4.OSSや多様化するAPの脆弱性とそれを狙うマルウェアが拡大する
今回は、「OSSや多様化するAPの脆弱性とそれを狙うマルウェアの拡大」をテーマに、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応を紹介したいと思います。
サイバーセキュリティトレンド
- 2016年08月18日公開
4.OSSや多様化するAPの脆弱性とそれを狙うマルウェアが拡大する
はじめに
前回のコラムでは、「業界内/間の連携によるセキュリティ対策が強化される(その2)」をテーマに、コンピュータセキュリティに関するインシデント対応をする組織であるCSIRTについてメリットや課題を紹介しました。
今回は、「OSSや多様化するAPの脆弱性とそれを狙うマルウェアの拡大」をテーマに、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応を紹介したいと思います。
日々公表される脆弱性情報を活用する上での課題
日々どれだけのOSSやAPに関する脆弱性情報が公表されているか、ご存知でしょうか? JVN(Japan Vulnerability Notes)で公開されている情報だけでも2016/6/1~6/30の期間で22製品30件も公表されており、その数は日々増え続けています。
表1 JVNで公開されている脆弱性情報(2016/6/1~6/30)
公表日 |
JVN番号 |
脆弱性情報の概略 |
---|---|---|
2016/06/30 |
JVN#89379547 |
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 |
2016/06/29 |
JVN#30260727 |
スマートフォンアプリ「スシロー」における SSL サーバ証明書の検証不備の脆弱性 |
2016/06/27 |
JVN#39594409 |
DMM.comラボ製の動画再生用スマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性 |
2016/06/27 |
JVN#45034304 |
複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性 |
2016/06/27 |
JVN#77403442 |
複数のひかり電話ルータおよびひかり電話対応機器における OS コマンドインジェクションの脆弱性 |
2016/06/27 |
JVN#42930233 |
QNAP QTS におけるクロスサイトスクリプティングの脆弱性 |
2016/06/24 |
JVNVU#95927790 |
OS X 向け Alertus Desktop Notification に不適切な権限設定の問題 |
2016/06/24 |
JVN#61578437 |
WordPress 用プラグイン「Welcart e-Commerce」におけるセッション管理不備の脆弱性 |
2016/06/24 |
JVN#55826471 |
WordPress 用プラグイン「Welcart e-Commerce」におけるクロスサイトスクリプティングの脆弱性 |
2016/06/24 |
JVN#95082904 |
WordPress 用プラグイン「Welcart e-Commerce」におけるクロスサイトスクリプティングの脆弱性 |
2016/06/24 |
JVN#47363774 |
WordPress 用プラグイン「Welcart e-Commerce」における PHP オブジェクトインジェクションの脆弱性 |
2016/06/22 |
JVNVU#97008560 |
mDNSResponder に複数の脆弱性 |
2016/06/22 |
JVNVU#92564194 |
Apple AirPort Base Station にメモリ破損の脆弱性 |
2016/06/22 |
JVN#75028871 |
CG-WLR300GNV シリーズにおいて認証試行回数が制限されていない脆弱性 |
2016/06/22 |
JVN#24409899 |
CG-WLBARAGM におけるサービス運用妨害 (DoS) の脆弱性 |
2016/06/22 |
JVN#76653039 |
CG-WLBARGL におけるコマンドインジェクションの脆弱性 |
2016/06/20 |
JVN#07710476 |
Apache Struts において任意のコードを実行可能な脆弱性 |
2016/06/20 |
JVN#12352818 |
Apache Struts におけるサービス運用妨害 (DoS) の脆弱性 |
2016/06/20 |
JVN#45093481 |
Apache Struts における複数の脆弱性 |
2016/06/16 |
JVN#55428526 |
Deep Discovery Inspector において任意のコードが実行可能な脆弱性 |
2016/06/16 |
JVNVU#99609116 |
Adobe Flash Player にメモリ破損の脆弱性 |
2016/06/14 |
JVN#96052093 |
ETX-R におけるサービス運用妨害 (DoS) の脆弱性 |
2016/06/14 |
JVN#61317238 |
ETX-R におけるクロスサイトリクエストフォージェリの脆弱性 |
2016/06/13 |
JVNVU#94303845 |
NETGEAR D6000 および D3600 に複数の脆弱性 |
2016/06/08 |
JVN#15205734 |
DXライブラリにおいて任意のコードが実行可能な脆弱性 |
2016/06/07 |
JVN#74659077 |
TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性 |
2016/06/07 |
JVN#65044642 |
Apache Struts 1 における入力値検証機能に関する脆弱性 |
2016/06/07 |
JVN#03188560 |
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性 |
2016/06/03 |
JVNVU#94410990 |
NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性 |
2016/06/02 |
JVNVU#99203738 |
Fonality (旧称 trixbox Pro) に複数の脆弱性 |
ですが、これだけの件数の脆弱性情報全てが、自分たちが運用もしくは開発しているアプリケーションやシステムに影響があるものとは限りません。まずは、公表された脆弱性情報が自分たちに影響があるものかどうかを確認すると思います。
さて、皆さんはその確認をどのように行っていますでしょうか?脆弱性情報を1つ1つ目視で詳細に確認して影響があるかを判断していたりするのでしょうか?中にはそういった方もいるかもしれませんが、脆弱性情報の件数や自分たちが利用している製品の種類数が多くなればなるほど目視確認を日々行うのは非効率になり継続実施が難しいのではないでしょうか?
では、もっと効率的に実施する方法はあるのでしょうか?結論を先に言ってしまうと、現時点でベストな方法はまだ確立されていません。確立するためには以下に示す課題を解決する必要があるからです。
【脆弱性情報が自分たちに影響があるかの確認を効率的に行う上での課題】
- 所有しているアプリケーションやシステムの資産管理が十分ではない
- 脆弱性情報を見ても自分たちでリスクの大きさや影響を判断し難い
上記の課題を解決するヒントとして、昨今、情報処理推進機構(IPA)で「自社で使用しているシステムや自社が販売しているシステムで使用されているソフトウェアを一元的に管理する仕組み」の実現に向けた実現性の検証が行われており、その報告書(※)が公開されています。(※https://www.ipa.go.jp/sec/reports/20160309.html)
今後は、こういった検証結果をヒントに、脆弱性情報と自社内の資産管理情報との紐付けを効率的に実施し迅速に脆弱性対策を行う仕組みやサービスが望まれます。当社でもその一端を担うソリューションとしてTrustShelter/VAを提供して、脆弱性対策の効率化/迅速化に貢献しようとしています。
脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応
どういった「もの」がマルウェアに攻撃対象とされるか、ご存知でしょうか?
その答えは、ソフトウェアが搭載された/搭載可能な「もの」や何らかのネットワークで外部と接続ができる「もの」全てです。
「サイバーセキュリティトレンド2016」でも取り上げていますが、最近では、あらゆるものにソフトウェアやインターネット接続機能などが搭載されており、こういったものも攻撃対象となってきています。
実際に、身近なものとしてPOSシステム(スーパーマーケットのレジなどで商品のバーコードを読み込んで販売情報を記録する等)の脆弱性を狙ったマルウェアによる被害事例などがここ数年で報告されています。
<POSシステムの脆弱性を狙ったマルウェアによる被害事例>
2013年12月 |
マルウェア名:BlackPOS 米国大手小売業「Target」は、クリスマスのショッピングシーズンに、情報を窃取する POSマルウェア「BlackPOS」を利用した攻撃で、情報漏えいの被害を受けました。この攻撃により、サイバー犯罪者は4千万件のクレジットカードおよびデビットカードの番号、また7千万人にのぼる Targetの顧客の個人情報を窃取したと推測されています。 |
2015年4月 |
マルウェア名:FighterPOS ブラジル国内で2万2千以上のクレジットカード情報が窃取され100以上の組織が影響を受けました。(引用元:http://blog.trendmicro.co.jp/archives/11301) |
2015年11月 |
マルウェア名:不明(POSマルウェアの一種) 世界的な高級ホテルチェーン・ハイアットで、レジ決済時にクレジットカード情報を抜き取るマルウェア(コンピュータウイルス)が発見された。日本のハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京の4拠点も被害に遭っており、クレジットカード番号・セキュリティコードなどが盗み取られた可能性が高い。レストランなどでクレジットカードを利用した人は、漏洩の危険性がある。 |
POSシステムの脆弱性を狙った被害だけでも上記のような事例が報告されていることから、今後はより一層、脆弱性情報と資産管理情報の紐付け強化と効率化が重要となります。
特に、資産管理情報に関しては、従来からのIT機器だけではなくソフトウェアやネットワーク接続機能を搭載する/搭載可能な機器全てを対象としてもれなく管理していくことが必要です。
おわりに
今回は、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応についてご紹介しました。
次回は、【特別編】としてランサムウェアをテーマにお伝えします。
NTTソフトウェア株式会社
クラウド&セキュリティ事業部
第一事業ユニット