OSやミドルウェア等の脆弱性対策〜全ての企業・組織が行うべき最優先の対策とは

ランサムウェアの感染やWebサイトの侵害等、サイバー攻撃のニュースが日々飛び交っていますが、これらの多く（感覚的には半数以上）の要因が、OSやミドルウェア等の脆弱性の未対応です。OSやミドルウェア等の脆弱性、つまりは購入し使用しているソフトウェアの脆弱性ですが、これらは通常、ソフトウェアの開発元から開発元のWebサイト等で公表されますが、使っている側としては、ある日、突然、知ることになります。いや、公表されていることに気づかなければ、知ることさえできません。
近いところでは6月12日に、ネットワーク機器ベンダーであるFortinet社から以下の脆弱性情報が公表されています。細かいことは省きますが、非常に危険な脆弱性です。

FortiOS およびFortiProxyのSSL-VPN機能におけるバッファオーバーフローの脆弱性
公表日: 2023/6/12
CVE-ID: CVE-2023-27997
深刻度: Critical
CVSSv3 Base Score: 9.8 （CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）
細工したHTTP/HTTPSリクエストによってリモートから認証不要で任意のコード実行が可能

リモートアクセスの方法はいくつかありますが、代表的な方法の一つがSSL-VPNを用いる方法でありコロナ対応や働き方改革等で多くの企業・組織にSSL-VPN機器が導入されています。Fortinet社のSSL-VPN機器は日本でのシェアも高く、多くの企業・組織で上記の脆弱性の影響のある機器が使われているものと思われます。幸いにも、この記事を執筆している時点（6月末）では、この脆弱性を悪用した攻撃が広がっているという状況ではないようですが、もし、まだ未対応の機器があるようでしたら、一刻も早く対応下さい。

緊急対応が必要な脆弱性

OSやミドルウェア等の脆弱性は日々公表されており、1年に3万件とも5万件とも言われています。Criticalとランクされる脆弱性も相当数あります。その中で脆弱性の公表から短期間で攻撃が発生し迅速な対応が必要な言わば「緊急対応が必要な脆弱性」は年に数件から十数件であり、まさに「干し草の中の針」です。そして、この「緊急対応が必要な脆弱性」への対応こそが、大小関わらず全ての企業・組織が行うべき対策なのです。この観点で、特に注意すべき領域は以下の二つです。

• SSL-VPN機器
• Webサイト・Webサービス

これ以外の領域、例えばWindows PCの脆弱性等を気にされている方もおられると思います。それらに対応しなくてもいいという訳ではありませんが、それらについては機会があれば、別途、取り上げることとし、本記事では、全ての企業・組織が行うべき最も優先度の高い対策として、上記二つの領域にフォーカスします。
SSL-VPN機器については、既に述べていますので、Webサイト・Webサービスについて少し、補足します。
Webサイト・Webサービスには、ショッピングサイトやインターネットバンキングのようにプログラム（いわゆるWebアプリケーション）がページを生成するタイプ（以下、便宜的にWebアプリと呼びます）とホームページのような静的コンテンツが中心のタイプ（以下、便宜的にホームページと呼びます）があります。
Webアプリは、Linuxを基盤に、様々なソフトウェアが動いており、緊急対応が必要な脆弱性が発生する領域の中心的存在です。ここ数年の傾向を考えると、以下のカテゴリで脆弱性を悪用した攻撃が発生しています。

• Javaフレームワーク（Apache Struts, Spring Framework等）
• Webサーバ, APサーバ（Apache HTTP Server, Apache Tomcat, Oracle WebLogic等）
• 暗号化通信ライブラリ（OpenSSL等）
• ログ管理ライブラリ（Log4j等）

一方、ホームページにおいては、別の観点があります。それは、コンテンツマネジメントシステム（CMS）です。CMSについては昨年10月の記事「Webサイトの改ざんとCMSの脆弱性について」で詳しく述べていますが、単にコンテンツの更新等を管理するだけでなく見栄えのいいページを簡単に実現できる等、ホームページの基盤的な役割を担っています。代表的な製品としてWordPressやMovable Typeがあります。Movable Typeについては2022年8月に外部から攻撃が可能な脆弱性が公開され、実際に攻撃も発生しています。WordPressについては、本体だけでなくプラグイン（機能を付加することができるソフトウェア）の脆弱性にも要注意です。

このCMSですが、自社・自組織で一からホームページを構築しているのではなくホスティングサービスやホームページ構築サービスを利用している場合、CMSはサービス側が管理しているためCMSの利用有無すらわからない場合があります。コンテンツの更新がWebの管理画面から可能だったり、デザインを選べたりする場合、CMSが使われていると考えて差し支えありません。CMSの脆弱性管理はサービス側の責任ですが、過去には、サービス側が脆弱性対策を怠っていた為に脆弱性を悪用されてしまった事例も発生しています。そのため、サービス利用時にサービス側の脆弱性対策をチェックすることは言うまでもありませんが、できれば、自ら脆弱性情報を入手し、サービス側に対応状況をヒアリングするところまで行った方がいいと考えています。

脆弱性情報の収集源

注意すべき領域を定めた次は、脆弱性情報の収集です。重要インフラ事業者においては、CEPTOARと呼ばれる情報共有の仕組みがあり、そこから危険と思われる脆弱性の情報が共有されています。つまり受動的に入手できるのですが、そうでない企業・組織においては、何らかの形で能動的に入手する必要があります。ソフトウェアの購入元やシステムの導入を委託したベンダーから連絡がある場合もありますが、保守契約に脆弱性対応が含まれていないケースも多く、頼りにできないのが現実です。脆弱性情報を収集し分析する業務はCSIRTの主要業務の一つですが、そもそもCSIRTすらない、という企業・組織もあるでしょう。そのような企業・組織においても、最低限、チェックすべき情報があります。それは、以下の二つです。

• 情報処理推進機構（IPA）　重要なセキュリティ情報
• JPCERTコーディネーションセンター（JPCERT/CC）　注意喚起

ちなみに、前述した「FortiOS およびFortiProxyの脆弱性」についても、IPAの重要なセキュリティ情報に掲載されています。上記の情報を、最低でも週に1回、できれば週に２回以上チェックしましょう。普段は1分もかかりません。

緊急対応が必要な脆弱性への対応態勢

注意すべき領域や情報収集源を定めたら、対応態勢として確立させます。これには以下の要素があります。また、本社やシステム部門だけでなく、事業部門や支店、さらには、海外支店や子会社等へ広げていくことも必要です。

意思決定

企業・組織の規模等によって方法は異なりますが、経営や担当役員の承認を得ておくことも必要でしょう。

自社における注意すべき領域の把握

先に挙げた領域の自社における有無や、具体的なシステム、そこで使用されているOSやミドルウェア等の製品について把握します。小規模の企業・組織であれば、聞いて回ればわかるレベルかもしれません。ある程度以上の規模の企業・組織になると、資産台帳やシステム台帳、ソフトウェア台帳等から把握する必要があるでしょう。

システム管理者との関係構築

先に挙げた領域のシステム管理者と認識の共有や連絡網の整備を行います。

保守契約の確認や予算の確保

緊急対応が必要な脆弱性が発生した場合、パッチ適用やバージョンアップが行えるような保守契約となっているかの確認や、そのための予算の確保等について予算管理部署等と認識を合わせておくことも必要です。

緊急対応が必要な脆弱性への対応態勢の確立は、大小問わず、全ての企業・組織が行うべき最優先のセキュリティ対策です。そして、各企業・組織の状況やリソースに応じたやり方を行えば、全ての企業・組織で今日から実現可能な対策でもあります。なお、OSやミドルウェア等の脆弱性対策にはまだまだ先がありますので、機会があれば、取り上げていきたいと思っています。

＜参考情報＞
FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication
https://www.fortiguard.com/psirt/FG-IR-23-097

IPA 重要なセキュリティ情報
https://www.ipa.go.jp/security/security-alert/index.html

JPCERT/CC 注意喚起
https://www.jpcert.or.jp/at/