PR

脆弱性スキャナーを使おう

 企業などの管理者はこういった脆弱性情報を入手したら、該当するソフトウエアを使っているかどうかをすぐに調べるべきです。そのために、組織内で使っているソフトウエアの一覧を用意しておきましょう。

 例えばネットワーク機器やアプライアンスなどは、利用しているソフトウエアのリストをベンダーやインテグレーターからあらかじめもらっておきます。ただリストをくれないベンダーやインテグレーターもいます。その場合は自衛手段として、管理者が「脆弱性スキャナー」を使って調べましょう。

 脆弱性スキャナーとは、脆弱性のあるソフトウエアが稼働するサーバーを探すツール(ソフトウエア)です(図6)。サーバーのIPアドレスを指定して実行すれば、脆弱性の有無を表示します。脆弱性スキャナーは、攻撃者が使うツールだと考えている人もいますが、管理者向けに開発された脆弱性スキャナーも少なくありません。

図6●脆弱性スキャナーを使ってチェックする
図6●脆弱性スキャナーを使ってチェックする
ソフトウエアの脆弱性が見つかると、脆弱性のあるソフトウエアを使うサーバーを探すためのツール(ソフトウエア)「スキャナー」が公開されることが多い。攻撃者が使うものと思われがちだが、企業などの管理者が脆弱性の有無を確認するために使える。ただし、実行対象は自身が管理に関わるサーバーのみで、事前に情報システム部門などに通知しておく必要がある。
[画像のクリックで拡大表示]

 入手先は、脆弱性情報を公開するサイトやSNSから調べられます。ただ、脆弱性スキャナーを装ってウイルスに感染させるような危険なツールもあります。そこで、脆弱性スキャナーを入手するときはその出所を調べてください。脆弱性スキャナーがスクリプトの場合には、使う前に中身を確認することも重要です。

 スキャナーを活用できるようになると、危険な脆弱性に対応しやすくなります。ぜひ試してみてください。

 最後に、脆弱性対策で役立つテクニックを1つ紹介します。筆者が運用するハニーポットで、脆弱性があるサービスを稼働させておくと、1日何万、何十万もの攻撃を受けます。そのサービスのポートを別のポートに変えたところ、変更後のポートには1カ月間攻撃がゼロだったことがありました。

 libsshなどのリモートアクセスのポートは通常22番ですが、これを2022番などに変えるだけで攻撃を受けにくくになります。ただし、受けにくくなるだけなので、脆弱性が見つかった場合には、ソフトウエアを更新するなどして脆弱性を解消する必要があります。

▼調べられます
libsshの脆弱性の有無を調べられるスキャナーは次のURLから入手できる。
https://github.com/leapsecurity/libssh-scanner
https://github.com/kshitijkhakurdikar/pythonpentesting/tree/master/CVE-2018-10933
▼ハニーポット
わざと攻撃を受けるためにインターネットに公開した機器のこと。攻撃手法などを調べるために使う。
辻 伸弘(つじ のぶひろ)
ソフトバンク・テクノロジーで技術統括 脅威情報調査室プリンシパルセキュリティリサーチャーを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテストを担当。テレビや雑誌などのメディアに登場し、また様々な講演に多数登壇している。