誰もが信頼している製品･サービスに潜む脆弱性 まさかの｢アップデートしたら感染｣する事例も

製品アップデートの流通経路やMSPのアクセスのように、もともと信頼しているものがサイバー攻撃に利用されてしまう場合、対策は難しい（Graphs / PIXTA）

サイバー攻撃対策には、ファイヤーウォールやアンチウイルスソフトの導入、認証強化などさまざまな方法がある。こうした対策を施していても、正規に入手したソフトウェア製品や、普段利用するクラウドサービスそのものに脆弱性が含まれており、それが攻撃者に利用されてインシデントとなることもある。製品やサービスそのものに潜むサイバーリスクの現状とその対処法について、JPCERTコーディネーションセンターの脅威アナリストの佐々木勇人氏と脆弱性アナリストの福本郁哉氏に話を聞いた。

脆弱性がまったくない製品やサービスは存在しない

――利用しているソフトウェア製品やサービスそのものに潜んでいるサイバーリスクには、どのようなものがあるのでしょうか。

【図表で見る】開発プロセスの早い段階からセキュリティ対策をする「シフトレフト」が注目されている

佐々木：まずはソフトウェア自体、あるいは製品のアップデートなどを配布する経路が汚染されるケースがあります。例えば、ソフトウェアにバックドア（システム内部に不正侵入するための入り口）や侵入につながる脆弱性が含まれたまま配布されるのです。これには悪意のある攻撃者が意図的に組み込むものと、メーカー側の何らかの不備で脆弱性が含まれ悪用されるものがあります。

もう1つは、ベンダーによる遠隔からの保守などが狙われるケースです。このようなサービス提供者をマネージドサービスプロバイダー（MSP）と呼びますが、このMSPが攻撃されて利用する端末が汚染され、これを足がかりにユーザー環境に侵入されます。

一般的に「サービスプロバイダーのアクセスは安全だ」という認識があるので、とくに対策がされていないことも多く、簡単に侵入されてしまうのです。製品アップデートの流通経路やMSPのアクセスのように、もともと信頼しているものが利用されると、対策は難しいものがあります。

――製品に含まれる脆弱性とはどのようなものですか。

福本：ソフトウェアの欠陥や不具合である「バグ」の中で、セキュリティに関係するものを「脆弱性」といいます。バグは製品をリリースする前に潰すのですが、どうしても何かしらが残ってしまいます。つまりバグが起きない製品がないように、脆弱性のない製品も存在しないのです。現状のソフトウェアは部品を組み合わせて作るので、いずれかの部品に脆弱性が含まれているケースもあれば、設計やコーディングの不備から生まれる脆弱性もあります。