Talos が 2018 年に発見した脆弱性を振り返る
はじめに
Cisco Talos の脆弱性調査チームはソフトウェアや OS の脆弱性を調査し、攻撃者よりも先に発見するよう努めてきました。修正プログラムを作成して可能な限り早くユーザを保護できるよう、こうした情報は開発元と共有されています。開発元が修正プログラムを作成、テスト、提供している間、該当製品をお使いのシスコのお客様は Talso による検出コンテンツで保護されます。修正プログラムは最終的に脆弱性を排除するため、シスコのお客様だけでなく、あらゆるユーザのセキュリティを強化します。これらの修正プログラムの提供が開始されると、Talos の検出コンテンツも公開されます。検出コンテンツの公開情報はすべて Talos の脆弱性情報ページ
からご確認いただけます。
Talos の調査チームは、脆弱性を開示するペースを過去数年間で改善してきました。公開された脆弱性の数は前年比で 22 % 増加しており、公開ペースを今後も改善できるよう努めています。シスコは 10 月 23 日に、開発元に対する脆弱性開示ポリシーを更新しました。全文はこちらからご覧いただけます。
シスコの哲学
脆弱性に関するシスコの哲学は、製品の開発元と協力した上で開示することです。これには、Talso が発見した脆弱性に対処できるよう開発元と緊密に協力することも含まれます。シスコの主眼は、ソフトウェア ベンダーと連携してお客様を保護し、脆弱性の情報を共有することです。責任ある開示ポリシーには、以下に説明する指針を守りつつ、開発元が脆弱性を解消できる機会を確保することが含まれます。
シスコの開示タイムライン ポリシー
製品の開発元と協力した上で脆弱性を開示し、そうした取り組みを強化するため、既定のタイムライン(90 日間)が更新プログラムなどの作成に不十分であり、かつ進捗が確認される場合は、上記のタイムラインに対して合理的な調整を施すよう開発元と協議します。合理的な必要性が認められる場合は、開示タイムラインに必要な調整を行います。
Talosintelligence.com での開示
Cisco Talos の脆弱性調査チームは 2017 年度(7 月 31 日末)に 200 件以上のアドバイザリを開示し、計 202 件の CVE を作成しました。2018 年度は発見総数が 251 件に増え、CVE は約 400 件に達しました。2018 年度における「Adobe Reader セキュリティ速報およびセキュリティ情報」のうち、各回で少なくとも 1 件は Talos が発見した脆弱性でした。それ以外にも、Foxit PDF Reader(20 件)、IoT(モノのインターネット)デバイス関連(90 件以上)、EEG ソフトウェアの Natus Neuroworks(8 件)をはじめ、VMWare、Nvidia Graphics ドライバ、OpenOffice、Intel Graphics ドライバ、Ethereum アプリケーション、Google PDFium などの幅広い製品で脆弱性を発見しました。
2018 年度は、IoT 関連で特定された脆弱性の数が大幅に増加しました。IoT デバイスの市場シェアが拡大し、数が急増するに伴い、関連する脆弱性や攻撃も増加しています。これはサーバに対するエクスプロイトの減少からも明らかです。
結論
ゼロデイ脆弱性を発見し、製品の開発元と協力した上で開示することは、日常的に使用されるデバイスやソフトウェアの全体的なセキュリティの向上に貢献します。そうした責任に対して Talos では、潜在的な問題や脆弱性を特定するための組織だった手法を発展させることで精力的に取り組んでいます。透明性のあるコミュニティや協力体制を敷くための、専任の人材も確保しています。このようなアプローチにより、お客様がプラットフォームやソフトウェアを安全に使用できるようになります。また Talos としても、プロセスを改善するための分析情報が得られます。
Talos が公開した他の脆弱性情報については、脆弱性報告ポータルをご覧ください。
脆弱性の開示方針については、こちらのサイト をご覧ください。
Tags:本稿は 2018年10月30日に Talos Group
