ミニ連載:いまさら聞けない「脆弱性」の話 (1) ― 脆弱性とは何か?
そこで、今回は情報セキュリティの話題の中でも頻繁に登場する「脆弱性(ぜいじゃくせい)」について全3回の連載記事で解説します。脆弱性の基本からIoT機器における脆弱性対策の重要性までご理解いただき、自組織におけるセキュリティインシデントの被害を防止するための参考にしていただけますと幸いです。
IoT機器の普及によって個人や法人はこれまで実現できなかった環境の構築など様々な恩恵を受けることができるようになりました。しかしながら、IoT機器が利活用されるに伴いサイバー犯罪者はこれらの機器のセキュリティ上の脆弱さやユーザのセキュリティ意識の甘さに目を付け、脆弱なIoT機器をサイバー攻撃に悪用することを目論むようになりました。中でもIoT機器を狙うウイルス「Mirai」は昨今において様々な亜種が確認されており、その亜種は多種多様なIoT機器の“脆弱性”を悪用することが確認されています。このことから、一般的なPCやサーバに限らずIoT機器においても“脆弱性”の対策は喫緊の課題となっていますが、IoT機器に対するユーザ側のセキュリティ意識は一般的なPCやサーバに比べるとまだ高くないこともあり、中々その対策が浸透していないのが現状です。
そこで、今回は情報セキュリティの話題の中でも頻繁に登場する「脆弱性(ぜいじゃくせい)」について全3回の連載記事で解説します。脆弱性の基本からIoT機器における脆弱性対策の重要性までご理解いただき、自組織におけるセキュリティインシデントの被害を防止するための参考にしていただけますと幸いです。
・第1回(今回の記事):「脆弱性とは何か?」→ 脆弱性を悪用する脅威と共に説明します
・第2回:「CVE?ゼロデイとは?」→ 脆弱性をより深く理解するためのキーワードを解説します
・第3回:「脆弱性対策のいろは」→ 今すぐできる対策から技術的対策までご紹介します
脆弱性とは?情報セキュリティマネジメントシステムに関する国際規格であるISO 27000シリーズにおいて脆弱性は
「一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点」
と定義されています。
もう少しかみ砕いて説明しますと、広義ではソフトウェアだけではなくハードウェア、人的なオペレーションにまで及ぶ「サイバー攻撃の付け入る隙」全般を指します。他方、狭義は「プログラムに内在する情報セキュリティ上の欠陥」のことです。これは「セキュリティホール」と呼ぶこともあります。
広義の「付け入る隙」を網羅的に棚卸しすることは大変です。システムを構成する機器、ネットワーク、セキュリティ対策状況などを理解した上でサイバー攻撃の手口を分解していく必要があります。そちらの手法の説明は別の機会に譲るとしまして、ここでは狭義の「プログラムの欠陥」に注目して話を進めます。
脆弱性を悪用する脅威2020年3月にIPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2020」(※1)で列挙されている組織のセキュリティ脅威においても脆弱性を悪用する攻撃がいくつも登場します。例えば組織に対する10大脅威の1位「標的型攻撃による機密情報の窃取」は、メールに添付されたファイルからのウイルス感染などがきっかけになりますが、ウイルスに感染してしまう原因は端末の脆弱性の悪用などが挙げられます。また、ウイルス感染後に情報を盗む活動などにおいても脆弱性が悪用されることがあります。
そして冒頭で述べた通り、脆弱性の悪用についてはIoT機器も例外ではありません。9位の「IoT機器の不正利用」では、IoT機器に内在する脆弱性を突かれウイルスに感染したり、外部から機能を不正利用されたりする恐れを指摘しています。実際にIoT機器を狙うウイルス「Mirai」の亜種では、サイバー犯罪者が特定のIPカメラ(ネットワークカメラ)、スマートTV、ルータなどの脆弱性を悪用することでこれらのIoT機器を不正に遠隔操作する事例が確認されています。
他にも、2017年に猛威を振るったランサムウェア「WannaCry」はWindowsの脆弱性を利用して感染拡大しました。ランサムウェアとは、感染したPCのロックやデータの暗号化によって利用不能にしてしまう不正プログラムです。世界中で多くの企業が被害にあい、日本も例外ではありませんでした。国内の製造業においてもWannaCryが原因で工場が一時停止し、自動車約1,000台分の生産にも影響したそうです。(*2)
適用されなかったパッチ脆弱性をふさぐ手段としてメーカーから「パッチ」が提供されます。パッチとは脆弱性が確認されたソフトウェアを修正するプログラムのことです。先に紹介したWannaCryでは、2017年3月にMicrosoftからサポート対象Windows向けのパッチが公開されていたにも関わらず、2か月後には世界中で大規模な攻撃が開始されました。いかに多くのWindows OSがパッチを適用していなかったか、また、いかに多くのサポート外Windows OSが使われていたかが見て取れます。
脆弱性を放置することは非常に危険です。使用する製品に脆弱性があるかどうかを監視し続けるのが困難な場合は、製品のソフトウェアを常に最新版に保つよう心がけましょう。
第2回は脆弱性をより深く理解するためのキーワード、「CVE」「CVSS」「ゼロデイ」を紐解きます。
執筆者:トレンドマイクロ株式会社 IoT事業推進本部 堀之内 光
*1) https://www.ipa.go.jp/security/vuln/10threats2020.html
*2) http://www.nikkei.com/nkd/company/article/?DisplayType=1&n_cid=DSMMAA13&ng=DGXLASDZ21H9Y_R20C17A6EAF000&scode=7267&ba=1