Javaの脆弱性の悪用が減少――Ciscoによる年次セキュリティ報告書　ほか

1）Javaの脆弱性の悪用が減少

　実際に攻撃に悪用された（可能性のある）脆弱性について当該ソフトウェアのベンダーでまとめたのが図2です。

図2

　近年、脆弱性を悪用されることの多いソフトウェアの1つとしてJavaが挙げられてきましたが、この図が示すように、2014年1月1日から同年11月30日までの期間で、Ciscoとして確認できたJava関連のものは1件のみとなっています。ちなみに、NVD（National Vulnerability Database）のデータによれば、Javaの脆弱性そのものも、2013年が309件だったのに対し、2014年は253件に減っています。

　Javaの脆弱性を悪用する件数が減った理由として、報告書では、Javaの自動更新機能のほか、ウェブブラウザーのベンダーが古いバージョンのJRE（Java Runtime Environment）を標準でブロックするようになった点を挙げています。また、最新のJavaであるJava 8は以前のバージョンに比べて攻撃に悪用しにくい設計になっている点も重要です。なお、Javaの脆弱性を悪用した新規のゼロデイ攻撃は、2014年には確認されなかったそうです。

　このような中、攻撃者はJava以外に目を向けており、例えば、更新漏れの多いAdobe Flash PlayerやPDFリーダー、ブラウザーが対象となっており、特にMicrosoft Silverlightについては件数そのものはまだ少ないものの増加が目立っているとしています。どの時点との比較かは明確ではありませんが、Silverlightの増加率は228％との数字が示されています。

2）多くのOpenSSLが未更新

　OpenSSLを使用しているデバイスを調査した結果を示した図8によれば、その56％が50カ月以上前の古いバージョンのOpenSSLを使用しているそうです。つまり、昨年公になったHeartbleedやPOODLEなど脆弱性が残っている可能性があるデバイスが半数以上存在するということを意味しています。ちなみに、Heartbleedはバージョン1.0.1系以降のもののみが対象であるため、1.0.0系およびそれ以前のものであれば、たとえ古くてもHeartbleedの影響は受けません。それでも、2014年はHeartbleed以降もすべてのバージョンに対して脆弱性の修正が複数回行なわれています。50カ月以上も古いバージョンが脆弱であることに変わりはないでしょう。

図8

3）ウェブブラウザーの自動更新機能の有効性

　今回の報告書では、ウェブブラウザーの自動更新機能の有効性についても言及しています。比較しているのはMicrosoft Internet Explorer（IE）とGoogle Chromeだけですが、Chromeによるアクセスの64％が最新のバージョンからのものであるのに対し、IEはわずか10％にとどまっているそうです。この点について報告書では、IEのユーザーよりもChromeのユーザーの方が技術的に熟練しているからとも考えられるとしつつも、Chromeの自動更新機能は「成功している」と言えるだろうとしています。そして、この件とJavaの脆弱性の悪用が減っていることを合わせ、ソフトウェアの自動更新はセキュリティ対策として有効であり、企業や組織は自動更新に伴う事故や非互換性の問題などを受け入れるべき時が来たのではないかとしています。

　しかし、利用者側に自動更新に伴うリスクを受け入れろというのは現実的ではありません。それよりも、ベンダ－側に対して互換性を維持（セキュリティ修正に新しい機能の追加を含めないなど）し、可能な限り問題が生じないような自動更新の仕組みを提供するように強く働きかけることの方が先でしょう。この点については、ある程度の「基準」が必要かもしれません。

　今回の報告書では、他にも、最近のスパム配信業者がボットネットなどを使って多数のコンピューターからそれぞれ少しずつ配信することで検知されにくくしているなど、さまざまな調査結果を紹介しています。興味のある方には一読をお勧めします。

Step 1：脅威の特定

［偶発的なもの］

• Are employees using unauthorized programs or apps?
• Are they using work computers to check personal email?
• Has anyone been pirating software?
• Are you sure your employees’ credentials are in good hands
• Have you gone out of your way to prevent tailgating?（tailgating＝共連れ）
• Are your employees familiar with scams and how to avoid them?

［意図的なもの］

• Have employees been transferring files between work and personal computers or devices?
• Would an ex-employee have any way of gaining access to your systems from an outside computer?
• Is sensitive data on removable storage encrypted?
• Have any employees quit without returning company devices or storage media?
• Are you using multi-factor authentication to protect sensitive networks and apps?
• Do only trusted employees have access to critical information?