サイバーセキュリティの最新動向を把握するために面倒な Twitter アカウントをフォローしなければならないことにうんざりした情報セキュリティのプロが、本当に知っておくべき新しい脆弱性がある場合に電話をかける Web サイトを立ち上げました。
製品マネージャーのマット・サリバン氏が創設した Bugalert は、セキュリティ研究者が重大な影響を与える脆弱性を公開したときに、そのノイズからシグナルを区別する苦労を軽減することを目的としたクラウドソーシング ベンチャーです。
Log4jの脆弱性やその繰り返しのような、急速に進展する状況に対応するのは「途方もなく大変」だと彼はThe Registerに語り、CVE番号の割り当てに頼るのは今の時代には遅すぎると考えている。(2021年11月に最初のLog4jの脆弱性にCVEが付与されるまでに約1日半かかり、その1週間後にはエクスプロイトがTwitterに投稿された。)
「実は、この脆弱性について読んでいるんです」と、サリバン氏はため息をつきながら、Bugalert に至った Log4j のフラストレーションについて語った。「私のタイムゾーンでは真夜中なのに、このツイートが投稿されたのが現地時間の午前9時だったんです。壊滅的な問題が発生したという内容でした。誰かが15時間もかけて対応していたのに、私たちには情報を伝えられなかったことに、私はひどく苛立ちました」
情報セキュリティ分野でこの問題を認識していない人はほとんどいないでしょう。適切な匿名Twitterアカウントをフォローしていれば、新たな脆弱性が公開された際に、貴重な時間、あるいは数分を稼ぐことができます。Twitterを頻繁に見る人は、すぐに対策が必要な新たな脆弱性を発見する可能性がさらに高くなります。一方、現実世界での生活(あるいは寝ることさえも、変わり者)に固執する人は、取り残されてしまう可能性があります。
サリバン氏は、Bugalert は登録した加入者にプッシュ通知を送信する審査済みのボランティア(「業界での豊富な経験を持ち、何かが大きな問題であるかどうかを知る人」)に依存していると説明した。
Bugalertの創設者によると、人々はこれをGitHubページ経由で行うとのことで、これにより「地理的に分散した複数のリポジトリメンテナーを選抜」し、24時間体制で対応できるという。プロセスは非常にシンプルだ。「通知がレビューとマージを必要としていることが分かれば、アラートプロセスがトリガーされ、メンテナーはそれに対応できる」という。
これまでのところ、Bugalertは意図的に人間に依存したプロセスであり、従来の脅威インテリジェンスフィードの取り込みや分析には依存していません。この点を踏まえると、Bugalertと従来のメーリングリストやRSSフィードの違いは何でしょうか?
Dellが企業顧客に送った重要な通知
メーリングリストは、その名の通り、メールを送信します。「皆さんはどうか分かりませんが、私のメールは最悪なんです」とサリバン氏は半ば真面目な口調で言いました。「急ぎの用事とメールの組み合わせは、私には合いませんからね」
彼の見解では、メーリング リストのもう 1 つの問題は、ベンダーからの脆弱性通知サービスが「非常に高い精度基準を要求されている」ことだ。
場合によっては、特定の脆弱性が特定の環境や展開にどのような影響を与えるかを正確に把握するために時間を費やすよりも、迅速に緩和策を適用することの方が重要なことがあります。
「『問題が発生していますが、どう対処すればいいのか分かりません』と誰かに警告するのは当然だと思います。しかし、今のあなたの仕事は、その問題を認識し、少なくとも検知することです」とサリバン氏は説明した。
彼の構想では、Bugalert に加入している組織はアラートを受信し、「ビルドが完了するまでお茶を飲んでください」と言い、製品のバージョン番号を増やし、「そして 1 時間後には製品がリリースされ、彼らはベッドに戻る」という。
紙面上では非常に素晴らしい。しかし、電話オプションはどうだろうか? 登録すると、Bugalertからあなたの携帯電話に電話がかかり、Bugalertのボランティアバグトリアージ担当者が作成した脆弱性アラートの音声合成版が再生される。サリバン氏は、ユーザーがBugalertの電話番号を保存して、通知を「おやすみモード」設定から回避できるようにすることを想定していると述べたが、エル・レグ氏は少し空想的すぎると考えている。
しかし、より具体的には、Bugalertの現在の600人の加入者のうち約4分の3がSMSアラートに登録していると推定しています。「そこに明確な価値があります。人々は再び『メールだけでは不十分。もう少し自分に合ったダイレクトな通知が必要だ』と言っています。人々は確かに早期通知に関心がありますが、現在受け取っているものとは異なる種類の通知にも関心があるのです。」
- マイクロソフトがゼロデイ脆弱性を世界に公表してから5分後に、悪意のある人物がExchange Hafniumの脆弱性のスキャンを開始した。
- 脆弱性の猛攻撃にもかかわらず、Apache Maven Centralだけで400万件の古いLog4jダウンロードが提供されました。
- 2019年に追跡された18,000件の脆弱性のうち、実際に悪用されたのはわずか2.6%でした。
- 残念ながら、WinRARの旧バージョンにRCE脆弱性が存在することをお知らせいたします。はい、このファイル解凍ユーティリティは
業界の反応は様々で、RedditのスレッドではBugalertに関する称賛と情報に基づいた批判が入り混じっています。ある投稿者は、「メールやSMSを送信するためのインフラを構築しただけでなく、脆弱性の報告、トリアージ、検証、承認を行うボランティアも募集しています。ボランティア活動の段階はCVEが行っていることですが、あまりにも遅すぎます」と述べています。
資金については、今のところすべてサリバン氏の銀行口座に頼っている。将来的には寄付やスポンサーシップを検討するとのことだが、バナー広告の掲載は拒否した。これは間違いなく、Vulture Centralの裏方を喜ばせるだろう。
このプロジェクトの価値を理解しない人もいるでしょう。「Bugalertはありきたりの通知メカニズムを再現している」と主張する人もいるでしょう。また、真夜中にロボットがスマートフォンに文字を読み上げ、見知らぬ人に起こされるなんて考えに恐怖を感じる人もいるでしょう。それでも、数百人のシステム管理者は、これがニッチなニーズを満たすと考えています。®
