誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
――実際に自社の製品やサービスに脆弱性があるかをどう管理すればよいでしょうか。
福本:脆弱性があるかどうかのモニタリングを手助けするツールやサービスがあります。有償のものからオープンソースのものまであり、利用している企業も少なくありません。また、国内で脆弱性情報を公開するデータベースとしてIPAが運用するJVN iPediaなどがあり、海外にも無料で使える同様のデータベースがあるので、そういったものを活用するのもよいでしょう。
ほかにも、外部の人に脆弱性を発見・報告してもらい報酬を支払う「バグバウンティ」があります。脆弱性を見つけるのに役立ちますが、一方で指摘された際にきちんと対処できる社内体制がなければ有効に機能しません。
――改めて製品やサービスを提供する側が、今後考慮すべきことはどのようなものでしょうか。
佐々木:以前は脆弱性情報が出て急いでパッチを当てれば間に合いましたが、最近はそれが崩れつつあります。未公開の脆弱性情報は、それを知る1つのグループだけが悪用すると思われてきましたが、現在では複数グループで脆弱性情報を共有するケースが確認されています。
これまではセキュリティ専門組織などから注意喚起が出て、1週間以内にパッチを当てれば防げると思われてきました。しかし今は早ければ当日に攻撃がきて、翌日には別グループからも攻撃されます。侵入対策を諦めるわけではありませんが、インターネットにつながるシステムなどは侵入を前提に準備しておくべきでしょう。二要素認証の追加や、侵入されても奥まで入れないようにするなどの対策が必要です。
以上のようにユーザー側は厳しい状況にいますので、製品・サービス提供側はこれまで以上に脆弱性情報や、当該脆弱性が悪用されているかどうかという情報について速やかにユーザーに提供しなければなりません。
福本:開発者側で意識すべきは、メンテナンスがすでに止まってしまっているモジュールは使わないようにするということです。よく使われていても、もう何年もメンテナンスがされていないものもあります。開発者が撤退してしまったものや、すでに亡くなってしまっているものなどは、万が一脆弱性が見つかっても誰も直せないという事態に陥りかねません。開発の際に使うライブラリやモジュールが、将来にわたり安心して使えるかどうかは確認すべきでしょう。
佐々木 勇人(ささき・はやと)
JPCERTコーディネーションセンター
脅威アナリスト 政策担当部長 兼 早期警戒グループ マネージャー
2010年から独立行政法人情報処理推進機構(IPA)にて勤務後、2013年から経済産業省 商務情報政策局 情報セキュリティ政策室(現サイバーセキュリティ課)に出向し、経済産業分野、重要インフラ分野におけるセキュリティ対策の企画調整業務にあたるほか、インシデント対応における官民の組織間調整に携わる。2016年7月、JPCERT/CCに入職。国内外のセキュリティ情報の収集、分析および早期警戒情報や注意喚起などの情報発信業務、関係構築、調整業務に従事。また講演等、普及啓発活動にも取り組んでいる。
福本 郁哉(ふくもと・いくや)
JPCERTコーディネーションセンター 早期警戒グループ 脆弱性アナリスト
前職において、Webアプリケーションやモバイルアプリの脆弱性診断、セキュア関連コンサルティング、脆弱性診断ツールの開発などに従事。2017年、JPCERTコーディネーションセンター早期警戒グループに着任。脆弱性アナリストとして、脆弱性の解析業務に携わるほか、セキュアコーディングに係る講師や情報セキュリティの啓発活動も行っている。
谷川 耕一:ライター
外部リンク
この記事に関連するニュース
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
ランキング
-
1ソニー宮城拠点、250人削減=ブルーレイ、生産縮小
時事通信 / 2024年6月29日 15時49分
-
2「クレカタッチ」は交通系ICカードを駆逐するのか 熊本で「全国相互利用」離脱、一方で逆の動きも
東洋経済オンライン / 2024年6月29日 7時30分
-
3「押しボタン式信号」なぜ“押してすぐ青”にならないケースが? 納得の理由があった!
乗りものニュース / 2024年6月29日 16時42分
-
4作文は「理系だと苦手」「文系が得意」という大誤解 算数が得意な子は大概「作文もうまい」納得理由
東洋経済オンライン / 2024年6月29日 10時0分
-
5池袋西武とヨドバシ「売り場折半」の波紋と懐事情 北側にヨドバシ出店、西武の集客力に影響は?
東洋経済オンライン / 2024年6月29日 10時30分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)