「OpenSSL」の脆弱性、その存在すら気付かれないまま放置されている可能性も？

2020年上半期に公開された産業用制御システムの脆弱性

　米Clarotyは2020年上半期に公開されたICS（Industrial Control System：産業用制御システム）の脆弱性についてまとめた結果を「Claroty Biannual ICS Risk & Vulnerability Report: 1H 2020」として公開しました。ClarotyはOT（Operational Technology：運用・制御技術）セキュリティを専門とする企業で、これまでに44件のICSの脆弱性を発見・公表しており、そのうち26件が2020年上半期に公開されています。

　ポイントは以下の5点。

1. 2020年上半期には米脆弱性情報データベース（NVD：National Vulnerability Database）で53のベンダーのICS製品に影響を及ぼす365件の脆弱性が公開された。これらの脆弱性の75％以上に、共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）で“high”または“critical”のスコアが付与された。

2. 2020年上半期に開示されたICS製品の脆弱性は、重要インフラセクターに指定されているエネルギー、重要製造業、上下水道のセクターで最も多い。

3. 2020年上半期に開示された脆弱性のうち70％以上は攻撃ベクトルがネットワークで遠隔から悪用される可能性がある。この結果は、サイバー脅威から完全に隔離された完全にエアギャップなOTネットワークが非常に珍しくなってきており、インターネットに直接接続したICSデバイスとリモートアクセス接続の保護が極めて重要であると強調している現実を裏付けるものである。COVID-19の大流行により、リモートワークへの急速なシフトが進み、OTネットワークへのリモートアクセス接続に対する依存度が高まっていることは、この点をさらに強調し、関連するリスクを悪化させている。

4. 2020年上半期に開示されたICSの脆弱性のうち最も多いセキュリティ上の弱点（共通脆弱性タイプ一覧CWE：Common Weakness Enumeration）の上位5つは、いずれも比較的容易に悪用されるものであり、潜在的な影響も大きいことから、MITRE社の「2019 CWE Top 25 Most Dangerous Software Errors」のリストで上位にランク付けされている。

• 2019 CWE Top 25 Most Dangerous Software Errors
  https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

5. 2020年上半期に開示されたICSの脆弱性の数は、2019年上半期と比較して約10％増加している。このような増加は、攻撃者の活動の増加およびICSベンダーのセキュリティ態勢の低下の両方またはどちらか一方が原因であると考えるのが論理的に見えるかもしれないが、主な要因としては、ICSの脆弱性がもたらすリスクに対する認識が高まっており、研究者やベンダーが可能な限り効果的かつ効率的に脆弱性を特定し、修正することに注力しているためと考えられる。

　米ICS-CERTが2020年上半期に公開したICSに関する139件のアドバイザリについてまとめたのが以下の図です。ベンダー内部で調査・検証された情報に基づくものは28.57％であり、ベンダー外部の第三者によるものの割合の方が圧倒的に多いですが、2019年上半期の21.6％よりは確実に増えており、ICSのベンダーの自社製品に対する検査体制が向上してきていることを反映しているのではないかと考えられます。

　NVDで最も多くの脆弱性情報が公開されたベンダーの上位5つは以下の通り。

　ICS-CERTのアドバイザリで言及されたベンダーの上位5つは以下の通り。Siemensが他社を圧倒しています。

　ICS-CERTのアドバイザリで言及された製品の普及状況をまとめたのが以下の図です。8割以上が国際的なシェアを持っている製品であることが分かります。

　NVDで公開された脆弱性を、CWEに基づいて潜在的な影響でまとめたのが以下の図です。2019年上半期と同様「Execute Unauthorized Code or Commands」の多さが目を引きます。

　レポートの最後には推奨事項として大きく3点を挙げています。

1. リモートアクセス接続の保護
2. フィッシング、スパム、ランサムウェアからの保護
3. インターネットに直接接続したICSデバイスの保護

　深刻度の高い脆弱性が多く見つかっている結果に対して「ICSは脆弱である」とのイメージを持つ人も少なくないと思いますが、今回のレポート内でも明言されているように、ICSのリスクに対する意識の高まりにより、積極的に脆弱性を見つけて対応し、公表することが当たり前のことになりつつある、すなわちICSがより安全なものになってきている、その過渡期にあると前向きに捉えるべきでしょう。とにかく、利用者側に求められるのは、公開された脆弱性情報に基づき、速やかに、かつ適切に対応すること。そのためにも設計の段階から脆弱性への対応のしやすさ、例えばパッチ適用可能性の高さ（パッチの適用しやすさ）などを十分に考慮しておくといった備えが必要でしょう。

　レポートではほかにも、公開された脆弱性とその深刻度をベンダーごとにまとめた結果など、今回紹介しなかったものがまだ多くあります。興味のある方はぜひ原文をご覧ください。

2014年に公開された脆弱性「Heartbleed」は今も狙われている

　本連載でもこれまで何度も紹介しているように、実際の攻撃で悪用されている脆弱性の多くはすでにパッチ提供済みであり、また、古い脆弱性が悪用されることが珍しくないのはよく知られています。そのような中、2014年4月に公になった脆弱性「Heartbleed」（CVE-2014-0160/CVE-2014-0346）がいまだに狙われていること示すデータが公開されています。

　Heartbleedは、SSL/TLSによる暗号化通信のオープンソースのライブラリ「OpenSSL」の脆弱性で、悪用することで秘密鍵などが窃取されてしまう可能性があり、攻撃手法も公開されました。実際、情報公開直後に悪用が確認され、日本国内でもクレジットカード会社のウェブ会員の個人情報が不正に閲覧される事件も発生しています。また、当時はSSL/TLSのライブラリとしてOpenSSLは事実上の国際標準だったため、その影響は膨大な範囲に及び、世界中で大きな注目を集め、例えば日本ではNHKのニュースでも報道されるほどでした。

　このように深刻度は極めて高いものの、公開からすでに6年以上も経ているHeartbleedが今も狙われ続けていることを示しているのは、イスラエルに起源を持つセキュリティ企業のCheck Pointが毎月公開しているレポート「Most Wanted Malware」（最も指名手配されているマルウェア）です。これは世界中に蔓延・拡散しているマルウェアの状況について月ごとにまとめたレポートで、マルウェアの種類だけでなく、悪用されている脆弱性も紹介しています。

　2020年1月から7月までのレポートによれば、最も多く悪用されている（狙われている）脆弱性は概ね「MVPower DVR Remote Code Execution」となっていますが、Heartbleedも常に上位を占めており、6月はトップとなっています。MVPower DVR Remote Code ExecutionとHeartbleedの各月での順位と、それぞれの脆弱性を狙われた企業や組織の割合を示したのが以下の表です。

　MVPower DVR Remote Code ExecutionとHeartbleedの差はほぼ誤差の範囲なので順位そのものにさほどの意味はありませんが、とにかく、公開から6年以上が過ぎているにもかかわらず、Heartbleedが今も狙われているのは確かでしょう。もちろん、この結果だけをもって、脆弱なままのOpenSSLが数多く残っていると断言することはできないかもしれませんが、これまで何度も本連載で紹介しているように、古い脆弱性への対応を疎かにしてはいけないことを示す結果であるのは間違いありません。その一方で、OpenSSLはさまざまなソフトウェアや機器に組み込まれており、その存在すら気付かれないまま放置されている可能性は十分にあります。今一度、Heartbleedへの対応に漏れがないか確認することをお勧めします。