開示マルウェアやサイバー犯罪から人々や企業をより適切に保護するために、コンピューター セキュリティの脆弱性やバグの重大度を評価する方法を変更する必要があります。
Oktaのサイバーセキュリティ担当エグゼクティブディレクターであり、世界最大のハッキングカンファレンスDEF CONのセキュリティ責任者であるマーク・ロジャース氏はそう語る。
今週サンフランシスコで開催されたOktaのDisclosureカンファレンスでThe Registerに対し、ロジャーズ氏は、セキュリティの脆弱性を評価および分類する現在の方法は、現代の攻撃者の攻撃方法を考慮していない時代遅れのシステムを反映していると語った。
「脆弱性管理の分野全体が進化しているという課題がある」とロジャーズ氏は言う。「しかし、攻撃を活用する方法の進化がそれを上回っているのだ。」
ロジャーズ氏は特に、CVSSスコアリングシステムのようなアプローチは、個々の脆弱性の特定の性質に過度に重点を置き、より広範な文脈、脅威モデル、そして悪意のある者が連鎖的にセキュリティ上の弱点を悪用して予期せぬ損害を引き起こす可能性を無視していると述べた。言い換えれば、セキュリティ上の欠陥を0(無害)から10(非常に深刻)まで、様々なフラグ(リモートまたはローカルで悪用可能など)を付けて評価する従来のシステムは、もはや通用しなくなっているのだ。
たとえば、企業としては、CVSS スコアの高いリモート コード実行の脆弱性を迅速に修正するのが理想的ですが、権限昇格や情報漏洩の脆弱性など、スコアの低いバグは優先的に扱われない可能性があります。
しかし、例えばハッカーはデータ漏洩の脆弱性を悪用してシステムにログインするのに十分な情報を入手し、権限昇格の脆弱性を悪用してシステムを完全に乗っ取る可能性があります。したがって、低スコアの2つのバグは、恐ろしいリモートコード実行の脆弱性と同等、あるいはそれ以上に深刻な事態を引き起こす可能性がありますが、CVSS評価の低さゆえに優先度が低いと見なされる可能性もあります。
「複雑な問題ですが、評価プロセスにはそれに対処するための要素が何もないのです」とロジャーズ氏は述べた。「スコアを見て、それが低ければリソースを割り当てないという誤った安心感に陥ってしまっているのです」
さらに、バグの文脈も重要です。ロジャーズ氏は、例えば攻撃者が画面にテキストを印刷できる脆弱性は、CVSSスコアにほとんど影響を与えないと指摘しました。もしそのバグが、例えば機内エンターテイメント画面や警察の標識に悪用されたとしたら、悪質な人物が単純なシステム乗っ取りに匹敵するほどのパニックと混乱を引き起こす可能性があります。
バグ報奨金制度を設定したことを喜ぶ前に、実際にセキュリティに対応できるスタッフを配置しましたか?
続きを読む
一見無害または難解に見えるバグでも、ハッカーが独創的な使い方を見つけると大きな問題になるケースがあります。ロジャーズ氏は、マルウェアが本来アクセスできないメモリ上のデータを改ざんするRowhammer攻撃をその一例として挙げました。RAMの1ビットか2ビットを書き換えるくらいなら、それほど破壊力はないように思えるかもしれません。しかし、カーネルメモリの適切なビットを書き換えることでルート権限が取得されてしまうと、話は別です。
「バグによって小さな機能が1つしか実行できないからといって、それがどのような影響を与えるかを考える必要はありません」とロジャーズ氏は述べた。「ビット反転だけで判断していたら、単なる物理的な脆弱性だと考えていたでしょう。」
解決策を見つけるのは難しいだろうが、ロジャーズ氏は、最初のステップは脆弱性の分類方法をより広い視点から見直すことだと考えている。エクスプロイトの直接的な結果だけを見るのではなく、エクスプロイトがシステムの他の部分にどのような影響を与えるかを考慮する必要があると彼は考えている。
そのためには、情報セキュリティ担当者は視野を広げ、他のコミュニティに働きかける必要があります。
「こうした評価には、システム構築者や運用者からの情報に基づいて状況を把握する必要があります」とロジャーズ氏は説明した。「CVSSスコアだけでなく、システムから得られる知識も考慮に入れた、より動的なプロセスを構築する必要があります。」®
