「脆弱性の法則」のエッシェルベック氏、内部の脆弱性に警鐘：Black Hat Japan

10月14日、15日に行われているセキュリティカンファレンス「Black Hat Japan」に、「脆弱性の法則」で知られるゲルハルド・エッシェルベック氏が登場した。

[ITmedia]

　10月14日、15日の2日間に渡って、セキュリティカンファレンス「Black Hat Japan Briefings 2004」が開催されている。都内の会場では、本家のBlack Hat Briefingsにも登場する業界の著名人らによって、最新のセキュリティ動向を紹介するセッションが行われた。

　初日のセッション「統計が示す内部ネットワークの脆弱性の法則」には、もはやBlack Hat Briefingsの「常連」とも言える米QualysのCTO、ゲルハルド・エッシェルベック氏が登場。7月に米ラスベガスで行った発表と同様、独自の調査から得られたデータに基づいて、脆弱性が登場してからパッチが適用されるまでの期間に見られる特有のパターンについて説明した。

内部の脆弱性への取り組みが必要に

　これらの法則は、Qualysが2002年1月から今に至るまで行ってきた約660万件のスキャン結果を元に導き出されたものだ。エッシェルベック氏によると、そのうち70％はQualysの顧客である法人が対象で、残り30％は同社サイトでオンラインスキャンを行ったランダムなユーザーだ。少なくとも何らかの形で「脆弱性チェックを行おう」と考える、比較的セキュリティ意識の高いユーザーがベースとなっていることから、現実よりも若干良好な結果が得られているかもしれない。

　エッシェルベック氏の示す法則の中で最も知られているのが「脆弱性半減期の法則」だ。脆弱性が存在するPCは、一気に修正されるのではなく、一定の期間ごとに2分の1ずつ減っていく傾向にある、という法則である。

　既に報じられているとおり、「インターネットに公開されているWebやファイアウォールなどに存在する『外部の脆弱性』に関しては、半減期には大きな改善が見られた。昨年は30日だったものが21日に短縮され、かなりリスクが低下している」（同氏）。

「脆弱性の法則」について紹介したエッシェルベック氏

　けれど課題も残る。「システム内部の脆弱性については半減期のタイムフレームはかなり大きく、21日どころかまだ62日もある」とエッシェルベック氏は述べ、まだ取り組むべき分野が残っていると指摘した。

　同氏が示す目標は、2005年にはシステム内部の脆弱性修正の半減期を妥当なレベル、すなわち30日程度にまで短縮していくことだ。「外部の脆弱性に関して、30日の半減期を21日に短縮することだって可能だったのだから」（同氏）これは決して不可能な目標ではないとした。

　しかも同氏の別の法則によれば、脆弱性を狙うワームや自動化された実証コード（Exploit）は、半減期のうち最初の2つを狙いうちする。外部の脆弱性ならば、脆弱性のあるマシンが4分の1にまで減る最初の42日間が重要な意味を持つ。このことを踏まえても「半減期の期間を短縮することが大事だ」という。

検疫システムは「今後の鍵」に

　では、どうすれば脆弱性の半減期を短縮できるのだろうか。エッシェルベック氏が挙げた必要な要素は、「認識の高まり」「優先順位付け」「自動化」の3つだ。

　まずは、ユーザーの脆弱性やパッチに対する意識を高める。また、必ずしもすべての脆弱性にパッチを当てる必要はないし、実際問題としても無理であることをから、重要性や緊急性を踏まえてどのパッチを適用するか取捨選択を行うべきだという。作業の自動化も重要だ。手動で作業を進めていては時間がかかりすぎるからだ。

　ただ会場からは、「日本のユーザーは動いているシステムに手をつけたがらない。パッチの副作用を恐れるあまり、どんなに言っても適用したがらない」という声も上がった。

会場からは積極的に質問の声が上がった

　こうした状況下では、ホストベースの不正侵入検知システム（HIDS）などが侵入防止の機能を提供してくれるだろうとエッシェルベック氏は言う。けれど「それでも十分な防御にはならないかもしれない。やはり効果的なのはパッチを適用することだと思う」（同氏）とし、最終的にはパッチの適用が必要であると述べた。

　「パッチの適用は常に行わなければならない作業ではない。たとえばマイクロソフトは、月に1回のペースでパッチを公開するようになったが、これに合わせてリソースを割り振り、計画的に作業を行えるようになってきた」（同氏）。パッチそのものの品質についても、信頼性を向上させるべく、以前に比べればテストが行われるようになっているという。

　最近では、パッチ適用にまつわる問題を解決すべく、ネットワークに接続を試みる際にPCの状態をチェックし、セキュリティポリシーを満たさない限りアクセスを拒否する「検疫システム」「検疫ネットワーク」が登場しつつある。エッシェルベック氏はこの仕組みについて、「今後の鍵となり、欠かせない技術になるだろう」と述べた。

　「今はまだ、こうした仕組みはウイルス定義ファイルのチェックに限られているが、今後は機能が拡張され、脆弱性の検査やトロイの木馬／バックドアの検出なども対象になるだろう。半減期の法則にも前向きなインパクトを与えてくれると思う」（エッシェルベック氏）

「例外」が生じる条件

　同氏は講演の中で、半減期の法則に従わない例外的な「法則」にも触れた。たいていの脆弱性は半減期の法則に沿って減少していくが、中にはいつまでたっても消え去らないどころか、何かのきっかけで再び増加するような脆弱性もある。

　その例の1つが、SQL Slammerに利用されたMicrosoft SQL Serverの脆弱性だ。

こうした例外パターンが生じる理由として、エッシェルベック氏は2つの要因を挙げた。1つは、新規システム導入の際に、あらかじめ作成された――けれど脆弱性が残ったままのイメージファイルが利用されるケースだ。もう1つは、「Microsoft SQL Desktop Edition」（MSDE）がそうだが、脆弱性のあるコンポーネントが数多くの市販製品に組み込まれているような場合である。

　この結果、「脆弱性のあるシステムが導入されることでワームが再発し、インターネット上には常にノイズが存在することになる」（同氏）。