海の向こうの“セキュリティ”

脆弱性情報データベース比較、米NVD vs 中CNNVD/英国における電子メール誤送信の実態調査

脆弱性情報データベース比較、米NVD vs 中CNNVD

 本連載の7月の記事で紹介した米Recorded Futureによる調査結果でも示されているように、脆弱性情報の収集元として、米国立標準技術研究所(NIST)の脆弱性情報データベース「NVD(National Vulnerability Database)」だけでは不十分であり、例えば、中国の公的機関による「CNNVD(China National Vulnerability Database of Information Security)」の方が先に掲載した脆弱性情報は少なくありません。そこで、Recorded Futureは改めてNVDとCNNVDを比較した調査結果を公開しました。

 調査によると、CNNVDの方が即時性の点でNVDを大きく上回っているものの、実際に中国のAPT攻撃グループが悪用している深刻な脆弱性など、一部のものについては、CNNVDでの掲載が意図的に遅らされている可能性があるとしています。

 まず、主に即時性の観点で比較した結果が10月に公開されました。これは、2015年9月13日から2017年9月13日までの2年間で両方のデータベースに掲載された1万7940件の脆弱性について調査したもので、脆弱性が何らかのかたちで公になってから掲載されるまで、NVDでは平均して33日かかっていたのに対し、CNNVDでは13日だったことが分かりました。

(「Recorded Future Blog」より画像転載)

 また、公開された脆弱性情報の75%を掲載するのにCNNVDは6日以内であるのに対し、NVDでは20日かかります。さらに90%の掲載にはCNNVDで18日、NVDでは92日となります。

(「Recorded Future Blog」より画像転載)

 ただし、上記の結果はすべての脆弱性についてまとめたものであり、実際には、脆弱性情報の公表の仕方には調整機関等を介して公表日をベンダーと調整しているものとそうでないものの2種類があることに注意が必要です。

 調整されている脆弱性情報は公表日にNVDにも同時に掲載され、その後、CNNVDには平均して1日以内に掲載されます。一方、調整されていないものについては、公開された脆弱性の75%を掲載するのにNVDで38日、CNNVDで7日かかり、90%を掲載するのにNVDで125日、CNNVDで23日かかっています。

 このように即時性の点でCNNVDがNVDを大きく上回っている理由は、それぞれのデータベースの掲載に至るまでのプロセスに違いがあるためとしています。まず、NVDのプロセスをまとめたのが以下の図です。

(「Recorded Future Blog」より画像転載)

 この図が示すように、NVDはCVE情報に基づいており、また、このCVE情報は基本的にベンダーによる自発的な(義務ではない)情報提供に基づいているため、この部分でどうしても時間がかかってしまうわけです。

 一方、NVDのこのような「受動的」なプロセスに対し、CNNVDはCVEにこだわらずにさまざまな情報源から積極的に情報を取り込む「能動的」なプロセスをとっており、この違いが即時性だけでなく、結果的に網羅性でもCNNVDが上回っている理由と考えられます。

 即時性でNVDを大きく上回っているCNNVDですが、中にはNVDよりも掲載が遅れる脆弱性情報もあります。そこで、そのようなイレギュラーなケースについて改めて調査した結果が11月に公開されました。

 これは、CVE番号で300件の脆弱性について調べたもので、その内訳は、CNNVDでの掲載がNVDよりも極端に遅れた脆弱性268件、中国のAPT攻撃グループによって使われたマルウェアと関連した脆弱性32件です。なお、ここで「CNNVDでの掲載がNVDよりも極端に遅れた脆弱性」とは「NVDが6日以内に掲載したにもかかわらず、CNNVDでの掲載に28日以上かかった脆弱性」と定義しています。

 まず具体的な例として、Microsoft Officeの脆弱性(CVE-2017-0199)はNVDでの掲載から57日後にCNNVDに掲載されていますが、その遅れの間に中国のAPT攻撃グループがこの脆弱性を積極的に悪用していたそうです。

 また、CNNVDでの掲載が236日も遅れたある脆弱性は、中国内のサーバーに膨大な量のユーザーデータを送信していたバックドアに使われており、中国政府による監視に関わっている可能性が指摘されています。

 さらに、脆弱性情報がまとめて公開されても、深刻度の高いものは低いものよりもCNNVDでの掲載が21日から156日も遅れています。ちなみにNVDでは逆に深刻度の高いものは掲載が早められています。

 脆弱性の公開から掲載までの平均日数をまとめたのが以下の図です。

(「Recorded Future Blog」より画像転載)

 右側は「CNNVDでの掲載がNVDよりも極端に遅れた脆弱性」268件(全体の約1.5%)についてまとめたものです。なお、この268件のうち、CVSS値で深刻度HIGHに分類されるものは43%、MEDIUMが45%、LOWが12%です。

 一方、公開済みの脆弱性の90%を掲載するまでにかかる日数をCVSS値で比較すると、以下の図(青がNVD、緑がCNNVD)のようになります。

(「Recorded Future Blog」より画像転載)

 NVDとCNNVDで逆の傾向があるものの、それでも全体としてはCNNVDの方が掲載にかかる日数が短いことが分かります。なお、CNNVDでのHIGHとそれ以外の差は3日です。

 このCNNVDでの掲載遅れの背景として、Recorded Futureは、中国の情報機関である国家安全部(MSS:Ministry of State Security)の存在を指摘しています。CNNVDがMSSによって運営されていることを「CIAがNVDを運営しているようなもの」と表現し、MSSが自らの諜報活動に使える脆弱性か否かなどを判断している可能性があるとしています。

 脆弱性情報と諜報機関の関係については、中国に限らず、さまざまな報道がなされていますし、今さら驚くような話ではないですが、いずれにせよ、脆弱性情報を使う側としては、NVDとCNNVDの両方をうまく組み合わせて使うのがよいということだけは確かでしょう。

英国における電子メール誤送信の実態調査

 電子メールの誤送信による情報漏えいは昔からあり、最も発生しやすいインシデントの1つと言えます。そのような中、英Egress Software Technologies(以降、Egress)は、調査会社OnePollに依頼して英国内の企業におけるメール誤送信(意図的なものを含む)の実態に関する調査を実施し、その結果を発表しました。調査対象は日常的に業務で電子メールを使用している英国の会社員2000名です。

 まず調査結果で最もインパクトがあったのは、回答者の24%が自社の機密情報を意図的に社外の組織(競合他社など)に漏らしたことがあるという点です。漏えい先には、次の転職先の雇用主や前職の雇用主も含まれています。さらに、送信すべきでない相手に情報を送ってしまった場合に送信済みフォルダーから当該メールを削除したことがある、または削除すると回答したのは全体の半分に及んでいました。

 送られてきたメールについて「誤送信したものなので削除して欲しい」との依頼を受けたことがあると回答したのは46%に及んでいますが、37%がメールの送信前に常に確認しているわけではないと回答していることと照らし合わせれば、さもありなんと言える結果でしょう。

 誤送信の原因として最も多いのは「慌てていたため(rushing)」で68%を占めていますが、誤送信メールの8%はアルコールも影響しているとの結果が出ています。一方、「自動補完(autofill)機能」によって間違った送信先を選択してしまったことがあると回答したのは42%に及んでいます。

 間違った相手に送ってしまったメールの内容としては、40%がその相手を侮辱するものだったり、下品なジョークや卑語、きわどいメッセージが含まれていたりしたそうです。さらに、9が銀行の情報や顧客情報などの機密情報をうっかり漏らしてしまい、顧客や自組織を危険にさらしてしまったことがあるとしています。

 Egressはデータプライバシーやリスクマネジメントに関するサービスを提供している企業であり、今回の調査結果が最終的に自社の内部脅威対策サービスの宣伝に結び付けるためのものであるのは明らかです。したがって、調査結果の見せ方に対してはある程度「割り引いて」見る必要がありますし、そもそも英国での調査結果が日本でそのまま通用するとは限りません。それでも、「人間という存在自体の弱点」に起因する脅威の度合いを具体的な数字で示すことで、人間だけに頼るのではなく、何らかのシステム的な防御策も必要であると示唆している点は重要です。自組織のセキュリティ対策を検討する上で参考になる部分は少なくないでしょう。今回の調査結果をうまく活用してください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。