと、セキュリティリスクの見落としが出てきてしまいます。理由は次の2点です。

バージョンアップでは是正できない脆弱性も多々存在する

プラットフォームの脆弱性と言えばバージョンアップで解決!というイメージを持っている方は多いと思いますし、実際CVSS(共通脆弱性評価システム)の高い脆弱性のほとんどはバージョンアップによるプログラム修正で解決します。
ですが、バージョンではなく設定内容に起因する脆弱性も多く存在しています。
例えばプロトコルや通信暗号の設定不備、不要なサービスやデフォルトコンテンツの公開といった脆弱性は、設定を修正しないことには是正できません。
こうした問題は設定ミスのように聞こえるかもしれませんがそんなことはありません。デフォルトで脆弱な状態にあるOS・ミドルウェアも多く、ほとんどのホストで大小さまざまな脆弱性が見つかります。

バージョン管理対象外のサービスが攻撃される可能性がある

攻撃されうるサービスを内部情報から網羅的に挙げるのは難しく、外部からAttack Surface Management *や脆弱性診断を行わないと正しく検証できません。
例えば「Webサーバだから、Apacheだけ更新しとけばいい」と思い込み、プログラミング言語の一つであるPHPなどのバージョン管理を怠ってしまう可能性があります。

Attack Surface Management:攻撃を受ける可能性のあるIT資産の棚卸し。外部からアクセス可能なホスト及びサービスを明確にし、シャドーIT化したホストの発見も可能。

IPSで保護してるシステムは脆弱性管理しなくても大丈夫?

IPS(Intrusion Prevention System)は非常に便利かつ有効なセキュリティ対策ですが、あくまでリスク低減のためのツールでありIPS単体では根本的な脆弱性対策にはなりません。次のような場合はIPSでは対処できないので、脆弱性管理もきちんと行う必要があります。

検査対象の通信が暗号化されており、そもそもチェックできない場合

暗号化通信は復号化しなければ脅威かどうかの判別は困難なので、検査対象の通信がIPSを平文の状態で通過することは必須要件です。

攻撃を検知できない場合

手の込んだ攻撃の中には、通信仕様の調節や難読化によってIPSを回避しようとする脆弱性攻撃があります。IPSメーカー各社も都度対策を行っていますが、回避されてしまうケースはどうしても出てきます。
また、ネットワークベースの対策として万能ではない点も留意してください。発覚して間もない脆弱性は本質的に苦手分野であるほか、一般にWAF(Web Application Firewall)のようなアプリケーションに特化した保護機能は含まれません。

検知できても許可せざるを得ない場合

IPSに付き物なのが過検知。一定の通信パターンをブロックした場合に、悪性の通信だけでなく正規の通信も巻き添えを食らう場合があります。
IPSシグネチャのデフォルトアクションとして許可されたり、運用の中でIPSチューニングとして許可したりする中で、IPSを通過してしまう悪性の通信が想定されます。

実際攻撃なんてされないんじゃない?

身近なところで攻撃された話は聞かないし、実際、内部ネットワークへ侵入する攻撃なんて稀ないんじゃない?と思う方もいらっしゃるでしょう。

しかし、脆弱な公開ホストが侵入経路となったインシデント(下図赤)の割合は年々増加傾向にあり、むしろ一層の警戒を行う必要があります。

国内法人組織のインシデントにおける侵入経路種別(トレンドマイクロ社調べ)

前回のコラムでもちらっとお話しましたが、偵察行為の増加を示すダークネット観測結果も出ており、脆弱なホストを探して攻撃の起点とする手法は近年特筆すべき脅威となっています。
こうした手法ですと企業規模は二の次で、まず攻撃に利用しやすいポートに応答するホストを探すなどして攻撃の成功率をベースに攻撃対象が選定されますので、インターネットに公開するすべてのホストに攻撃者視点での対策が求められるのです。
 
公開ホストを中心に脆弱性管理を行うことで、こうした脅威を大きく軽減することができます。

まとめ

「そこまでやってられない」と思われがちなプラットフォーム脆弱性管理ですが、近年の攻撃傾向にマッチした有効な対策手段の一つです。
適切な対策を知り、ぜひ脆弱性管理への取り組み強化を検討してみてください!