犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に

2019年におけるオープンソースソフトウェアの脆弱性

　オープンソースソフトウェア（以降、OSS）のセキュリティなどを扱っている、イスラエル起源の米WhiteSourceは、2019年に公表されたOSSの脆弱性についてまとめた結果を「WhiteSource Annual Report 2020 - The State of Open Source Security Vulnerabilities」として公開しました。

　今回の調査はWhiteSource独自のデータベースに基づいており、このデータベースは米政府機関による脆弱性情報データベースNVD（National Vulnerability Database）だけでなく、多数のセキュリティアドバイザリや査読された（peer-reviewed）脆弱性データベース、広く使われているOSSの開発における課題管理システム（issue tracker）で公開されている情報からデータを収集しています。

　OSSの脆弱性そのものの数の推移は以下のようになっています。2019年はおよそ6100件で、前年の約4100件から50％近い増加となっています。

　この増加が意味しているのは、OSSが急に脆弱になったわけではなく、ファジング（Fuzzing）をはじめとする脆弱性を見つける手法が普及してきたことが大きく影響していると考えられます。その意味では、さまざまなOSSがより安全なものになるための過渡期にあると言うこともできるでしょう。

　また、公表時点で修正版やパッチがリリースされているOSSの脆弱性は85％に上っています。これはテクノロジー系の大企業がOSSのプロジェクトを資金面で支援してきたことで脆弱性対策が進んだためとWhiteSourceは指摘しています。なお、このような支援が積極的に行われるようになった直接のきっかけは、2014年に公になったOpenSSLの脆弱性「Heartbleed」と言われています。

　一方、既知のOSSの脆弱性のうちNVDに登録されるのは84％に過ぎないことも明らかになっています。しかも、最初からNVDに報告され、公表されるのは55％だけであり、脆弱性情報の収集源としてNVDだけでは十分とは言えないことが分かります。

　次に、OSSの脆弱性をプログラミング言語ごとに分類した結果は以下の通り。

　かなり減ってはいるものの、C言語が引き続き多数を占めています。一方、PHPは大きく増え、C言語に迫っていますが、それだけPHPが普及したわけではない（むしろ開発者の間では人気が落ちている）ことに注意が必要です。

　脆弱性を共通脆弱性タイプ一覧CWE（Common Weakness Enumeration）で分類した結果は以下の通り。CWE-79（クロスサイトスクリプティング）の多さが目立っています。

　上位5つの推移は以下の通り。2018年から2019年にかけては大きな変化は見られません。

　プログラミング言語ごとに上位3つを挙げたのが以下の図です。C言語とそれ以外の言語で使われるソフトウェアに違いがあることが結果に如実に表れています。

　2016年から2019年の1万を超える脆弱性のCVSS基本値をCVSSのバージョンの違いで比較したのが以下の図です。バージョン2.0から3.xに上げると、深刻度の数値が全体として高くなる傾向にあることが分かります。

　今回の調査はあくまでOSSの脆弱性そのものについて調べただけのものであり、その脆弱性が実際に悪用されたかどうか、つまり現実的な脅威となったかについては一切言及していないことに注意してください。

　しかしながら、OSSはさまざまなソフトウェアやシステムなどに組み込まれて使われていることも多く、その場合は使用しているOSSを利用者が把握し切れていないために脆弱性が放置されてしまうケースも珍しくありません。今回の報告書の内容そのものに特にこだわる必要はありませんが、改めてOSSの使用状況を確認するとともに、それぞれの脆弱性対策をどのようにすべきか、それらのOSSの開発プロジェクトにおける脆弱性への取り組み状況（脆弱性情報の公表の仕方を含む）をどのようにして把握するかなど、OSSのセキュリティについて検討してみることをお勧めします。

2019年に最も狙われたのは、2018年以前の脆弱性

　米セキュリティ企業Recorded Futureは、前年の1年間で犯罪者たちに最も狙われた脆弱性トップ10を報告書として毎年発表しており、その2019年版が「Criminal Underground Continues to Target Microsoft Products in Top 2019 Exploited Vulnerabilities List」として公開されました。

　ここで目を引くのは、トップ1はAdobe製品ですが、トップ10のうち8つがMicrosoft製品である点です。また、2019年の脆弱性は1つのみで、それ以外は全て2018年以前の脆弱性であり、中には2012年のものもあります。これはすなわち、パッチ適用を速やかに実施することがいかに重要かを示すものと言えます。さらに、脆弱性そのものの技術的深刻度を示すCVSS基本値は9以上の極めて高いものが半数を占めていますが、その一方で6点代のものもあるなど、CVSS基本値の数値そのものが「悪用されやすさ」を示すものではないことも分かります。

　なお、2017年5月に世界的に大きな被害を生んだワーム型ランサムウェア「WannaCry」で悪用された脆弱性「EternalBlue」（CVE-2017-0144）をはじめとするEternal系の脆弱性については、意図的に除外されています。これについてRecorded Futureは、この調査はアンダーグラウンドの犯罪者たちに使われている脆弱性を対象としており、Eternal系のような国家が関与しているとみられる攻撃で使われている脆弱性は対象としていないと説明しています。また、実際にアンダーグラウンドの犯罪者コミュニティ内でEternal系の脆弱性に言及されることはあまりなく、彼らが積極的に使っている証拠も見られないとした上で、考えられる理由として、Eternal系のエクスプロイトは誰でも自由に（無料で）使えてしまう（売り物にならない）ものであることに加え、典型的なエクスプロイトキットと比べて高度で使いにくいからではないかとしています。

　2016年以降で比較したのが以下の図です。

　2016年にはトップ10のうち半数以上の6つがAdobe製品でしたが、2017年以降はMicrosoft製品が多数を占めるようになっています。また、2018年から2019年にかけて6つの脆弱性が引き続き狙われ続けており、そのうち「CVE-2017-0199」は2017年から3年に渡って狙われ続けています。

　ほかにも報告書では、新規のエクスプロイトキットの数は減り続けており、2019年には前年の5つから4つに、また、新規のRAT（remote access trojan）の数も2019年には前年の37から23に減っていることも紹介しています。

　Microsoft製品の脆弱性が多く狙われている事実そのものに驚きは全くありません。しかし、2018年から2019年まで同じ脆弱性が6つも狙われ続けており、トップ10のうち9つが2018年以前の脆弱性であるのは、いかにパッチを適用せずに放置しているものが多いかを示す結果と言えます。今回の調査結果は改めて「速やかなパッチ適用の重要性」を強く訴えるものとしてうまく利用してください。