海の向こうの“セキュリティ”

Javaの脆弱性の悪用が減少――Ciscoによる年次セキュリティ報告書 ほか

Javaの脆弱性の悪用が減少――Ciscoによる年次セキュリティ報告書

 米Ciscoは、同社のセキュリティチームらによる調査研究の結果をまとめた「Cisco 2015 Annual Security Report」を公開しました。同報告書ではさまざまな観点から「2014年のセキュリティ」を紹介していますが、今回はその中からいくつかの興味深いポイントを抜粋して紹介します。

1)Javaの脆弱性の悪用が減少

 実際に攻撃に悪用された(可能性のある)脆弱性について当該ソフトウェアのベンダーでまとめたのが図2です。

図2

 近年、脆弱性を悪用されることの多いソフトウェアの1つとしてJavaが挙げられてきましたが、この図が示すように、2014年1月1日から同年11月30日までの期間で、Ciscoとして確認できたJava関連のものは1件のみとなっています。ちなみに、NVD(National Vulnerability Database)のデータによれば、Javaの脆弱性そのものも、2013年が309件だったのに対し、2014年は253件に減っています。

 Javaの脆弱性を悪用する件数が減った理由として、報告書では、Javaの自動更新機能のほか、ウェブブラウザーのベンダーが古いバージョンのJRE(Java Runtime Environment)を標準でブロックするようになった点を挙げています。また、最新のJavaであるJava 8は以前のバージョンに比べて攻撃に悪用しにくい設計になっている点も重要です。なお、Javaの脆弱性を悪用した新規のゼロデイ攻撃は、2014年には確認されなかったそうです。

 このような中、攻撃者はJava以外に目を向けており、例えば、更新漏れの多いAdobe Flash PlayerやPDFリーダー、ブラウザーが対象となっており、特にMicrosoft Silverlightについては件数そのものはまだ少ないものの増加が目立っているとしています。どの時点との比較かは明確ではありませんが、Silverlightの増加率は228%との数字が示されています。

2)多くのOpenSSLが未更新

 OpenSSLを使用しているデバイスを調査した結果を示した図8によれば、その56%が50カ月以上前の古いバージョンのOpenSSLを使用しているそうです。つまり、昨年公になったHeartbleedやPOODLEなど脆弱性が残っている可能性があるデバイスが半数以上存在するということを意味しています。ちなみに、Heartbleedはバージョン1.0.1系以降のもののみが対象であるため、1.0.0系およびそれ以前のものであれば、たとえ古くてもHeartbleedの影響は受けません。それでも、2014年はHeartbleed以降もすべてのバージョンに対して脆弱性の修正が複数回行なわれています。50カ月以上も古いバージョンが脆弱であることに変わりはないでしょう。

図8

3)ウェブブラウザーの自動更新機能の有効性

 今回の報告書では、ウェブブラウザーの自動更新機能の有効性についても言及しています。比較しているのはMicrosoft Internet Explorer(IE)とGoogle Chromeだけですが、Chromeによるアクセスの64%が最新のバージョンからのものであるのに対し、IEはわずか10%にとどまっているそうです。この点について報告書では、IEのユーザーよりもChromeのユーザーの方が技術的に熟練しているからとも考えられるとしつつも、Chromeの自動更新機能は「成功している」と言えるだろうとしています。そして、この件とJavaの脆弱性の悪用が減っていることを合わせ、ソフトウェアの自動更新はセキュリティ対策として有効であり、企業や組織は自動更新に伴う事故や非互換性の問題などを受け入れるべき時が来たのではないかとしています。

 しかし、利用者側に自動更新に伴うリスクを受け入れろというのは現実的ではありません。それよりも、ベンダ−側に対して互換性を維持(セキュリティ修正に新しい機能の追加を含めないなど)し、可能な限り問題が生じないような自動更新の仕組みを提供するように強く働きかけることの方が先でしょう。この点については、ある程度の「基準」が必要かもしれません。

 今回の報告書では、他にも、最近のスパム配信業者がボットネットなどを使って多数のコンピューターからそれぞれ少しずつ配信することで検知されにくくしているなど、さまざまな調査結果を紹介しています。興味のある方には一読をお勧めします。

従業員による脅威に対する評価テンプレート

 米InfoSec Instituteは、大規模な企業や組織を対象とした、従業員が関与するセキュリティ上の脅威を評価するためのテンプレートを公開しました。もちろん、それぞれの企業や組織に合わせてカスタマイズは必要です。以下に項目だけ紹介します。各項目の詳細については原典(本記事末にURL記載)を参照してください。

Step 1:脅威の特定

[偶発的なもの]

  • Are employees using unauthorized programs or apps?
  • Are they using work computers to check personal email?
  • Has anyone been pirating software?
  • Are you sure your employees’ credentials are in good hands
  • Have you gone out of your way to prevent tailgating?(tailgating=共連れ)
  • Are your employees familiar with scams and how to avoid them?

[意図的なもの]

  • Have employees been transferring files between work and personal computers or devices?
  • Would an ex-employee have any way of gaining access to your systems from an outside computer?
  • Is sensitive data on removable storage encrypted?
  • Have any employees quit without returning company devices or storage media?
  • Are you using multi-factor authentication to protect sensitive networks and apps?
  • Do only trusted employees have access to critical information?

Step 2: リスクレベルの評価

  • What data is at stake?(at stake=危機にさらされて)
  • How likely is a certain breach to occur?
  • What will a breach cost you?
  • If one of your systems is intentionally sabotaged, how long will it take to get it running again?

Step 3: リスクの制御方法を知る

  • Are company computers set to log off after a certain period of inactivity?
  • Is sensitive information kept on portable hard drives, flash drives, mobiles, or any device that can be easily stolen?
  • Do you know what activities to look for?
  • Are you using big data analytics to detect potential threats?

 かなりざっくりとした内容なので、このままではとても「十分」とは言えませんが、何も取っ掛かりがない状態で一から新規に作るよりは、ある程度の方向性は示してくれているので、これを参考にすれば頓珍漢な方向には行かなくて済むのではないかと思います。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。