情報畑でつかまえてロゴ
本サイトは NTTテクノロスが旬の IT をキーワードに
IT 部門が今知っておきたい最新テクノロジーに関する情報をお届けするサイトです

4.OSSや多様化するAPの脆弱性とそれを狙うマルウェアが拡大する

今回は、「OSSや多様化するAPの脆弱性とそれを狙うマルウェアの拡大」をテーマに、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応を紹介したいと思います。

4.OSSや多様化するAPの脆弱性とそれを狙うマルウェアが拡大する

はじめに

 前回のコラムでは、「業界内/間の連携によるセキュリティ対策が強化される(その2)」をテーマに、コンピュータセキュリティに関するインシデント対応をする組織であるCSIRTについてメリットや課題を紹介しました。

 今回は、「OSSや多様化するAPの脆弱性とそれを狙うマルウェアの拡大」をテーマに、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応を紹介したいと思います。

日々公表される脆弱性情報を活用する上での課題

 日々どれだけのOSSやAPに関する脆弱性情報が公表されているか、ご存知でしょうか? JVN(Japan Vulnerability Notes)で公開されている情報だけでも2016/6/1~6/30の期間で22製品30件も公表されており、その数は日々増え続けています。

表1 JVNで公開されている脆弱性情報(2016/6/1~6/30)

公表日

JVN番号

脆弱性情報の概略

2016/06/30

JVN#89379547

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

2016/06/29

JVN#30260727

スマートフォンアプリ「スシロー」における SSL サーバ証明書の検証不備の脆弱性

2016/06/27

JVN#39594409

DMM.comラボ製の動画再生用スマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性

2016/06/27

JVN#45034304

複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性

2016/06/27

JVN#77403442

複数のひかり電話ルータおよびひかり電話対応機器における OS コマンドインジェクションの脆弱性

2016/06/27

JVN#42930233

QNAP QTS におけるクロスサイトスクリプティングの脆弱性

2016/06/24

JVNVU#95927790

OS X 向け Alertus Desktop Notification に不適切な権限設定の問題

2016/06/24

JVN#61578437

WordPress 用プラグイン「Welcart e-Commerce」におけるセッション管理不備の脆弱性

2016/06/24

JVN#55826471

WordPress 用プラグイン「Welcart e-Commerce」におけるクロスサイトスクリプティングの脆弱性

2016/06/24

JVN#95082904

WordPress 用プラグイン「Welcart e-Commerce」におけるクロスサイトスクリプティングの脆弱性

2016/06/24

JVN#47363774

WordPress 用プラグイン「Welcart e-Commerce」における PHP オブジェクトインジェクションの脆弱性

2016/06/22

JVNVU#97008560

mDNSResponder に複数の脆弱性

2016/06/22

JVNVU#92564194

Apple AirPort Base Station にメモリ破損の脆弱性

2016/06/22

JVN#75028871

CG-WLR300GNV シリーズにおいて認証試行回数が制限されていない脆弱性

2016/06/22

JVN#24409899

CG-WLBARAGM におけるサービス運用妨害 (DoS) の脆弱性

2016/06/22

JVN#76653039

CG-WLBARGL におけるコマンドインジェクションの脆弱性

2016/06/20

JVN#07710476

Apache Struts において任意のコードを実行可能な脆弱性

2016/06/20

JVN#12352818

Apache Struts におけるサービス運用妨害 (DoS) の脆弱性

2016/06/20

JVN#45093481

Apache Struts における複数の脆弱性

2016/06/16

JVN#55428526

Deep Discovery Inspector において任意のコードが実行可能な脆弱性

2016/06/16

JVNVU#99609116

Adobe Flash Player にメモリ破損の脆弱性

2016/06/14

JVN#96052093

ETX-R におけるサービス運用妨害 (DoS) の脆弱性

2016/06/14

JVN#61317238

ETX-R におけるクロスサイトリクエストフォージェリの脆弱性

2016/06/13

JVNVU#94303845

NETGEAR D6000 および D3600 に複数の脆弱性

2016/06/08

JVN#15205734

DXライブラリにおいて任意のコードが実行可能な脆弱性

2016/06/07

JVN#74659077

TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性

2016/06/07

JVN#65044642

Apache Struts 1 における入力値検証機能に関する脆弱性

2016/06/07

JVN#03188560

Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性

2016/06/03

JVNVU#94410990

NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性

2016/06/02

JVNVU#99203738

Fonality (旧称 trixbox Pro) に複数の脆弱性

 ですが、これだけの件数の脆弱性情報全てが、自分たちが運用もしくは開発しているアプリケーションやシステムに影響があるものとは限りません。まずは、公表された脆弱性情報が自分たちに影響があるものかどうかを確認すると思います。

 さて、皆さんはその確認をどのように行っていますでしょうか?脆弱性情報を1つ1つ目視で詳細に確認して影響があるかを判断していたりするのでしょうか?中にはそういった方もいるかもしれませんが、脆弱性情報の件数や自分たちが利用している製品の種類数が多くなればなるほど目視確認を日々行うのは非効率になり継続実施が難しいのではないでしょうか?

 では、もっと効率的に実施する方法はあるのでしょうか?結論を先に言ってしまうと、現時点でベストな方法はまだ確立されていません。確立するためには以下に示す課題を解決する必要があるからです。

【脆弱性情報が自分たちに影響があるかの確認を効率的に行う上での課題】

  • 所有しているアプリケーションやシステムの資産管理が十分ではない
  • 脆弱性情報を見ても自分たちでリスクの大きさや影響を判断し難い

脆弱性情報

 上記の課題を解決するヒントとして、昨今、情報処理推進機構(IPA)で「自社で使用しているシステムや自社が販売しているシステムで使用されているソフトウェアを一元的に管理する仕組み」の実現に向けた実現性の検証が行われており、その報告書(※)が公開されています。(※https://www.ipa.go.jp/sec/reports/20160309.html)

 今後は、こういった検証結果をヒントに、脆弱性情報と自社内の資産管理情報との紐付けを効率的に実施し迅速に脆弱性対策を行う仕組みやサービスが望まれます。当社でもその一端を担うソリューションとしてTrustShelter/VAを提供して、脆弱性対策の効率化/迅速化に貢献しようとしています。

脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応

 どういった「もの」がマルウェアに攻撃対象とされるか、ご存知でしょうか?

 その答えは、ソフトウェアが搭載された/搭載可能な「もの」や何らかのネットワークで外部と接続ができる「もの」全てです。

 「サイバーセキュリティトレンド2016」でも取り上げていますが、最近では、あらゆるものにソフトウェアやインターネット接続機能などが搭載されており、こういったものも攻撃対象となってきています。

 実際に、身近なものとしてPOSシステム(スーパーマーケットのレジなどで商品のバーコードを読み込んで販売情報を記録する等)の脆弱性を狙ったマルウェアによる被害事例などがここ数年で報告されています。

<POSシステムの脆弱性を狙ったマルウェアによる被害事例>

2013年12月

マルウェア名:BlackPOS

米国大手小売業「Target」は、クリスマスのショッピングシーズンに、情報を窃取する POSマルウェア「BlackPOS」を利用した攻撃で、情報漏えいの被害を受けました。この攻撃により、サイバー犯罪者は4千万件のクレジットカードおよびデビットカードの番号、また7千万人にのぼる Targetの顧客の個人情報を窃取したと推測されています。

(引用元:http://blog.trendmicro.co.jp/archives/9902)

2015年4月

マルウェア名:FighterPOS

ブラジル国内で2万2千以上のクレジットカード情報が窃取され100以上の組織が影響を受けました。(引用元:http://blog.trendmicro.co.jp/archives/11301)

2015年11月

マルウェア名:不明(POSマルウェアの一種)

世界的な高級ホテルチェーン・ハイアットで、レジ決済時にクレジットカード情報を抜き取るマルウェア(コンピュータウイルス)が発見された。日本のハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京の4拠点も被害に遭っており、クレジットカード番号・セキュリティコードなどが盗み取られた可能性が高い。レストランなどでクレジットカードを利用した人は、漏洩の危険性がある。

(引用元:http://biz-journal.jp/2016/01/post_13330.html)

 POSシステムの脆弱性を狙った被害だけでも上記のような事例が報告されていることから、今後はより一層、脆弱性情報と資産管理情報の紐付け強化と効率化が重要となります。

 特に、資産管理情報に関しては、従来からのIT機器だけではなくソフトウェアやネットワーク接続機能を搭載する/搭載可能な機器全てを対象としてもれなく管理していくことが必要です。

おわりに

 今回は、日々公表される脆弱性情報を活用する上での課題、それらの脆弱性を狙ったマルウェアの攻撃対象の変遷とそれに対する今後の対応についてご紹介しました。

 次回は、【特別編】としてランサムウェアをテーマにお伝えします。

「サイバーセキュリティトレンド2016」無料配布中!
著者プロフィール
奥津 純
奥津 純

NTTソフトウェア株式会社
クラウド&セキュリティ事業部
第一事業ユニット