脆弱性対応は“ヒント”を見逃すな！ サポート終了後のセキュリティパッチ提供が意味することとは：半径300メートルのIT

アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。

[宮田健，ITmedia]

　Appleは2023年4月10日（現地時間）、「macOS Big Sur 11.7.6」にセキュリティアップデートを発表し、脆弱（ぜいじゃく）性「CVE-2023-28206」を修正しました。同脆弱性について同社はプレスリリース内で「カーネル権限で任意のコードを実行できる可能性がある。Appleは脆弱性が悪用された可能性があるという報告を把握しています」としています。macOSを利用している方は、おそらく自動更新が行われていると思いますが、この修正が適用されているかどうか、いま一度ご確認ください。

　さて、Macをお使いの方は上記の発表を見て、何か気になることがありましたでしょうか。MacはOSのバージョンが固有名詞であるため分かりにくいですが、最新のOSの名称は「macOS Ventura」で、その前が「macOS Monterey」、そのまた前が「macOS Big Sur」です。つまり、上記のセキュリティアップデートはかなり古めのOSにも提供されています。

　最新OSへのアップデート（2023年4月7日提供）が行われた数日内に2つ前のOSに対してセキュリティアップデートが提供されるということは、大きなサインです。ここで修正されている脆弱性が大きなリスクとなり得る可能性があります。

Windowsで度々提供される「サポート終了後のセキュリティパッチ」

　Microsoftが提供する「Windows」においてもサポート終了後にセキュリティパッチが提供される事例が幾つかありました。例えば2017年5月に世界中で感染が拡大した「WannaCry」においては、「MS17-010」に対応するセキュリティ更新プログラムを、当時既にサポート対象外であった「Windows XP」や「Windows Server 2003」にも提供しています。

　本来であれば最新のOSを優先し、古いOSに対して修正が必要な場合は「最新OSにアップグレードせよ」としてもよいはずです。しかし、個別にセキュリティパッチが提供されるということはそれだけ「OSベンダーにとって重大な脆弱性」であるということが暗に示されています。

　脆弱性の対応は非常に難しく、全ての既知の脆弱性に対して公開後すぐに対応するのは、コスト面でもリソース面でも難しいと思います。ではその優先度を付けて対応しようと思っても、「何を基に優先度を決めればよいのか」という課題が多くの組織で問題になっているでしょう。

　解決策は見つかっていないのが現状ですが、一つの指針として「ちょっと懐かしい名前／バージョンにもセキュリティ更新プログラムが提供された」というのは急いで適用しなければならないというヒントになり得ます。

　これは組織におけるセキュリティパッチ適用だけでなく、個人でも同様です。特にmacOSと「iOS」は同時に脆弱性が対策されることも多いので、個人や家族で使う「iPhone」もしっかりアップデートするよう声をかける必要があります。

組織におけるパッチ適用選択の難しさ

　先日、全日本空輸（以下、ANA）の国内線搭乗システムで不具合が発生し大きな話題になりました。確実な原因は分かりませんが、パッチ未適用の既知の不具合に当たってしまったようです。セキュリティ的な問題はなかったようですが、パッチ適用の選択の難しさを感じさせる、エンジニア視点では悩ましい事故でした。

　セキュリティに関しては日々脆弱性が報告され、適用が望ましいセキュリティパッチが積み上がってもどれが自社に必須なのか分かりにくいのが実情です。これを解決しようとしたのが共通脆弱性評価システム「CVSS」（ Common Vulnerability Scoring System）ですが、実際にはCVSSスコアが低くなりがちな「権限昇格の脆弱性」も広く悪用されており、「ウチはCVSSが“緊急”のものは全て対応しているから安心」とはなりません。

　そこで注目が集まるのが、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が公開している「既知の悪用された脆弱性カタログ」（Known Exploited Vulnerabilities Catalog／“KEVC”）です。『ITmedia エンタープライズ』でもよくピックアップするのでご存じかもしれませんが、これは「CISAが悪用を確認した脆弱性の一覧」であるため、より緊急度の高いものがリストアップされています。更新も精力的であるため非常に参考になります。しかし、これも「CISAが」という主語であるため、例えば日本でよく使われるようなプログラムやサービスがリスト入りすることはまれです。そのためこれだけでも足りません。

　脆弱性に関しては、情報を追いかけていても「これで100％大丈夫」とはなりませんし、パッと解決できる問題ではないと分かるでしょう。セキュリティ全般に言えるかもしれませんが、調べれば調べるほど不安になることもあります。しかし、それこそがセキュリティにとって最適な不安定さで、以前から指摘されるような「適切に怖がる」ことができている状況とも言えます。皆が同じ状態ですので、ここから“横につながる”、つまり人とのコミュニケーションが解決の糸口になるのではないかと考えます。

　先日開催された「ITmedia Security Week 2023 春」では、アスタリスク・リサーチの岡田 良太郎氏が「脆弱性対応の“解像度”を高めよ」と提言していました。今回は主にプログラムの脆弱性を考えてみましたが、脆弱性は人にも組織にも存在します。OSのセキュリティアップデートを人ごとのように捉えるのではなく、ここからセキュリティ感を見いだすように取り組みましょう。一人一人ができることをコツコツと積み重ねていくことが重要です。

併せて読みたい関連記事

• 脆弱性対応の“解像度”を高めよ　アップデートだけでは全然足りない理由