カスペルスキーはこの春から法人向けに「Kaspersky Vulnerability and Patch Management」をリリースした。いわゆる脆弱性管理システムのことで、サードパーティ製アプリケーションのパッチ配信・適用まで自動で実行できる利点を持つ。
同社によれば、こうしたソリューションの中で「対応可能なアプリケーションの数の桁が違う」という。カスペルスキー コーポレートビジネス本部 コーポレートマーケティング部 コーポレートマーケティングマネージャーの春日井 敦詞氏に昨今のサイバー攻撃の状況を踏まえた脆弱性管理の重要性について話を聞いた。
 |
|
カスペルスキー コーポレートビジネス本部 コーポレートマーケティング部 コーポレートマーケティングマネージャー 春日井 敦詞氏 |
放置される既知の脆弱性
カスペルスキーが企業のセキュリティ担当者(25カ国4000名)に尋ねた「企業のITセキュリティリスクに関するグローバル調査(2016年)」によると、会社で発生したインシデントの原因が「既知の脆弱性」だったケースがあると回答した人は、日本で122人中27人(22.1%)、世界でも3099人中926人(29.9%)だった。
 |
|
WannaCryの影響を受けたシステムの割合(Kaspersky調査)。Windows 7が大半を占める |
直近で「既知の脆弱性」がもっとも話題となったのは、やはりWannaCryだろう。カスペルスキーのセキュリティリサーチャーの調査によれば、攻撃の影響を受けたWindowsのバージョンは、実は7系統が98%を占め、盛んに騒がれたWindows XPは「insignificant」、つまり同社の調査ではほとんど発見されなかったという。
「Windows 7についてはサポート期間中ということもあり、SMBの脆弱性に関するパッチはすでに3月中に提供されていた。それでも適用していなかったというケースがあるし、適用していなければ攻撃を受ける可能性がある。インシデントの原因が既知の脆弱性だったという回答が2割あるという現実は『ユーザーが脆弱性を突く攻撃を実行してしまった』という裏返しでもあるし、脆弱性が原因の攻撃と気付いていないケースがあることも忘れてはならない。実態は、2割で済まないとみられる」(春日井氏)
ただ、脆弱性は何もWindowsだけではない。同社の調査では、サイバー攻撃で使用されたアプリケーションの脆弱性のうち、50%がブラウザやアドオンであり、続いてAndroid OSが21%、Officeが13%、Adobe Flash Playerが8%と続く。Adobe Flash PlayerはHTML5の台頭もあってWebサイトでの利用は減りつつあるが、古いブラウザなどではプラグインが脆弱な状態で利用できる環境が継続していることもあり、危険と言っていいだろう。
2016年の攻撃、2010年の脆弱性を悪用されるケースも
WannaCryの例では、2017年3月に公開された比較的新しい既知の脆弱性を突くものだった。
しかし、2016年に行われた攻撃の中には「CVE-2012-0158(Office関連の脆弱性)」や「CVE-2010-2568(Windowsシェルの脆弱性)」といった2010年~2012年という古い脆弱性を突く攻撃が依然として確認されており、攻撃対象となる企業・組織内にこれらの脆弱性が存在し、犯罪者から見て”旨味がある”と認識されている状況が伺える。
「これらの攻撃からわかることは、サイバー攻撃は何もゼロデイ攻撃ばかりではないことです。ゼロデイ攻撃に使用されるような脆弱性を突くエクスプロイトキットは、アンダーグラウンドで高値で取引される。一方で既知の脆弱性を突くツールは誰もが知っていますから安価。もちろん、パッチを適用している環境も多々ありますが、数撃ちゃ当たるの論法でお金を稼げる可能性がないわけではない。投資効率の良い手法なんです」(春日井氏)
