IPAは、「ソフトウェア製品に脆弱性が発見され、その開発者から修正プログラム(パッチ)が公表されているが、実際に運用しているWebサイトがパッチを適用していないのではないか?」という旨の届出が増加している状況をふまえ、Webサイト運営者に対し脆弱性対策情報の収集とパッチの迅速な適用を呼びかけている。
脆弱性の放置はもっとも危険
まず、脆弱性についてであるが、一般的にはPCなどのハードウェアも含め、セキュリティ上の欠点などを意味する。その原因は、ハードウェアの欠陥やソフトウェア上のバグなどである。さらに、明白な欠点やバグのみならず、開発者の意図しない利用形態や設計での見逃しなどもその原因とされる。脆弱性は、悪意を持った攻撃者にとっては、格好の攻撃目標となる。
ソフトウェアの脆弱性を狙った攻撃に対処するためには、攻撃が行われる前に、ソフトウェアに修正プログラム(パッチ)を適用することが、まずもっての防御策となる。しかし、最近では、脆弱性の公表から、その脆弱性を狙った攻撃が確認されるまでの時間が非常に短くなっており、Webサイト運営者は迅速な対応が求められる。
その一方で、脆弱性が放置されたままのケースも数多く報告されている。2008年末より猛威をふるうワーム、ダウンアドも脆弱性を利用しており、脆弱性の放置が流行の原因とされている。
IPAの集計によれば、2004年12月に公表された「Namazuにおけるクロスサイトスクリプティングの脆弱性」、2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性」のパッチ未適用の可能性を指摘する届出が、2009年3月16日までに272のWebサイトに対してあったとのことである。
その運営主体別の内訳は、民間企業が100のWebサイト、地方公共団体が74、教育・学術機関が37、団体(協会・社団法人)が32、政府機関が15など広範囲にわたる。さらにIPAの「2008年のコンピュータ不正アクセス届出状況」では、実際に被害があった原因として「古いバージョンの使用・パッチ未適用」が第2位で16件あり13%を占めている。IPAでは、実被害にあわないために、Webサイト運営者は、自組織のWebサイトが使用しているソフトウェアの脆弱性対策情報を収集し、未対策の場合はパッチの迅速な適用が必要と強く注意を喚起している。
脆弱性対策情報の収集方法
以下では脆弱性対策の情報収集の具体例を紹介しよう。
その1:脆弱性対策情報データベースJVN iPediaの活用
JVN iPediaは、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、以下の情報を公開している。
- 国内のソフトウェア製品開発者が公開した脆弱性対策情報
- 脆弱性対策情報ポータルサイトJVNで公表した脆弱性対策情報
- 米国立標準技術研究所NISTの脆弱性データベース「NVD」が公開した脆弱性対策情報から情報収集、翻訳したもの
2009年3月現在、6,000件を超える情報がある。JVN iPediaでは、開発者ごとに公開されている脆弱性対策情報を一カ所に集約することで、複数の開発者から情報を収集する手間を省き、効率的な情報収集を可能としている。検索機能も備えており、さまざまな情報を効率的に探すことができる。また、検索結果一覧から、概要や影響を受けた時の深刻度、影響を受けるシステム、対策情報などの詳細な脆弱性対策情報が入手可能である。
その2:脆弱性対策情報収集ツールMyJVNの活用
MyJVNは、JVN iPediaに登録された多数の情報の中から、利用者が、利用者自身に関係する情報のみを効率的に収集できるように、フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などを有し、2008年10月23日から公開している。
利用者が収集したい製品開発者やソフトウェアなどのフィルタリング条件を一度設定しておけば、その後はMyJVNへアクセスするだけで、設定したソフトウェアの最新の情報だけが自動的に表示され(図2)、効率的に情報が行える。さらに、脆弱性対策チェックリストを出力する機能もあるので、活用したい。
その3:パッチ対策の緊急度の評価
IPAでは脆弱性の深刻度を評価したCVSS基本値を公表している。JVN iPediaのCVSS計算ツール(図3)を用いると、各組織での対象製品の利用範囲や、攻撃を受けた場合の被害の大きさなどを考慮し、製品利用者自身が脆弱性への対応を判断ためのCVSS環境値を計算できる。この結果から、たとえばCVSS環境値が7.0以上は緊急にパッチ、4.0以上は月次パッチ、それ以外は定期保守でパッチなど、パッチ対策の緊急度の判断が可能となる。