エクスプロイト&脆弱性
仮想パッチによるパッチ管理と脆弱性対策
企業のオンラインインフラストラクチャが、分散化や、クラウド、モバイル、モノのインターネット(Internet of Things、IoT)といった技術の導入によって複雑化するにつれ、修正プログラム(パッチ)管理はさらに時間とリソースを消費する作業になりました。しかしながら、パッチの適用の先送りは、セキュリティ上のリスクをもたらす場合があります。
企業のオンラインインフラストラクチャが、分散化や、クラウド、モバイル、モノのインターネット(Internet of Things、IoT)といった技術の導入によって複雑化するにつれ、修正プログラム(パッチ)管理はさらに時間とリソースを消費する作業になりました。しかしながら、パッチの適用の先送りは、セキュリティ上のリスクをもたらす場合があります。消費者信用情報会社「Equifax」で発生した2017年の情報漏えいは、パッチの適用を先送りした結果セキュリティがどれほど脅威に晒されるのかを示す具体的な事例です。何百万という顧客の個人情報を露出してしまう結果となったこの事例は、最終的にはEquifaxがパッチを適用していなかったWebアプリケーションの脆弱性に起因していました。 この脅威が引き起こした状況が落ち着いた際、Equifaxは、英国の個人情報保護監督機関(Information Commissioner’s Office 、ICO)によって課された50万ポンド(2019年8月7日時点で約6千万円)の罰金に加え、最大4億3,900万ドル(2019年8月7日時点で約465億円)の経済的損失があったとの見積もりを発表しました。
■企業が直面するパッチ管理の課題
以下は、脆弱性およびパッチ管理ポリシーを実装する際に企業が直面すると考えられる課題です。
事業継続性 定期的な更新プログラムのインストールは良い習慣である一方、多くの企業ではパッチ適用のプロセスには時間とコストがかかり、業務に支障をもたらすため、システムの運用停止期間を回避するためにパッチの適用を延期せざるを得ません。
修正する脆弱性の数 特に、ITインフラストラクチャを絶えず更新している企業にとっては、ますます多くの脆弱性に対処する必要があるため、修正する脆弱性の数が課題となります。トレンドマイクロのデータによると、発見および報告された脆弱性の件数は2017年から2018年にかけて34%増加しました。このデータにはトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」に貢献する3,500人以上の独立したリサーチャからの情報提供が含まれます。
可視化の困難さ 大規模なオンラインインフラストラクチャでは、より複雑な更新プロセスが必要となります。この更新プロセスは、さまざまなオペレーティングシステム(OS)やアプリケーションのバージョンで構成される断片化されたITインフラストラクチャによってさらに複雑になる可能性があります。また、このインフラストラクチャは、地理的に分散していることもあります。
高頻度のパッチ公開 脆弱性の関連性もしくは重大性を判断するのが難しい場合、パッチ適用の効率的な管理が困難となる可能性があります。
修正プログラムを適用できないレガシーシステム 重要業務のために、すでにサポートが終了しているレガシーシステムやアプリケーションを継続して利用したとしても、これらのシステムやアプリケーションにパッチが発行されることはありません。 POS端末、IoTデバイス、産業用制御システム(Industrial Control System、ICS)などの組み込みシステムには、パッチ適用不可なソフトウェアやコンポーネントが含まれていることが多々見受けられます。
■パッチが適用されていないITインフラストラクチャに起こりうること
一度脆弱性が開示、報告、または確認されると、素早い脆弱性への対処を行わなければならない点で企業にとっては時間との戦いになります。 サイバー犯罪者や攻撃者にとって、脆弱性は利益を手に入れる絶好の機会となるためです。 たとえば、平均的な企業では、Webアプリケーションの重大な脆弱性にパッチを適用するのに約69日かかると報告されています パッチが適用されるまでの期間、システムは脅威の影響を受けやすい状態のままになってしまいます。 あるコンテンツ・マネジメント・システム(CMS)フレームワークの脆弱性に対する公式パッチが2018年7月に公開された際、攻撃者はパッチ公開後5時間以内に問題の脆弱性を利用し仮想通貨発掘マルウェアの拡散を開始しました。2019年4月には、アプリケーションサーバを提供するベンダがゼロデイ脆弱性にパッチを適用する前日、この脆弱性を積極的に利用してランサムウェアをインストールする攻撃が確認されました。 2018年の脅威動向は、Linux の脆弱性を突く「Dirty COW」やWannaCryを拡散させた「EternalBlue」などの脆弱性攻撃ツールのように、すでにパッチが公開されている既知の脆弱性の利用が増加していることを示しています。 実際、2016年と2017年に情報漏えいの被害に合った調査対象企業の57%が、これらの漏えいの被害はパッチ公開済の既知の脆弱性が原因であると報告しています。
■仮想パッチの仕組み
仮想パッチまたは脆弱性シールドは、既知および未知の脆弱性を利用する脅威に対する安全対策として機能します。 仮想パッチは、脆弱性攻撃コードが、脆弱なシステムまたはアプリケーションとの間におけるネットワークパスを行き来できないように防止するセキュリティポリシーおよびルールの層を実装することによって機能します。 優れた仮想パッチソリューションは以下のように多層的な防御機能を備えています。
- 業務上重要なトラフィックから不正活動を探知してブロック
- 侵入検出および防御
- Webアプリケーションの脆弱性を利用する攻撃を阻止
- 物理・仮想・クラウド環境への柔軟な対応
以下では、仮想パッチがどのようにして企業の既存のセキュリティ技術、さらに脆弱性およびパッチ管理ポリシーを強化するのかについて示しています。
- 脆弱性の修正に必要な時間の確保 仮想パッチは、セキュリティチームが脆弱性を調査し、必然かつ永続的なパッチテストを行い、パッチを適用するのに必要な時間を提供します。 社内アプリケーションの場合、仮想パッチは開発者やプログラマにシステム上のコードの欠陥を修正するための時間を与えます。
- 不必要な運用停止期間の回避 仮想パッチは、企業が独自のスケジュールでパッチ管理ポリシーを適用することのできるより大きな自由度を提供します。 これにより、計画外もしくは不必要な業務の中断による潜在的な収益の損失を軽減することが可能です。
- 法令遵守の改善 仮想パッチは、企業がEUの一般データ保護規制(GDPR)やペイメントカード業界(PCI)によって課される要件などを適時満たすのに役立ちます。
- 追加のセキュリティ層の提供 仮想パッチの適用は、パッチの提供がすでに終了したレガシーシステムや、Windows Server2008 のようなサポート終了済のOS、またはパッチ適用に高額な費用がかかってしまうITインフラストラクチャ内のコンポーネントのセキュリティ管理を可能にします。
- 柔軟性の提供 仮想パッチは、一時しのぎの応急処置や緊急パッチを投入する必要性を減らします。例えば、パッチを適用する必要があるネットワーク内のポイントを特定したり、もしくはすべてのシステムにパッチを適用する必要がある場合、そのような作業が簡単になります。
仮想パッチがどのように機能し、セキュリティ脅威や企業が受け得る脅威を防ぐことができるのかについて解説したこちらのインフォグラフィック「How Virtual Patching Helps Protect Enterprises」(英語)もご参照ください。
■トレンドマイクロの対策
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security™」は、仮想パッチにより、重要アプリケーション、OS(各Linuxカーネル、AIX、Soraris、Windows Server 2008や2003のようなサポートが終了したWindows)、DockerやKubernetesのようなプラットフォームにおけるネットワークベースの脆弱性を利用する脅威からクラウド、サーバ、そしてコンテナを保護します。 法人向けエンドポイント製品「Trend Micro Apex One™」の仮想パッチは、PoS、IoTデバイス、そしてサポートが終了したOSのようなさまざまなエンドポイントに、脆弱性に対する保護を適時提供します。 ネットワーク型侵入防御システム「TippingPoint」は、Digital Vaccine®フィルタを介して、仮想パッチとネットワーク攻撃が可能な脆弱性に対する保護を提供します。 トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処します。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで脅威を検知します。 参考記事:
- 「Security 101: Virtual Patching」 by Trend Micro
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)