世の中にあふれる脆弱性情報の読み解き方

3月13日のセミナー「知っておくべき不正アクセス対策〜総集編〜」の中で、JPCERT/CCの宮崎清隆氏が、世の中にあふれる脆弱性対策情報の読み砕き方を説明した。

[高橋睦美，ITmedia]

　世の中には山のように脆弱性とその対策情報が流通している。そして、これらの情報に基づいて対策を取った後、何もトラブルが起こらないのが一般的ではあるが、不具合が発生することもまれではない。こうした現状を踏まえ、脆弱性情報をどのようにかみ砕き、日々の運用に活用していくべきか――。

　日本ネットワークインフォメーションセンター（JPNIC）とJPCERTコーディネーションセンター（JPCERT/CC）が3月13日に開催したセミナー「知っておくべき不正アクセス対策〜総集編〜」の中で、JPCERT/CCの宮崎清隆氏（情報流通対策グループ）は、世の中にあふれる脆弱性対策情報の活用方法について講演を行った。

　「同じ情報でも、目的が異なれば解釈も異なる。どんなタイプの脆弱性対策情報であり、対応後に何が発生するかといった事柄を考慮しなくてはならない。また、企業規模によっても対策方針が異なる」（同氏）

　宮崎氏は、限られた対応時間と人数の中で脆弱性対策情報を活用するには、4つのポイントがあると述べた。

　まずは、情報の種類を見極めること。例えば、事前のコーディネーションに基づいて、修正パッチや対策情報とともに公開されている情報なのか、それとも発見者がいきなり公開してしまったゼロデイ型の情報なのか、あるいはインシデント後に手探りで対策をしなければならないターゲット型攻撃の情報なのか。同じゼロデイ型にしても、脆弱性情報のみなのか、それとも攻撃につながるExploit Codeが出現しているのかどうかによっても対応は変わってくる。

　脆弱性情報に接したならば、まず「これはどのカテゴリに当てはまるものなのか」を意識しながら読んでほしいと同氏は述べた。

　2つめは、優先順位付けだ。「まず、管轄のソフトウェアかどうかというところから絞り込みをしていくといい」と宮崎氏。その前提として、あらかじめ自分が管理しているソフトウェアのリストを作成しておくと有用だという。さらに、ソフトウェアの重要度も基準の1つになる。そのソフトウェアではどういったサービスを、誰に対して提供しているのかといった情報を元に、重要度を判断する。

　こうした基準を活用すれば「管轄下のソフトウェアに関していきなり10個の脆弱性情報が出ても、どれから手を付けていくべきかを決めることができる」（同氏）

　3つめは、対応時間と方針の決定だ。それには、1つめで挙げた「情報の種類」が大きく影響してくる。ゼロデイ型の情報であれば、可能な限り速やかな対応、できればその日のうちに何らかのアクションを取ることが望まれるし、逆に攻撃が検出されていないときは比較的余裕がある。何らかの回避策で臨時対応するのも一つの手だという。

　最後は、その対策を実施することによって、どんなインシデントが生じるかを事前に把握――少なくとも予測しておくことだ。

　例えばゼロデイ型の脆弱性情報が公開されたとして、急いで対応したとする。すると、「急いでいるため設定ミスが生じる可能性があるし、いきなりシステムを止めることによってユーザーからの問い合わせが生じる可能性もある。事前に『お知らせ』を送っておいても、ユーザー側が読んでいない可能性もある」（宮崎氏）。

　また、Exploit Codeがともに公開され、実際に攻撃が発生していれば、サーバが攻撃を受けて停止したり、ソフトウェアが不安定になる可能性も頭に入れておくべきだと同氏は述べた。この場合は、社内や持ち込みPCの中に感染したマシンがないかを把握することもポイントになる。事前調整に基づく、対策情報を含む脆弱性情報の場合は、想定インシデントの数はずいぶん減るにせよ、パッチ自体に不具合が起こる可能性を考えておかねばならない。

　宮崎氏はこうした4つのポイントを踏まえ、自分の置かれている環境に応じて「脆弱性対策情報を読み砕いていってほしい」と述べた。