全3297文字
PR

 情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が2021年10月6日、Apache HTTP Serverの脆弱性を公開した。Apache HTTP ServerはWebサーバーソフトで、世界中のWebサーバーの3割以上が利用しているといわれている。脆弱性診断やセキュリティー教育を手掛けるトライコーダの上野宣社長は「この脆弱性についてはいち早く対処すべきだ」と話す。

 脆弱性を放置すると、攻撃者が悪用することで情報漏洩やウイルス感染、システムの乗っ取り・破壊、サイトの改ざんといったさまざまな被害が発生する恐れがある。このため、組織で利用するソフトウエアに脆弱性が見つかれば、なるべく早く対処すべきだ。一方で、脆弱性は毎日のように見つかっているため、すべての脆弱性に対してすぐに対処するのは難しい。そこで数ある脆弱性の中から危険度を見極め、どの脆弱性を優先的に対処すべきかを解説する。

脆弱性の状況を「枕詞」で知る

 新しい脆弱性が見つかると、ソフトベンダーは脆弱性を修正するプログラム(パッチ)などの対策措置を講じようとする。一方で、攻撃者は脆弱性を悪用して攻撃する方法を見つけ出そうとする。脆弱性の危険度は、パッチが提供されているのか、攻撃方法が見つかっているのかといった状況によって大きく変わる。こうした状況は、公開情報にある「既知の脆弱性」の「既知の」ように脆弱性を説明する言葉、いわゆる枕詞(まくらことば)で分かることがある。

 既知とは、その存在が広く知られていることを意味する。具体的には、IPAやJPCERT/CC、セキュリティーベンダーなどのセキュリティー情報で取り上げられた脆弱性である。既知の反対の意味で使われるのは「未知」である。未知の脆弱性は、これから見つかる可能性がある脆弱性や、IPAやJPCERT/CCに届け出はあったが公表されていない脆弱性、攻撃者を含む一部のハッカーだけが知っている脆弱性などを指す。

 脆弱性が見つかってもパッチが提供されていない状態を「ゼロデイ状態」、ゼロデイ状態にある脆弱性を「ゼロデイ脆弱性」という。特に、ゼロデイ脆弱性を悪用する攻撃は「ゼロデイ攻撃」と呼ぶ。ゼロデイ状態が続けば、その分攻撃を受けやすくなる。

 公開情報で最も注目すべきは、「PoCが存在する」「攻撃コードが存在する」「攻撃が確認されている」といった言葉である。

 PoCとはProof of Conceptの略で、脆弱性を実証するためのプログラムを指す。脆弱性による想定外の動きを確認するためのプログラムだが、PoCが存在すれば攻撃者が応用して攻撃を仕掛けたり攻撃方法のヒントを得たりする可能性がある。

 「PoCが存在する」より危険度が増すのが、「攻撃コードが存在する」ときである。攻撃コードは脆弱性を利用して攻撃を実行できるコード(プログラム)である。最も危険な状況が「攻撃が確認されている」ときである。この状態の脆弱性を放置すれば、いつ攻撃を受けてもおかしくない。

 非常に危険な状況にある脆弱性については、IPAは「重要なセキュリティ情報」として、JPCERT/CCは「注意喚起」として両者のWebサイトでそれぞれ情報を提供する。こうしたセキュリティー情報には、それぞれの脆弱性に対してどのように対処したらよいかが示されている。具体的には、ソフトウエアベンダーから提供されるパッチを適用する、攻撃を受けにくくする設定に変える、代替のソフトウエアに切り替えるなどである。

危険性の高い脆弱性の収集に役立つ、情報処理推進機構の「重要なセキュリティ情報」
危険性の高い脆弱性の収集に役立つ、情報処理推進機構の「重要なセキュリティ情報」
(出所:情報処理推進機構)
[画像のクリックで拡大表示]