Trend Micro DIRECTION 2017年11月17日

世界トップの脆弱性発見コミュニティ “Zero Day Initiative”とは?

〜発見と対応の両輪でインターネットの安全に貢献〜

「脆弱性」はセキュリティにおいて、基本の対策でありながら永遠の課題とも言えるのではないだろうか。今年、世界中で流行した「WannaCry」と「Petya」という代表的なワーム型ランサムウェアは、Windowsの同じ脆弱性を利用して拡散した。公開サーバの脆弱性を狙った攻撃も継続しており、情報漏えいの被害も増加している※1。さらに今後「Mirai」※2にみられるようなIoTデバイスの脆弱性を利用した攻撃も警戒される。

こうした脆弱性をいち早く発見することで、ソフトウェアベンダに修正を求め、攻撃への悪用を阻止しているのがトレンドマイクロが運営する脆弱性発見コミュニティ“Zero Day Initiative(ZDI)”だ。実に世界で報告される全脆弱性のうちおよそ半数が彼らによるものだという。ではZDIは、いかにして、高い成果をあげ、インターネットの安全に寄与しているのだろうか――。11 月に東京で開催された脆弱性発見コンテストのために来日した ZDIでグローバルコーディネーターを務めるShannon Sabensに話を聞いた。

トレンドマイクロ Zero Day Initiative(ZDI)
グローバルコーディネーター Shannon Sabens

3,000人以上の研究者が脆弱性の発見を競う

── まずはZDIの概要を教えてください。

ZDI は、サイバー攻撃に悪用される危険のあるソフトウェアの脆弱性を発見するためのコミュニティで、世界中のセキュリティ研究者が参加しています。2005 年に開始し、10年以上の歴史があります。現在では世界約 80 カ国約 3,000 名のセキュリティ研究者が参加しています。

ZDIでは、彼から収集した脆弱性情報を、攻撃に悪用される前にソフトウェアベンダに連絡し対応を求めたり、一般公開することで、インターネットの安全向上を図っています。

── 世界中から研究者を集めるコミュニティの特徴とは?

ひとつは、どんな企業の製品やサービスでも幅広く扱う中立性の維持です。ZDI の脆弱性公開方針がオープンになっていることも特徴です。こういう場合は公開する、こういう条件なら公開を待つ、というポリシーが明確に定められています。たとえトレンドマイクロの製品であっても ポリシーに則りZDI は公開するでしょう。どんな相手でもポリシーを変えません。開始から 10 年以上にわたり一貫して研究者とベンダに敬意を払い、透明性の高いポリシーのもと脆弱性情報を扱ってきたことが、わたしたち ZDI が信頼を得られている理由だと思います。

またZDIでは脆弱性報告者に対して報奨金を支払いますが、これはコミュニティを成長させる意図で行っています。開発元に脆弱性を報告する際、本人の希望がない限り、個人情報を伝えることは絶対にありません。情報源のプライバシーは厳重に秘匿されるのです。

そのほか、大企業を中心にグローバルで利用されるTippingPoint のフィルターに ZDI の脆弱性情報が用いられていることも信用を裏付ける一因になっています。

他ベンダを圧倒する脆弱性公開件数

脆弱性を自ら検証、適切な対応をベンダと協議

── 発見された脆弱性にZDIではどのように対処するのか。

ソフトウェアベンダに報告し、修正を求めることで、攻撃への悪用を防ぎます。また、報告された脆弱性については、脆弱性を検証し調査を行います。脆弱性を正確に把握することで、ソフトウェアベンダに適切な対応を求めることができるのです。

ZDIでは脆弱性の範囲や重要度などに応じた対応基準を設けており、それに照らし合わせた対応をベンダと協議していきます。脆弱性の発見だけなく、その後のベンダの対応まで支援することが、インターネットの安全につながりますし、またZDIの信頼性にもつながっているのだと思います。

残念ながら、脆弱性対策に積極的ではないベンダも存在します。こうしたケースにおいて、脆弱性が危険なまま放置されないよう、根気強く啓発を行い、その重要性を理解してもらうのも活動の一つです。修正対応のプロセスが整備されていないベンダには、ノウハウをもとに修正するプロセスをサポートすることもあります。昨今では、デバイスの多様化などにともない、ソフトウェアの対象も拡大しています。このためこうした活動がより重要になっています。

── IT環境の変化が新しいチャレンジをもたらしているということですね。

最近では SCADA の脆弱性などに関しても、迅速な情報収集と対応の実績を残しています。2016 年だけで、SCADA/ICSの脆弱性に対する300件にものぼる脆弱性フィルターの提供につながっています※3。また、2010年に問題になったStuxnetのケースでも、ZDIはいち早く研究者から報告をうけて、情報を把握していました。ベンダからも修正パッチが公開されていましたが、実環境では脆弱性は修正されずに残っていたため、ZDIでの脆弱性情報が結果として、新しいフィルターとしてユーザを保護することになりました。

── 今後のチャレンジを教えてください。

ZDI による脆弱性公開件数は右肩上がりで増加しています。インターネットとスマートフォンの普及によって、ソフトウェアの数が著しく増加し、潜在的に攻撃リスクを持つ対象が広がったことがひとつの原因です。また、 IoT など生活や人体に密接した機器やアプリケーションの存在によって、これまでよりも大きな影響が危惧されつつあり、一般社会における脆弱性に対する注目も高まっています。こうした変化の中でわたしたち ZDI は、セキュリティ研究者とソフトウェアベンダの間のギャップを埋める役割を今後も果たしていきたいと思います。

※1 トレンドマイクロ調べ:2107年上半期の公開サーバの攻撃による情報漏えい被害は240万件で、2016年1年間の348万件の7割に達するスピード。
※2 2016年秋頃より流行しているLinuxを搭載したIoT機器を狙うマルウェア。感染したIoT機器がボットネットを構築し、大規模な分散型サービス拒否(DDos)攻撃を行う。2016年には複数の有名企業がサービス停止などに追い込まれる事態が発生。感染拡大の原因としては「Mirai」のソースコードが公開されていることのほか、脆弱性をもつIoT機器の増加が指摘されている。
※3 ZDI 2016年実績。