楽しい時間はあっという間に終わってしまう。名作ゲーム『ファイナルファンタジーIII』がニンテンドーDS向けにリメイクされ、ついに発売された。ワンダースワン時代から辛抱強く待ち続けた筆者はこれに飛びついた。ファミコン版もプレイした筆者にとって、近年まれに見る至福の時間がもたらされたことは間違いない。しかし、それもつかの間。終局を迎えることを惜しむように、頬に涙のメテオを降らしながら、クリスタルタワーを目前に粛々とレベル上げに興じるのであった。今年はそんな夏の終わりである。

File Fuzzerの公開と脆弱性の発見数を重ねて観測する

閑話休題。今回はFile FuzzingについてBlack Hat USAで発表(PDF)があって以来、発見された脆弱性の数にどのような変化があったのかについて、2つの統計データを使って説明したい。

最初の事例は、Internet Explorer(IE)である。IEの修正プログラムは、マイクロソフトの月例アップデートにおいてよく目にするパッチのひとつといえよう。また、前回HD Moore氏がブラウザを標的とする複数のFile Fuzzerを今年に入って公開していることから、何らかの関連性が見出せる可能性があるかもしれない、と、筆者は仮定してみた。

図に、2002年から2005年までの集計を示す。集計にはラックのSNSDBを使っている。このデータベースでは、Common Vulnerabilities and Exposures(CVE)のIDを相互参照できる登録データを用いているため、既知の脆弱性はほぼ網羅している。

このように、2005年以降増加があったのかといえば、IEに限ってはそうでもないようである。ただし、Michal Zalewski氏が2004年にMangleMeというブラウザ用のFile Fuzzerを公開したことと、同年に発見された脆弱性のグラフに山がみてとれることは、非常に興味深い。

Officeの脆弱性も重ねてみる

次に、File Fuzzerの影響を最も受けていると推察されるアプリケーションについて調べてみる。このシリーズの初回に、0-dayが頻発したと報告したMicrosoft Office製品がある。Office製品といってもさまざまな製品が含まれることになるので、ここではWord、Excel、PowerPoint、Accessの4つに限定し、それぞれに発見された脆弱性の数を積み上げることにした。図にその傾向をグラフで示す。特に2006年に入ってから本稿執筆現在(8月下旬)まで、数のスケールはIEと異なるが、増加傾向がいくらか認められることがわかる。

統計情報から見るFile Fuzzerの影響

ところで、それぞれの図中において2002年に脆弱性が多く発見されているのは、ちょっとした理由が伺える。セキュリティ研究者のGeorgi Guninski氏とGreyMagic Softwareというイスラエルの企業が、IEやOffice Web Components(OWC)といったマイクロソフト製品の脆弱性を毎日のように発表していた時期と符合しているのだ。つまり、脆弱性の研究成果はその数として見えてくる傾向があるのだ。

この点、File Fuzzerの影響が現段階において大であると、これら脆弱性の統計情報のみからはいえないだろう。その理由を考えてみると、ひとつはFile Fuzzerを使って短時間のうちに複数のバグを検出したとしても、それらが脆弱性なのかどうかを検証する作業には長い時間が必要とされること。その上、脆弱性の検証作業には、熟練の技が必要であるといえる。

そのため、1年ほどのスパンでは計れないという側面も考えられなくはない。また、ボットなど他の脅威と同様に、「目につきにくい」現象であるといえるのかもしれない。いずれにせよ、文書や画像といったデータを扱うアプリケーションの脆弱性の数の変移は、今後も定点観測してゆくべきであることに間違いないだろう。