誰もが信頼している製品･サービスに潜む脆弱性 まさかの｢アップデートしたら感染｣する事例も

――実際に自社の製品やサービスに脆弱性があるかをどう管理すればよいでしょうか。

福本：脆弱性があるかどうかのモニタリングを手助けするツールやサービスがあります。有償のものからオープンソースのものまであり、利用している企業も少なくありません。また、国内で脆弱性情報を公開するデータベースとしてIPAが運用するJVN iPediaなどがあり、海外にも無料で使える同様のデータベースがあるので、そういったものを活用するのもよいでしょう。

ほかにも、外部の人に脆弱性を発見・報告してもらい報酬を支払う「バグバウンティ」があります。脆弱性を見つけるのに役立ちますが、一方で指摘された際にきちんと対処できる社内体制がなければ有効に機能しません。

――改めて製品やサービスを提供する側が、今後考慮すべきことはどのようなものでしょうか。

佐々木：以前は脆弱性情報が出て急いでパッチを当てれば間に合いましたが、最近はそれが崩れつつあります。未公開の脆弱性情報は、それを知る1つのグループだけが悪用すると思われてきましたが、現在では複数グループで脆弱性情報を共有するケースが確認されています。

これまではセキュリティ専門組織などから注意喚起が出て、1週間以内にパッチを当てれば防げると思われてきました。しかし今は早ければ当日に攻撃がきて、翌日には別グループからも攻撃されます。侵入対策を諦めるわけではありませんが、インターネットにつながるシステムなどは侵入を前提に準備しておくべきでしょう。二要素認証の追加や、侵入されても奥まで入れないようにするなどの対策が必要です。

以上のようにユーザー側は厳しい状況にいますので、製品・サービス提供側はこれまで以上に脆弱性情報や、当該脆弱性が悪用されているかどうかという情報について速やかにユーザーに提供しなければなりません。

福本：開発者側で意識すべきは、メンテナンスがすでに止まってしまっているモジュールは使わないようにするということです。よく使われていても、もう何年もメンテナンスがされていないものもあります。開発者が撤退してしまったものや、すでに亡くなってしまっているものなどは、万が一脆弱性が見つかっても誰も直せないという事態に陥りかねません。開発の際に使うライブラリやモジュールが、将来にわたり安心して使えるかどうかは確認すべきでしょう。

佐々木 勇人（ささき・はやと）
JPCERTコーディネーションセンター
脅威アナリスト 政策担当部長 兼 早期警戒グループ マネージャー
2010年から独立行政法人情報処理推進機構（IPA）にて勤務後、2013年から経済産業省 商務情報政策局 情報セキュリティ政策室（現サイバーセキュリティ課）に出向し、経済産業分野、重要インフラ分野におけるセキュリティ対策の企画調整業務にあたるほか、インシデント対応における官民の組織間調整に携わる。2016年7月、JPCERT/CCに入職。国内外のセキュリティ情報の収集、分析および早期警戒情報や注意喚起などの情報発信業務、関係構築、調整業務に従事。また講演等、普及啓発活動にも取り組んでいる。

福本 郁哉（ふくもと・いくや）
JPCERTコーディネーションセンター 早期警戒グループ　脆弱性アナリスト
前職において、Webアプリケーションやモバイルアプリの脆弱性診断、セキュア関連コンサルティング、脆弱性診断ツールの開発などに従事。2017年、JPCERTコーディネーションセンター早期警戒グループに着任。脆弱性アナリストとして、脆弱性の解析業務に携わるほか、セキュアコーディングに係る講師や情報セキュリティの啓発活動も行っている。

谷川 耕一：ライター