包括的な対策が求められるソフトウェアの脆弱性管理
2022年6月24日、JAPANSecuritySummit Update 編集部主催のウェビナーにてサイオステクノロジー上席執行役員情報セキュリティ担当 面和毅(おも かずき)が、2022年上期におけるインシデントと脆弱性の動向、今後の対策などを解説しました。
テクノロジー2022年7月 8日
脆弱性を悪用するサプライチェーンへの攻撃やランサムウェアによる被害の拡大
2022年6月24日にJAPANSecuritySummit Update 編集部主催のオンラインセミナー「脆弱性管理のなにから始めるべきか?~最新の脅威動向から考える~」が開催されました。その冒頭、「最近の状況を鑑みた脆弱性対策の重要性について」と題して講演したサイオステクノロジー 上席執行役員情報セキュリティ担当 面和毅は、2022年の第1四半期に注目されたインシデントの傾向に触れました。
「大手自動車メーカーを標的にしたサプライチェーン攻撃が業務に大きな被害を与えました。取引先の部品メーカーの子会社が特定の外部企業との専用通信に独自に利用していたリモート接続機器に脆弱性があり、不正アクセスのきっかけになったことが大きく報じられました」(面)
また、海外の飲料、食品メーカーなどがランサムウェア攻撃を受けるインシデントも相次ぎました。
「特に2019年頃から二重脅迫型と呼ばれるタイプが増加傾向にあります。暗号化したデータを復元するために身代金を要求するだけでなく、要求に応じない場合にその盗んだデータを外部に流出させると脅迫する手口です」(面)
ランサムウェアをばら撒く侵入経路も、フィッシングなどのメール経由だけでなく、ファイアウォールなどのネットワーク機器やサーバーの脆弱性を利用するなど多様化していると面は指摘します。
脆弱性の動向やインシデントの教訓に基づく対策とは
次に2022年前半に公知となった脆弱性の傾向について、面は説明しました。
「1月から5月にかけてCVE(共通脆弱性識別子)の公開件数は毎月2000件近くとハイペースで公開されています。2022年以降は特に、緊急度の高い脆弱性が目立ちます。脆弱性の公開と同時にPoC(脆弱性を実証するために作られるプログラム)が公開されるケースもあり、重大な脆弱性がすぐ悪用されるパターンが頻発しています。あるロードバランサー製品では脆弱性公開後わずか10時間ほどで2500回以上の不正なリモートコードが実行されたと報告されています」(面)
面は、重大なインシデントでの教訓や脆弱性の動向を踏まえて次のような対策の必要性を挙げました。
- 端末、サーバー、ネットワーク機器などの包括的な脆弱性管理の実施
侵入経路は多様化しています。個々の機器を個別管理するのではなく、サーバー、OS、ネットワーク機器などを一元監視・管理します。脆弱性公開後に攻撃をすぐに検知できるようにしましょう。 - CI/CDパイプラインに脆弱性検査を組み込む
開発段階から使用するライブラリやフレームワークの脆弱性を悪用してリモートから不正なコードを実行する攻撃が増えています。ソフトウェアサプライチェーンの上流からリスクを低減する対策を講じましょう。 - SBOM(ソフトウェア部品表)の整備
「自社でどのようなソフトウェアを使っているのか、また提供しているのか」「どのような設定をしているのか」などの情報を可視化します。気づかずに重大な脆弱性を抱え込んでいるかもしれません。日頃から情報を収集・整備することが脆弱性管理の観点から重要です。
この日のJAPANSecuritySummit Update 編集部主催のオンラインセミナーでは、有識者によるパネルディスカッションを通じて視聴者との質疑応答も活発に行われました。なお、セキュリティメディア:JAPANSecuritySummit Updateにてセミナー全編を公開(https://japansecuritysummit.org/2022/07/3989/)しています。
サイオステクノロジーも、情報セキュリティ水準を高めるための情報や知見をさまざまな機会を通じて引き続き発信してまいります。
記事の関連情報
- サイオスセキュリティブログ「2022Q1セキュリティ脅威動向まとめ」
- サイオスコーポレートブログ「セキュリティ一筋に。フレキシブルな活躍で、メンバーを鼓舞する──サイオステクノロジー 上席執行役員 面 和毅」
- サイオスコーポレートブログ「新戦力が追加され、パワーアップした発信力。オープンソース業界で、サイオスの存在感を強く押し出す!」