海の向こうの“セキュリティ”

2015年、Flash Playerにいかに多くの脆弱性が公表されているか――Ciscoの上半期報告書

 Ciscoは2015年上半期のセキュリティ動向をまとめた調査報告書「Cisco 2015 Midyear Security Report」を公開しました。

 調査結果の個々の内容の多くは、すでに他のセキュリティベンダーなどがさまざまな形で公開している情報と大きく変わるものではありませんが、それらの情報をCiscoの調査によって裏付けた(または補強した)とも言える内容となっています。

 また、最終的な結論として、防御側の技術も飛躍的に進歩し続けて来ているものの、攻撃側の進歩はさらにその上を行くものとなっていると警告するとともに、多くの企業や組織がその場しのぎの個別のセキュリティ対策に終始しているために、組織全体の連携が取れていない(セキュリティ製品やサービスを売る側にも非がある)点を問題として指摘しています。

 今回は報告書の中からいくつかのトピックを選んで紹介します。

脆弱性

 例年7月から8月にかけて、「Black Hat USA」の開催に前後して、新たな脆弱性や攻撃手法の話題が世の中の注目を集めますが、本報告書でも脆弱性に関して多くのページが割かれています。

 近年、攻撃に悪用されることの多いFlash Playerについては、最近も伊Hacking Team社からの情報流出事件と絡み、悪い意味で注目を集めました。実際にFlash Playerの脆弱性は数多く発見・公表されており、2015年1月から5月の間だけでもコード実行を許してしまう脆弱性は62件が公開されています。ちなみに、同様の脆弱性は2014年の1年間で41件、2013年は55件であることを考えると、いかに今年は多くの脆弱性が公表されているかが分かります(図1)。

図1

 また、Flash Playerの脆弱性が公開されてから、実際にその脆弱性が悪用されるようになるまでの期間が短いことを示す一例として、現在広く使われているExploit kit「Angler」と「Nuclear」にFlash Playerの脆弱性を攻略する機能が取り込まれた時期、さらに利用者がどのバージョンのFlash Playerを使用しているかを1つにまとめたのが図2です。

図2

 なお、脆弱性のCVE番号とそれを修正したバージョンは以下のようになります(図中のCVE-2015-0390はCVE-2015-3090の間違いでしょう)。

CVE番号修正済みバージョン
CVE-2015-031316.0.0.305
CVE-2015-033617.0.0.134
CVE-2015-035917.0.0.169
CVE-2015-309017.0.0.188

 脆弱性がExploit kitに使われるようになるまでが数日から数週間程度と短いのに対し、古いバージョンのFlash Playerがいつまで経っても使われ続けている現実がはっきりと見えています。確かに、あまりに頻繁に更新される中で一般の利用者が常に最新のバージョンに速やかに更新し続けることを期待するのは無理があります。その状況を攻撃者側も分かっているからこそ、Flash Playerの脆弱性を意識的に悪用するのでしょう。

 ほかにも脆弱性が悪用されることの多いものとしてJavaがありますが、そのJavaについても古いバージョンが使われ続けている状況を示しているのが、図3です。

図3

 なお、Javaを悪用するケースは減少傾向にあり、2013年以降、Javaのゼロデイ攻撃は確認されていないとしています。

 悪用の有無とは別に、2015年上半期に公開された脆弱性情報を、共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)ごとにまとめたのが図15です。

図15

 上位にランキングされている脆弱性は昔から悪用され続けて来たタイプのものであり、その「相変わらず」の状況に対して報告書では「セキュアな開発ライフサイクル」というものに十分な注意が向けられていないからとしています。

 まず、開発者は脆弱性を作り込まないように努めなければなりません。これは今の時代には必須中の必須の要件です。セキュアなコーディングはもちろん、脆弱性診断を開発の段階で取り入れるのはもはや「当たり前」のことと言えるでしょう。しかし、それでも複雑高度化したソフトウェアやシステムにおいて脆弱性を完全になくすことは極めて難しく、ほぼ不可能であるという現実もあります。開発者には、脆弱性を作り込まないように努めることはもちろん、自ら発見した、または外部の専門家などによって発見された脆弱性に速やかに対応し、修正を行なえる能力を持っていることも強く求められているのです。

 また、報告書では触れられていませんが、脆弱性を発見する側の動機を考えれば、シェアなどの観点から悪用しやすい脆弱性ほど発見されやすいのは当然の話です。「発見または報告されていない(≒公開されていない)だけで存在はしている脆弱性」はほかにいくらでもあると考えるべきでしょう。

 2014年はHeartbleedやShellshockといった基盤的に広く使われているオープンソースのソフトウェアの深刻な脆弱性が立て続けに公開された1年でしたが、それらに関連したソフトウェアの更新は2015年にもありました。一般的に、基盤的に使われているオープンソースのソフトウェアは複数の製品やソフトウェアに組み込まれていることが多く、その脆弱性に対しては複数のベンダーからそれぞれ個別に更新が提供されることになります。

 このようなオープンソースにかかわる脆弱性について2015年上半期に公開された更新の数をまとめたのが図16です。それぞれの円内の一番下にあるのは、その脆弱性が最初に公開された「月/日/年」です。

図16

 昨年公開されたHeartbleadやShellshockに関する更新が今年に入ってからも少なくなかったことが分かります。これは、脆弱性関連情報、特に該当するソフトウェア等の更新情報は継続的に追いかけていく必要があることを意味しています。

SPAM

 攻撃手法がますます巧妙化していく一方で、今もSPAMやフィッシングメールはさまざまな攻撃において主要な役割を果たしています。そんな中、2014年から2015年にかけてのSPAMの流量は1日あたり2000億通程度で推移しています(図13)。

図13

 SPAMの1日あたりの流量を国や地域別でまとめたのが図14です。

図14

 2014年12月から2015年5月の間で、米国とロシアで増えているのに対し、中国は減少、それでも米国と中国が上位を占めています。しかし、全体としては際立った変化はなく、比較的安定していると言えるでしょう。

 繰り返しになりますが、今回のシスコの報告書に掲載された個々の調査結果の内容自体は、セキュリティ関連の情報を収集している者にとっては既知のものが多く、さほど目新しいものはありません。それでも、それらをまとめて整理してあるので、2015年上半期を振り返るにはちょうどよい内容ですし、Ciscoなりの分析を加えている点も注目すべきでしょう。自社・自組織のセキュリティ対策においてうまく活用してください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。