サイバー攻撃は被害者のネットワークへの侵入が必須です。セキュリティ上の欠陥や弱点、いわゆる脆弱性をエクスプロイトする方法は、ソーシャルエンジニアリングや認証情報の窃盗と並んで攻撃者に取ってその有力な手法の一つです。HP Wolf SecurityがForensic Pathwaysと共同で行ったダークウェブに関する調査では、サイバー犯罪者がダークウェブ上でこのような目的のために議論している脆弱性が多数見つかり、深刻かつ実行が容易なものに議論の焦点が当てられていました。

一方、脆弱性を特定、定義、カタログ化することで業界で情報を蓄積し、分析や対応を促進する仕組みが存在します。ここではその概要を紹介し、どの様に脆弱性を取り扱うべきかの基礎知識を解説します。

米国政府（DHS、CISA）の支援を受け、非営利団体MITREによって運営されるコミュニティベースのCVE( Common Vulnerabilities and Exposures)プログラムが、公開された脆弱性にCVE IDという一意の識別子を付与し、CVE Listに登録することにより、業界全体で脆弱性を追跡することを可能にしています。CVEは脆弱性特定の国際的なデファクトスタンダードになっており、CVE Listは米国政府の脆弱性情報データベースである、NIST NVD(National Vulnerability Database)と連携しています。CVE IDの採番は、スケーラビリティーを確保するためにフェデレーションモデルが採用されています。CVEの登録は特定の適用範囲内（ベンダーの場合は自社製品）で、脆弱性にCVE IDを割り当て公開する権限を与えられたCNA(CVE Numbering Authority)により行われます。

脆弱性は利用者や研究者により発見された後に、ベンダーとのコミュニケーション、公開、修正のプロセスを経ます。脆弱性を一意に特定することはこれら一連のプロセスを行う際に、非常に重要になります。また、ベンダー内で脆弱性の取扱いのハブとなり、スムーズに情報を公開し、問題を解決するための組織がPSIRTです。従って、脆弱性に対する取り組みを適切に実施し、セキュリティに積極的に取り組んでいるベンダーかどうかの判断を行う際に、以下のポイントが参考になります。

• CNAの権限を持って自社で脆弱性の特定、CVE IDの採番ができる。
• PSIRTを社内で立ち上げて適切に脆弱性の管理をしている。
• 脆弱性情報の開示を包括的かつタイムリーに行っている。

HPを例に挙げると、CNAの権限を持ち、FIRST（Forum of Incident Response and Security Teams：セキュリティインシデントの被害を最小化するための国際的なCSIRT、PSIRTのコミュニティ）に参加するHP PSRTを社内に持ち、包括的な脆弱性情報のポータルSecurity Bulletin（セキュリティ情報）で脆弱性について迅速な通知と是正措置の提供を行っています。

なお、今後のHPセキュリティアラートを受け取るために購読を開始するには、こちらにアクセスください：  hp.com/go/alerts

CVEには、Common Vulnerability Scoring System（共通脆弱性評価システム）と呼ばれる、特徴や深刻度を伝えるためのオープンなフレームワークが設定されています。最新バージョンは3.1で、3つの評価基準から構成されています。基本評価基準(Base Metrics)は、時間やユーザー環境に関係なく一定である脆弱性の本質的な性質を表しています。現状評価基準(Temporal Metrics)は、時間とともに変化する脆弱性の特性を反映し、環境評価基準(Environmental Metrics)は、ユーザーの環境に固有の脆弱性の特性を表しています。基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)を評価することにより、脆弱性の深刻度を0～10.0の数値で表します。深刻度のレベル分けは次のように設定されています。

また、脆弱性の特徴はCVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:Hといった短縮表記でも表される、評価パラメーター（攻撃元区分(AV)  、攻撃条件の複雑さ(AC)、必要な特権レベル(PR)、ユーザ関与レベル(UI)、スコープ(S)、機密性への影響(C)、完全性への影響(I)、可用性への影響(A)）を検討することにより把握することができます。

現在、攻撃者が狙う脆弱性としてWindows OS、Windows Officeの脆弱性が多いと言われています。実際に、2022年Q1にHP Wolf Securityが隔離したトップ3のエクスプロイトは、CVE-2017-11882、CVE-2018-0802、CVE-2017-0199（CVEの次の4桁が採番された年の西暦）で、全てMicrosoft Officeを対象としてものでした。注目すべき点は、全て少なくとも4年前の脆弱性であるという事です。これは脆弱性に対して、リリースされたパッチの適用がユーザーによってタイムリーに行われていないことを反映していると考えられます。また、ダークウェブで議論されている脆弱性の深刻度の平均レベルは7.4であることがわかっています。攻撃者は脆弱性の全般的な深刻度だけでなく、実行の容易さにも注目していることもわかっていますので、これは深刻度が緊急(Critical)と分類される脆弱性に限定せず、その特徴を総合的に吟味し適切に脆弱性へ対応することの必要性を示していると考えられます。

さらに、OSより下のレイヤーのファームウェアに対する脆弱性を狙った攻撃も増えてきています。ファームウェアの脆弱性は、攻撃の入り口として使われる可能性は低いですが、その実行時の特権レベルが高いために、事業継続性に影響を及ぼす破壊的な攻撃や、対処の難しいステルス性の高い攻撃などの大きな被害につながる可能性が高いことが知られています。これからは、ファームウェアの脆弱性に対応することも検討する必要があるでしょう。

これらが示していることは、基本の重要性です。まず、脆弱性の情報を適切に開示・管理し、修正パッチをタイムリーにリリースしているベンダーの製品を採用し、運用においては脆弱性の評価を適切に行い、そのパッチのテスト、承認、導入、検証を迅速に行うことです。これら基本を実践することにより、ゼロにすることが不可能な脆弱性をコントロールし、サイバー犯罪の機会を減らすことができます。

Author : 日本HP