タグ: WAF

投稿日:

脆弱性対応とは?CVE対応とパッチ管理の実務フロー

Share
「脆弱性対応とは?CVE対応とパッチ管理の実務フロー」アイキャッチ画像

脆弱性対応は、企業の情報システムを守るうえで避けて通れない業務です。新しい脆弱性は日々公開されており、それらの一部は実際に攻撃へ悪用されています。問題は、脆弱性の存在そのものではなく、自社に影響する脆弱性を見極められず、対応が遅れることです。脆弱性への初動が遅れれば、情報漏洩、業務停止、ランサムウェア感染など、企業活動に直結する被害へ発展しかねません。だからこそ、脆弱性対応は単なるパッチ適用ではなく、情報収集、影響調査、優先順位付け、修正、再確認までを含めた一連の実務として捉える必要があります。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、脆弱性対応を含むvulnerability management(脆弱性管理)の目的を、脆弱性や悪用可能な状態の発生頻度と影響を減らすことだと整理しています。

企業の脆弱性管理については、以下の記事で詳しく解説しています。
脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順

脆弱性対応とは

脆弱性対応とは、公開された脆弱性情報や自社で発見した弱点に対して、自社システムへの影響を調査し、必要な対策を選び、修正し、修正後の状態を確認する一連の対応を指します。ここで重要なのは、脆弱性対応が「脆弱性があるからすぐパッチを当てる」という単純な作業ではないことです。実務では、対象資産の把握、公開有無、業務影響、代替策の有無、停止可能時間、クラウドやOSSへの影響などを考慮しながら判断します。NISTも、パッチ管理を「パッチ、更新、アップグレードを識別し、優先順位を付け、取得し、適用し、その適用を確認するプロセス」と定義しており、単純な更新作業ではなく管理プロセスそのものとして扱っています。

脆弱性対応が重要視される理由のひとつは、公開された脆弱性の一部が現実に悪用されているからです。CISAは「KEVカタログ(Known Exploited Vulnerabilities)」で、実際に悪用が確認された脆弱性を定期的に公開しています。つまり企業に求められるのは、脆弱性情報を収集することだけではなく、「どれが今まさに危険なのか」「自社に関係するのか」を見極めて動くことです。脆弱性対応とは、攻撃の入口になりうる弱点を、優先順位をつけて現実的に潰していく運用だといえます。

CVEとは

脆弱性対応を進めるうえで、まず押さえておきたいのがCVEです。CVEはCommon Vulnerabilities and Exposuresの略で、公開された脆弱性や露出情報に対して一意の識別子を付ける仕組みです。米MITREはCVE Programの役割を、公開されたサイバーセキュリティ上の脆弱性を識別し、定義し、整理することだと説明しています。

また、NVD(米国国立脆弱性データベース)でもCVEを特定の製品やコードベースに対して識別された脆弱性の辞書・用語集として扱っています。つまりCVEは、世界中のベンダー、研究者、利用企業が同じ脆弱性を同じ名前で参照するための共通言語です。脆弱性対応を行う際には、まず対象となる脆弱性情報を正確に把握することが重要です。多くの脆弱性は CVE識別番号で管理されています。

CVEは世界中で共有される脆弱性情報の共通IDであり、企業のセキュリティ対策において重要な役割を果たします。CVEの仕組みや意味については、以下の記事で詳しく解説しています。
CVEとは?共通脆弱性識別子の基本と管理方法を徹底解説

実務では、CVE識別番号だけを見て終わりではありません。CVEは「何の脆弱性か」を特定するためのIDであり、深刻度や攻撃条件、自社への影響を判断するには、NVDやベンダーアドバイザリ、製品別のセキュリティ情報をあわせて確認する必要があります。NVDはCVEに対してCVSSなどの標準化データを付与し、脆弱性管理や自動化に使える情報を提供しています。そのため企業の脆弱性対応では、「まずCVEを把握し、次にNVDやベンダー情報で内容を確認し、自社資産と突き合わせる」という流れが基本になります。

CVSSスコアの見方

CVEを把握したあとに多くの担当者が見るのがCVSSスコアです。CVSSはCommon Vulnerability Scoring Systemの略で、脆弱性の深刻度を定性的・数値的に表すための標準的な指標です。NVDはCVSSについて、「脆弱性の重大度を示すための方法であり、リスクそのものを示すものではない」と明確に説明しています。つまり、CVSSが高いから必ず最優先、低いから後回しでよい、とは限りません。CVSSを確認するときは、まず「スコアの高さ」よりも「どういう条件で悪用されるか」に注目したほうが有効です。たとえば、ネットワーク経由で認証不要の攻撃が可能なのか、ローカル権限が必要なのか、ユーザ操作を伴うのかによって、現実の危険度は大きく変わります。

また同じCVSSでも、インターネットに公開された機器にある脆弱性と、閉域環境の限定的なシステムにある脆弱性では、優先度は異なります。NVDはCVSSv4.0をサポートしており*1、従来よりもきめ細かな評価が可能になっていますが、それでも「深刻度」と「自社のリスク」は同一ではありません。 実際の脆弱性対応では、CVSSに加えて、公開状態、資産の重要度、業務影響、既存の緩和策、そして実悪用の有無まで見て判断する必要があります。特に、CISAのKEVカタログに掲載された脆弱性は、すでに悪用が確認されているという意味で、単なる理論上の脆弱性より一段重く扱うべきです。CVSSは脆弱性対応の出発点として有用ですが、最終判断は必ず自社環境に引きつけて行う必要があります。

脆弱性対応の手順

脆弱性対応の実務フローは、一般的に以下の流れで進みます。

  1. 脆弱性情報の収集
  2. 影響調査
  3. 優先順位決定
  4. パッチ適用
  5. 再確認

まずに必要なのは、脆弱性情報を取りこぼさないことです。CVE、NVD、ベンダーのセキュリティアドバイザリ、クラウドベンダーの通知、CISAのKEVなどを継続的に確認し、自社に関係する情報を早めに捉える必要があります。CISAは、KEV Catalogを確認し、掲載された脆弱性の修正を優先することを強く推奨しています。

次に行うのが影響調査です。ここで重要になるのは、自社がどの資産を保有し、どのソフトウェアやクラウドサービスを利用しているかを把握していることです。脆弱性情報が公開されても、自社に対象製品があるかどうか分からなければ、対応そのものが始まりません。特にクラウド環境では、OSやミドルウェアだけでなく、コンテナイメージ、マネージドサービスの設定、アクセス権限なども確認対象になります。クラウドでは共有責任モデルが採用されており、利用企業が管理すべき範囲は依然として広く残ります。

三つ目は優先順位決定です。ここではCVSSだけでなく、インターネット公開の有無、認証要否、既知の悪用状況、業務停止時の影響、代替策の有無を踏まえて判断します。たとえば、CVSSが高くても外部到達性がなく緩和策が効いているものより、CVSSがそこまで高くなくても既知悪用されている公開資産の脆弱性のほうが先に対処すべき場合があります。NISTのパッチ管理ガイドでも、識別だけでなく優先順位付けと検証まで含めてプロセスとして扱うことが示されています。

その後に実施するのが修正です。多くの場合はパッチ適用やバージョン更新になりますが、常にそれだけではありません。ベンダー修正がまだ出ていない場合や、即時適用が難しい場合には、設定変更、アクセス制限、機能停止、ネットワーク分離、WAFやEDRなどによる補完策を検討する必要があります。CISAも、回避策はあくまで暫定手段であり、公式パッチが利用可能になったら移行するのが望ましいと案内しています。

最後に必要なのが再確認です。パッチを適用したつもりでも、適用漏れ、再起動未実施、対象誤認、別系統サーバーの取り残しなどは珍しくありません。NISTはパッチ管理の定義の中に「検証」を含めています。つまり脆弱性対応は、適用作業で終わりではなく、修正が有効に反映され、サービスへの悪影響がないことまで確かめて完了します。

クラウド環境では、OSやミドルウェアの更新だけでなく、クラウドサービスの設定やコンテナイメージの更新なども脆弱性対応に含まれます。また、近年はOSSライブラリに含まれる脆弱性が問題となるケースも増えています。SBOMを利用することで、自社システムに影響するOSS脆弱性を迅速に特定できます。NTIA(米国商務省電気通信情報局National Telecommunications and Information Administration)はSBOMを「ソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録」と説明しています。ただし、公開されている脆弱性情報だけでは、自社のシステムにどの脆弱性が存在するのかを完全に把握することはできません。そのため多くの企業では、脆弱性スキャンツールや脆弱性診断を用いてシステムの安全性を確認します。

脆弱性スキャンの仕組みや診断方法については、以下の記事で詳しく解説しています。
脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント

パッチ管理のベストプラクティス

パッチ管理のベストプラクティスを考えるうえで大切なのは、パッチ適用を場当たり的な更新作業にしないことです。NISTはenterprise patch management(エンタープライズ向けパッチ管理)を、識別、優先順位付け、取得、適用、検証までを含むプロセスとして定義しています。この考え方に沿うなら、ベストプラクティスとは「早く当てること」だけではなく、「誰が、何を、どの順で、どこまで確認して実施するか」を事前に決めておくことになります。

まず重要なのは、資産台帳とパッチ対象の対応関係を明確にしておくことです。対象サーバー、業務端末、ネットワーク機器、クラウド上のワークロード、仮想マシン、コンテナイメージなどが整理されていなければ、どこにパッチを適用すべきか判断できません。NISTの実装ガイドでも、日常時と緊急時の両方に対応するには、資産把握とパッチ適用の仕組みが必要だと示されています。

次に欠かせないのが、テストと本番適用の切り分けです。重大な脆弱性だからといって、影響の大きい基幹系に無検証で更新をかけるのは危険です。一方で、テストに時間をかけすぎて攻撃されるのも問題です。したがって実務では、対象の重要度や公開状況に応じて、緊急パッチ、通常パッチ、代替策併用のように運用レベルを分ける設計が現実的です。CISAの資料でも、パッチ管理計画、テスト、バックアップ、ロールバックを含めた準備の重要性が示されています。

さらに、近年のパッチ管理ではOSSライブラリの更新管理が欠かせません。アプリケーション本体に問題がなくても、依存するライブラリやフレームワークに脆弱性があれば、そのままリスクになります。そこで有効なのがSCAやSBOMです。SBOMによって依存関係を把握しておけば、新たなCVEが出た際にも、どのアプリケーションに影響するかを迅速に調べやすくなります。これは、パッチ管理の対象をOSやミドルウェアだけでなく、ソフトウェア部品レベルまで広げるための実務的な方法です。

企業の脆弱性対応の失敗例

企業の脆弱性対応が失敗する典型例は、脆弱性情報を見ているのに、自社への影響確認ができないケースです。CVEを把握しても、対象製品のバージョンや設置場所、外部公開状況が分からなければ、優先順位も対策方針も決められません。結果として、「あとで確認しよう」と先送りされ、実際に攻撃が始まった時点で慌てて対応することになります。CISAがKEVカタログを継続公開しているのは、こうした遅れが実被害につながりやすいからです。

もうひとつ多いのは、CVSSスコアだけで機械的に対応順を決める失敗です。CVSSは重要な指標ですが、NVDでは「CVSSはリスクではない」と説明しています*2。にもかかわらず、スコアの高さだけで判断すると、公開サーバー上で悪用が進む脆弱性より、閉域環境の理論上危険な脆弱性を優先してしまうことがあります。脆弱性対応では、深刻度、公開状態、悪用実績、業務影響を合わせて考える必要があります。

さらに、パッチを当てて終わりにしてしまうのも典型的な失敗です。適用漏れ、再起動忘れ、周辺システムの未更新、検証不足による障害発生などは珍しくありません。NISTがパッチ管理に「検証」を含めているのは、こうした現実があるからです。脆弱性対応は、修正したことを確認し、その結果を記録し、次回に再利用できる形で残して初めて組織の知見になります。

実際に悪用された脆弱性の事例として、以下の記事も参考になります。
脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-

脆弱性管理との違い

脆弱性対応と脆弱性管理は、似ているようで役割が異なります。脆弱性対応は、個別の脆弱性が見つかったときに、影響を調べ、優先順位を付け、修正する実務です。一方の脆弱性管理は、その対応を継続的に回すための全体運用を指します。CISAが脆弱性管理を「脆弱性や悪用可能な状態の発生頻度と影響を減らすための活動」として示しているように、脆弱性管理は発見、評価、是正、確認を繰り返す仕組み全体です。脆弱性対応は、その中の重要な一工程だと考えると整理しやすくなります。

つまり、脆弱性対応は個別事案へのアクションであり、脆弱性管理はそれを支える土台です。資産台帳、情報収集ルール、優先順位基準、パッチ管理フロー、検証体制、記録・改善の仕組みが整っていなければ、脆弱性対応は属人的になり、毎回判断がぶれます。逆に、脆弱性管理が機能していれば、新しいCVEが出ても落ち着いて影響確認と対応判断を進めやすくなります。

IT資産管理と脆弱性管理の関係については、以下の記事で詳しく解説しています。
脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-

まとめ

脆弱性対応とは、CVE情報を確認して終わることでも、パッチを当てて終わることでもありません。脆弱性情報を収集し、自社への影響を調べ、CVSSや悪用状況、業務影響を踏まえて優先順位を決め、修正し、最後に再確認するまでが一連の流れです。特に、実悪用が確認された脆弱性を優先する視点、クラウドやOSSを含めて影響を判断する視点、SBOMやSCAを活用して依存関係を見える化する視点は、今の企業実務では欠かせません。

脆弱性対応を強くするには、単発の対応力ではなく、継続的に判断と是正を回せる仕組みが必要です。CVEを読む力、CVSSを鵜呑みにしない判断力、資産を把握する力、そしてパッチ管理を確実にやりきる運用力がそろって初めて、企業の脆弱性対応は実効性を持ちます。検索流入で「脆弱性対応」「CVE対応」「パッチ管理」を調べている担当者にとって重要なのは、知識だけでなく、明日から自社でどう動くかが見えることです。本記事がその整理の起点になれば幸いです。

【参考情報】

BBSecでは

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

自ステムの状態を知る

SQAT®脆弱性診断サービス

サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

ウェビナー開催のお知らせ

最新情報はこちら

編集責任:木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBSecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
ウェビナーアーカイブ動画ページバナー画像
投稿日:

DoS攻撃/DDoS攻撃の脅威と対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

DoS攻撃/DDoS攻撃のイメージ(「現在アクセスが集中しております」)

DoS(サービス運用妨害:Denial of Service)攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃/DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。

DoS攻撃/DDoS攻撃とは

DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。

そして、複数の分散した(Distributed)拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS(Distributed Denial of Service)攻撃」といいます。

Dos攻撃/DDos攻撃とはのサムネ
【図1】DoS攻撃の概要図、【図2】DDoS攻撃の概要図

サービス提供者がDoS攻撃/DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。

近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。

DoS攻撃/DDoS攻撃の実例や最近の傾向について

次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。

DDoS攻撃の事例

(実例1)ボットネットMērisによるDDoS攻撃

時 期2021年9月
概 要セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の 調査結果を公表*3。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力(リクエスト数)だった。
攻撃の規模等
(検知・阻止された)		最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超

(実例2)GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃

時 期2021年11月
概 要Googleのエンジニアが「脆弱性CVE-2021-22205*2の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという*3
※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。
攻撃の規模等毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット

DDoS攻撃の最近の傾向

2022年4月、米CDN(コンテンツデリバリネットワーク)企業Cloudflareより、2022年第1四半期の1~3月における観測結果のDDoS攻撃レポートが公表されました4

調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164%、前四半期比で135%増加しました。

また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71%増加、前四半期比で58%減少しましたが、ボリューム型攻撃は増加しているとのことです。

DDoS攻撃の5つの動機と攻撃による影響

ここまでの記述からDoS攻撃/DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。

DDoS攻撃の5つの動機

DDos攻撃の5つの動機のサムネ
【図3】DDos攻撃の5つの動機

DDoS攻撃の3つの影響

DDos攻撃の3つの影響のサムネ
【図4】DDoS攻撃の3つの影響

動機と影響の関連性

【図3】と【図4】には下記のような関連性があります。

  • 業務妨害→サービス停止、経済的な被害
  • 陽動作戦→DDoS以外の攻撃による被害
  • 脅迫→経済的な被害(もともとが金銭目的のため)
  • 嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)
  • ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)

Webアプリケーションへの攻撃シナリオ

前項のうち、「DDoS攻撃の5つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。

Webアプリケーションへの攻撃シナリオのサムネ
【図5】Webアプリケーションへの攻撃シナリオ

※「スキャン」≠「攻撃」
スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。

日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。

この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。

DoS/DDoS攻撃の対策方法

サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃/DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃/DDoS攻撃への対策を最後に紹介します。

すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」 にも記載がありますが、下記の3点が基本的な対策です。

  1. 必要のないサービス・プロセス・ポートは停止する
  2. DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
  3. 脆弱性対策が施されたパッチを適用する

自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。

DoS/DDoS攻撃の対策方法のサムネ
【図6】セキュリティ対策は多層防御で

WAF(ウェブアプリケーションファイアウォール

図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ(Webアプリケーションへのアクセスパターンの定義ファイル)を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。

Webアプリケーション脆弱性診断

Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。

Webアプリケーション脆弱性診断のサービスバナー

ランサムウェア対策総点検

社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。

ランサムウェア対策総点検のサービスバナー

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

投稿日:

<対談>杉浦 隆幸 氏(合同会社エルプラス 代表社員) ✕ 齊藤 義人(BBSec SS本部 本部長 )

Share

SQAT® Security Report 2019年3月号

     杉浦 隆幸 氏 × 齊藤 義人  

日進月歩のサイバーセキュリティ。昨年「一般社団法人 日本ハッカー協会」を設立し、サイバーセキュリティ、システム開発、IoTなどさまざまな分野でハッカーに活躍の場を提供し、ハッカーの地位向上と活躍によるネット社会の安全や健全な発展を通じて日本のセキュリティの進歩に寄与する杉浦隆幸氏に、当社セキュリティサービス本部本部長 齊藤義人が忌憚のない意見をぶつけた。

※当社は一般社団法人 日本ハッカー協会の賛助会員です。

BBSec:まずはお二人に、昨年の総括と申しましょうか、2018年に起こったサイバー事案についてお伺いします。

杉浦:総括といいますか、2018年は仮想通貨まわりの事案が大きく動きまして、2018年1月にはCoincheck(コインチェック)6、9月にはZaif(ザイフ)2 、Monappy(モナッピー)3の話題が世間をにぎわしましたね。被害額が通常では考えられないくらいの桁数が出ておりまして、500億とか、お金が絡んでハッカーが本気になると被害が大きくなるということが証明された感じです。

齊藤:金銭的な動機があった、ということが明確に現れてますね。2017年はランサムウェアとか小金を狙っていたのが、2018年では変化があった。インターネットで巨大な金額が動くとなれば、当然そちらがターゲットになっていくわけですね。

杉浦:そうですね。ランサムウェアの場合も、小金と大金がありましたが、世界的な傾向として、データベースを狙うなど、金額が大きくなった感じですね。

齊藤:攻撃者の成功体験が、またその先の誰かの攻撃手法になっていくという。

杉浦:目立つ成功は真似されやすいですよね。

齊藤:仮想通貨のお話はまさに杉浦さんのご専門ですが、先に話の出たZaifの事件は新聞にも掲載されて一般の方にも話題になるほどでしたね。元々OSINTコミュニティでMonacoinを追っている途中で、突然Zaifの話が出てきたという経緯があったため、有志の動きがものすごく早かったと聞いています。いわゆるハッカーと呼ばれている人々が一気にビットコインのシステムのハッシュを集めて…という動きを、警察で実施するとなるとおそらく膨大なコスト(人件費)がかかるので、同じようなスピードで対応するのは難しいのではないかと思います。こうしたハッカー有志が動けるというのは、言い方が正しいかどうかはともかく、経済効果がすごく見えてきたのではないかなと思っているんですよ。社会的な貢献要素というか。

杉浦:ただ実際に彼らが集まるのも、私が企画(「Zaif犯人追跡ハッカソン」4)した以上は将来的にお金が見えている可能性があるので(笑)。そうでないとあんな優秀な人たちを使えないですから、実際は。そういう仕組みをしっかり整えて、それを実証することによって、将来的に同様の事件があった場合に、速やかに対応をとれるような体制5を構築することが大事ですね。結構な費用がかかるんですが、(官は)前例がないことに費用はかけにくい。ですから前例を作ってしまおうというのが狙いではありますよね。

齊藤:それが実際に功を奏した、と。

杉浦:まぁ、そうですね。ただ、犯人はほぼ特定できたものの、実際の逮捕は警察次第。氏名が特定できても捕まるかどうかというのはまた別の問題なので。そこが難しいですね。

齊藤:それはどうしても民間では届かないところというか。役割の問題ですよね。FBIなんかですと、サイバーアタックの犯人リストがあったりしますが、日本ではそういった動きはまだないですね。
企業の対応もどうしたらいいですかね。例えば、これからも仮想通貨サービスはどんどん増えていって、いつかは法律で縛りがより強くなってくると思いますが。

杉浦:それがまさに問題ですね。実はLINEさんは仮想通貨の取引所をしていらっしゃるんですけど、知らないと思うんですよ、皆さん。というのも、サービスの提供で日本と米国は除外されているという、非常によくない状況になっていまして。コインチェック事件があったことで、認可側のマンパワーが足りないために認可がとれない状況ですね。

齊藤:なるほど。そんなことで日本の経済スピードを落としてしまうという可能性も出てくる、と。

杉浦:そうです。実際、規制があまりにも厳しすぎて経済スピードは落ちています。まぁ、事件起こしたところで、ちゃんと対策したところは、十分強くなっていますけど。

齊藤:確かに、反動力がありますね。

杉浦:ええ。相場モノですので、戻しは必ずあります。1回落ちたら必ず戻すっていうのが。

齊藤:「不正マイニング」の話なんかはどうですか。

杉浦:あれは微妙ですね。ちょうど裁判 も大詰め6、どこが不正でどこがそうでないのか、といったところで、セキュリティにかかわる人たちが怯えながら仕事しなきゃいけなくなるというのが現状ですね。

齊藤:たとえ、著名な方であっても、研究のための範囲だといっても関係ないですからね。

杉浦:(警察が)捕まえやすいかどうかいという、あまりよろしくない状況ですね。実はセキュリティは法的なラインが低いんです。そのため、捕まるときは大量に捕まる7、という。

齊藤:それは足枷ですね。

杉浦:セキュリティ業界全体の足枷となっております、これは。

齊藤:やはり日本企業全体で、セキュリティというものがリスクをとりながら行っているものなんだという理解が進んでいかないと難しいですね。いわゆる「ホワイトハッカー」、彼らが研究しないことには・・・。

杉浦:実際に守る側というのは、攻撃するすべての手段を想定しなければならないから難しい。攻撃する側は一つでも当たればOKなんですけれども。ひとつ突破口があれば皆それをまねてしまう。(攻撃側に)1人優秀な人が存在すればそれだけでリスクになる。

齊藤:日本国内ではセキュリティエンジニアが不足しているといいますが、例えばトップエンジニアとなるべき人をどう教育していくか、という課題がこれまでずっと何年も解決できていません。杉浦さんは昨年、日本ハッカー協会を設立されましたね。

杉浦:先にお話したような、攻撃者に対抗できるトップエンジニアになるには、相当高いスキルが必要です。ところが、セキュリティエンジニアの世界は特殊で、犯罪と紙一重ですから、一線越えたような人たちが業界には結構いる。そのおかげで進歩しているのに、「一線越えてしまったら帰ってこれない」では困ります。彼らの活躍の場が必要ですし、また罪に問われないように保護する仕組みが必要だと思ったわけです。日本では凶悪犯であればあるほど捕まりにくい、という面があります。小中学生とか、未熟なスキルの人ほどつかまってしまう。法的な知識もありませんし。そうすると、そこで将来が閉ざされてしまう。それを何とかしないと。

齊藤:脆弱性が発見されることに対する考え方も問題ですね。お客様の現場から、「何でこんなに脆弱性が見つかるんだ!」と聞こえてくることがある。いや、見つかってよかったじゃないですか、という話なんですけども(笑)。

杉浦:悪用される前にね(笑)。

齊藤:そうなんですよ、悪用される前に見つかってよかったじゃないですか(笑)。そのためにやっているのに、「何でこんなに脆弱性が見つかるんだ!」となってしまう。

杉浦:まぁ、そういうものは出てきて当たり前、逆に早めに全部出してくれというマインドを持っていただくことが必要ですね。むしろ何で出てこないんだ、というくらい。何も出てこないシステムはよほどしっかりした作りか、逆に脆弱性診断が実にやりにくいサイトか(笑)。

BBSec:診断しにくいシステムですか。結構あるものでしょうか。

齊藤:ありますね、診断がしにくい。何でこんなことになっているんだ、と。

杉浦:IPSが入っていて、一部しかコマンド飛ばないとか。アプリケーション診断なら、そういうものを排除してから実施したいというのはありますね。脆弱性が確定してからIPS入れて、防御しましょう、となるべきなんですが。

齊藤:本来はそういった「生」のものにアタックをかけて、さらに防衛されている防衛装置の上からでもいけますか、という二段階の診断をするのが望ましいですね。最近では、WAFとかIPSもある程度負荷をかけた状態の時には抜けてしまうというようなこともありますから、防御装置を入れてあるから大丈夫、ではなくて、その外側からもちゃんと見ていく、ということも必要ですね。

杉浦:特にエンタープライズ系のセキュリティというのは、全体的な統制がとれていないとか、実際動いてない機械が半数ということも多いですし。

齊藤:そうですね、IPSはどこかにアラートをあげるような設定を初期に行っていたとしても、だんだんチューニングがおろそかになって行って、実態と乖離してくることがある。

   合同会社エルプラス 代表社員
      杉浦 隆幸 氏

杉浦:やっぱり運用は難しいですからね。全部アウトソーシングしているところも多いですしね。社員1万人くらいの大きい会社さんでセキュリティをちゃんとマネジメントしようとすると、全部で20名以上のセキュリティ要員が必要になるでしょうからね。SOC(Security Operation Center)を作ったり、新しく導入したシステムのテストをするとか、インシデントレスポンス対策など考えると、やはりそれだけの人数は必要になりますが、なかなか自前でそれだけの技術者を用意するのは難しい。ですからセキュリティ専門企業をうまく使いこなすのが日本のセキュリティマネジメントのキーファクターですね。

齊藤:そのとおりですね。SIEM(Security Information and Event Management)なんかも多くの企業で導入していますが、本当に必要なログを有効な方法で取得しているか、あとで確認できるものになっているか、というとまだまだハテナをつけざるを得ない。特に企業側で運用を始めますと、工数のこと考え始めますから。余計なログはとりたくない、とか。そういう考えに陥ってしまう。そういう意味でいくと、セキュリティ専門でそこだけを見ているようなところに頼んでいただけると、運用工数ありきのセキュリティにはならないわけですね。

杉浦:またセキュリティのスペシャリストは専門性が高いですから、いろんな事例を知っていた方がお客様に対するフィードバックも厚くなる。そういうことを考えると、社外の、豊富な事例を知っている専門家に依頼する方が有効ですね。社内で脆弱性診断を抱える意味はまったくないです。よほどたくさんのサービスを持っているなら別でしょうけど。

BBSec:一人の優秀なエンジニアが突破口となって飛躍してしまう、とのことでしたが、そうした攻撃手法や脆弱性の検証に苦労したお話があればお伺いしたいのですが。

杉浦:検証自体、結構苦労しますよね。脆弱性を見つけるだけならバージョンチェックで済むこともありますよ。いま年間1万件以上の脆弱性が発見されるじゃないですか。専門家であっても、その数を全部追いかけるのは難しいわけですよ。

齊藤:CVSSの登録をするのがセキュリティエンジニアのマスト要件か、ぐらいの感じで(笑)。再現性の問題ですが、IoT機器なんかは、製品は大きなものなのでひとつしかお貸し出しできません、となったりすると、トライできる回数が非常に限られてしまう。そういったことが、検証が難しい要因となりますね。

杉浦:理想を言えば、「壊すのでひとつください」ですよね。いろんな検査をして結果的に壊していいものと、正常な振る舞いを見るためのもの。このふたつをください、です。

齊藤:本当に1回しかトライできないとなると、例えばBlack HatDEFCONで、爆弾処理のトレーニングがあるんですね。ちょうどその一人目がクリアする前の記録を見ると、342人とありましたので「ああ、342人死んだんだな」と。実際に防ぎなさいという場合はどう検証しようか(笑)。

杉浦:無理やり、液体窒素で冷やして、爆発しないようにして、爆発するときは爆発用に囲った中でとか、あるいは敢えて爆発させてみて検証するとか、色々あるんでしょうけども。訓練としては面白いですよね。作ってみましょうか。爆発したら花火が上がるとか・・・(笑)。
先ごろ*8 4年ぶりに改定されたOWASP IoT Top 10でもファームウェアのアップデートをちゃんとしなさい、と言っているんですが、当たり前のことがやっと書かれたくらいです。IoT機器は使われる期間が長いし、ある程度ユーザが考えていかなきゃならない部分もあるんですよね。

BBSec:企業でも忘れられた機器が残っていることがありますね。

齊藤:繰り返しになりますが、システムの運用を維持する、というのは本当に大変なことなんですよ。

杉浦:セキュリティコストが高い、といわれる一番の原因は運用の問題でして。運用もやっぱり費用がかかるわけですから、そもそもの設計段階で、安全性を担保しながら費用を軽減できる方法を考えておかなければならない。それをしないと、セキュリティをまともにやろうとした段階ですごく高コストになるんですよ。大体機器の2倍から5倍かかるというのが一般的です。コストばかりかかって実効性がないセキュリティになってしまったりするんです。それは経営層がちゃんと考えておかなければならない。予算は有限ですからね。

齊藤:例えば、建物の縁の下がどれだけゴミだらけでも住んでる人は気にしない、みたいな感じですね。放置していたらそこから腐っていって土台が緩んだりすることもあるし、誰か入り込んでくる可能性だってある。その辺をセキュリティに置き換えたときにどのくらい想像できるかでしょうね。

杉浦:誰も見てない、録画してない監視カメラがやたらあるけど・・・みたいな(笑)。ある程度の防犯効果はあるだろうけど、いざというときに役に立っていない。

齊藤:そういった防犯効果だけを求めるのであれば、高額な機器を導入するのではなく、代替機器でどうにかする、という発想も必要ですね。本当に必要な機能を適正に選んでいく、というのが大事です。先ほどの家の話でいきますと、お風呂場で覗かれるのを防ぐために防犯カメラを導入するのかというと、そこまでは必要ない。むしろ、お風呂場の窓の下に砂利を敷き詰める方がコストもかからず効果も高い。

杉浦:そうです、音が鳴るだけでも十分効果が得られますから。

齊藤:ですから、そうした全体像をどこまで描けるか、が重要ですね。

BBSec: 仮想通貨を巡る話題から、日本のセキュリティ業界のあり方やトップエンジニアの将来を守りたい、という強いお気持ちなど、「サイバーセキュリティ最前線」にふさわしいお話を伺うことができました。本日は長時間ありがとうございました。

杉浦 隆幸 氏
合同会社エルプラス 代表社員
Winnyの暗号の解読にはじめて成功、ゲームのコピープロテクトの企画開発をはじめ、 企業や官公庁の情報漏洩事件の調査コンサルティングを行う。 昨今では仮想通貨の安全性確保、Androidアプリの解析や、電話帳情報を抜くアプリの撲滅、 ドローンをハッキングで撃墜するデモや、自動車のハッキングなどを行う。テレビなどの出演多数 。

齊藤 義人
株式会社ブロードバンドセキュリティ (BBSec)
セキュリティサービス本部本部長
Webアプリケーションを中心とした開発エンジニアを経て、官公庁および 大手顧客向け脆弱性診断・ペネトレーションテストに従事。 数年にわたる長期かつ大規模システムのプロジェクトマネージャーとして活躍。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。