- 脆弱性管理
Log4Shellとは?最悪レベルの脆弱性に学ぶ脆弱性管理のメリット
Apache Log4jに発見された重大な脆弱性「Log4Shell」。脆弱性の重大度を示すCVSSスコアが10点中10点と最高レベルとなっているこのLog4Shellがどのようなものなのかをおさらいしながら、ツールを使った脆弱性管理のメリットをご紹介します。
|
|
突然ですが問題です。
脆弱性って、1年間でいくつぐらい見つかるものでしょうか?
下にグラフを載せていますが、数年前までは年間数千件程度で増減しながら緩やかに増えていましたが、2017年に1万件を突破、以後どんどん増えて昨年2020年は18,352件も見つかっています。
[グラフ]1年間に見つかった脆弱性件数(最近20年分)
|
|
脆弱性を管理する組織や機関は世界各国に存在しますが、ここではアメリカのNIST(National Institute of Standards and Technology/国立標準技術研究所)が管理している「NVD」(National Vulnerability Database/脆弱性データベース、https://nvd.nist.gov)から、脆弱性情報としてリリースされた件数をグラフにしています。
NVDの場合、脆弱性情報が発見されると「CVE」(Common Vulnerabilities and Exposures、共通脆弱性識別子)という一意の番号が振られ、併せて「CVSS」(Common Vulnerability Scoring System、共通脆弱性評価システム)という、脆弱性の「重大度」が数値化されたものが公開されます。
さて、上記のグラフ、何だか凸凹していて分かりづらいですが、縦軸を対数にすると、波打ちながらも直線的に右肩上がりになっているように見えます(下図グラフの点線)。
[グラフ]1年間に見つかった脆弱性件数(最近20年分)※対数軸で表示
|
|
この点線の式を求めると、こんな数式になりました。
Y=2044.4e0.1077x
※X…2001年からの経過年数
Y…その年の1年間に見つかる脆弱性件数
e…自然対数の底(2.718281828…)
この式が正しければ、1年間に見つかる脆弱性の数が2026年には3万件を突破し、2038年には10万件を超える、なんていう暗黒の未来が待っている…のかもしれません。
[表]CVSS基本値と重大度区分
| CVSSv2基本値 | 重大度 |
| 7.0以上 | 高 |
| 4.0~6.9 | 中 |
| 3.9未満 | 低 |
| CVSSv3基本値 | 重大度 |
| 9.0以上 | 致命的 |
| 7.0~8.9 | 高 |
| 4.0~6.9 | 中 |
| 0.1~3.9 | 低 |
| 0.0 | なし |
「NVD - Vulnerability Metrics」(nist.gov) より
https://nvd.nist.gov/vuln-metrics/cvss
一般的に、脆弱性管理が業務として行われている場合、「CVSS7.0以上の脆弱性が発見されたら対処する」のような社内ルールで運用される場合もあるかもしれません。しかし、発見された脆弱性の中でCVSS7.0以上のものの割合は、実は約50~60%ほどもあるのです。
年間数千件…という数字は、人手で対処するには多すぎますよね。
[表]近年発見された主な脆弱性と影響、およびCVSS基本値
| CVE番号 | 概要 | 主な影響 | CVSS 基本値 |
|
| v2 | v3 | |||
| CVE-2017-0144 | Windows SMBのリモートでコードが実行される 脆弱性 |
WannaCryの流行(2017年) | 9.3 | 8.1 |
| CVE-2017-11882 | Microsoft Office数式エディタのスタックバッファオーバーフローの脆弱性 | 様々なマルウェア (遠隔操作ツール、ランサムウェア、コインマイナー等)の感染に悪用される(2018年~2019年) |
9.3 | 7.8 |
| CVE-2018-8174 | Windows VBScriptエンジンのリモートでコードが実行される脆弱性 | 7.6 | 7.5 | |
| CVE-2019-11510 | Pulse Secureで任意のファイルが読み出される 脆弱性 |
Pulse SecureのVPNパスワード流出事件(2020年) ⇒サイバー攻撃で社内LANへの 侵入に悪用される(2020年) |
7.5 | 10.0 |
| CVE-2019-11539 | Pulse Secureの管理インターフェースにログインしたユーザによって任意のコマンドを実行される脆弱性 | 6.5 | 7.2 | |
| CVE-2019-11540 | Pulse Secureでリモートの攻撃者によるセッションハイジャックの脆弱性 | 7.5 | 9.8 | |
| CVE-2020-1472 | Netlogonの特権の昇格の脆弱性 | いわゆるZelologonの脆弱性 (2020年) ⇒サイバー攻撃でドメイン管理者の権限奪取に悪用される(2020年) |
9.3 | 10.0 |
なぜ、CVSS値の高い脆弱性だけが、攻撃に利用されているわけではないのでしょうか。
攻撃者にとって重要なのは、その脆弱性が「重大かどうか」ではなく「利用しやすいかどうか」だからです。攻撃者は、1つの脆弱性を攻撃すればそれで完了というわけではありません。ターゲットのPCをマルウェアに感染させ操ったり、社内LANに侵入したり、ドメインのAdministrator権限を奪ったり…。脆弱性の攻撃は、単にサイバー攻撃の始まりであり、「足がかり」ができさえすればそれで良いからなのですね。
では、CVSS値は意味のない数字なのでしょうか?脆弱性管理には役に立たないのでしょうか?
いえ、決してそんなことはありません。例えば最近見つかった以下の脆弱性、個別にどんな脆弱性かを調べ、重大度を判断して…ということをするのはもちろん有意義なことで、CVSS値は多いに参考になる指標です。
[表]2021年に発見された主な脆弱性とCVSS基本値
| CVE番号 | 概要 | 主な影響 | CVSS 基本値 |
|
| v2 | v3 | |||
| CVE-2021-26411 | Internet Explorerのメモリ破損の脆弱性(2021年3月) | ??? | 5.1 | 7.5 |
| CVE-2021-31956 | Windows NTFSの権限昇格の脆弱性(2021年6月) | ??? | 9.3 | 7.8 |
| CVE-2021-34527 | Windows Print Spoolerサービスのリモートコード実行の脆弱性 (2021年7月) |
??? | 9.0 | 8.8 |
ただし…、これらの脆弱性がこの先どんな攻撃に悪用されるのか、あるいはされないのか?については、残念ながら、攻撃者でないと、知りようがないことなのです。
→アシストの脆弱性管理製品については、 Tenable のページをご覧ください
長谷川 まり
|
|
Apache Log4jに発見された重大な脆弱性「Log4Shell」。脆弱性の重大度を示すCVSSスコアが10点中10点と最高レベルとなっているこのLog4Shellがどのようなものなのかをおさらいしながら、ツールを使った脆弱性管理のメリットをご紹介します。
CVSS値という脆弱性の重大度を表す数字と、攻撃者にとっての脆弱性の「利用しやすさ」を加味した「CVSS現状値」という指標をご紹介し、脆弱性管理の優先度のつけ方のベストプラクティスを探ります。
サイバー攻撃者は必ずしも「重大な」脆弱性ばかりを狙うわけではなく「利用しやすいかどうか」を重視しています。 そこでシリーズ2回目は「攻撃者が利用しやすい」脆弱性とは何なのかご紹介します。
