Cisco Talos のシステムセキュリティ調査チームは、ソフトウェアや OS、IoT、ICS を分析し、攻撃者よりも先に脆弱性を発見できるよう尽力しています。
チームが発見した脆弱性は、修正プログラムを通して迅速にユーザが保護されるよう、開発元と共有されてきました。開発元が修正プログラムを作成、テスト、提供している間、該当製品をお使いのシスコのお客様は Talso による検出コンテンツで保護されます。修正プログラムは最終的に脆弱性を解消するため、シスコのお客様を含めた、あらゆるユーザのセキュリティを強化します。
修正プログラムの提供が開始されると、Talos の検出コンテンツも開示されます。Talos では『注目の脆弱性』を定期的にリリースし、発見した脆弱性を詳細にお伝えしています。公開情報はすべて Talos の脆弱性情報ページからご確認いただけます。
シスコの哲学
Talos の使命は、お客様とお客様のデータの安全性を維持することです。どのような脆弱性であれ、発見内容をソフトウェアベンダーと共有して緊密に連携することで、発見者の責任として攻撃ベクトルを迅速に解消できるよう努めています。その一貫として、次に概説する Talos の連携開示ポリシーを定めています。
シスコの開示タイムラインポリシー:
攻撃者よりも先に脆弱性を見つけて解消し、お客様と社会全体のセキュリティを強化することへのコミットメントは、これまでの Talos の実績をご覧いただければ明らかです。2019 年度には、OS や IoT、Microsoft Ofice 製品、PDF リーダーなどの幅広い分野に渡り、228 件のアドバイザリと 237 件の CVE を公開しました。1 営業日ごとにほぼ 1 件の脆弱性を発見したことになります。
2017 年、2018 年、2019年(8 ~ 7 月)の各年度で発見された脆弱性の内訳
Talos では、カバレッジを向上させ、インターネット全体のセキュリティを強化するために最善を尽くしています。しかしそれでも完璧なソフトウェアなど存在しません。大規模なセキュリティチームを抱えるベンダーでさえミスを犯すことがあります。セキュリティチームを持てないベンダーも多くいます。つまり、ネットワーク上のデバイスを完全に信頼することはできないのです。
今年 1 年のハイライト:
- Adobe PDF、Foxit PDF、NitroPDF、Aspose PDF、Rainbow PDF、Google PDFium といった主要な PDF アプリケーションで、複数の脆弱性を発見。
- Google Nest Cam、Netgear N300 / Nighthawk、Cujo Smart Firewalls などの IoT / ICS デバイスで複数の脆弱性を発見。
- Intel、Nvidia、AMD、Apple 各社のグラフィックドライバで複数の脆弱性を発見。
- Schneider 社製 Modicon に 22 件以上の脆弱性を発見。
- Sierra Wireless 社製の 4G ゲートウェイに 11 件の脆弱性を発見。
- Linksys、TP-Link、Netgear などが製造するネットワークルータに、複数の脆弱性を発見。
- VMWare、Google V8、Windows、各種エンドポイント保護ツールに、さまざまな脆弱性を発見。
下の円グラフは、2019 年のアドバイザリを製品カテゴリ別で見た内訳です。
製品カテゴリ別で見た 2019 年のアドバイザリ
まとめ
Talos の脆弱性調査の目的は、攻撃者よりも先にソフトウェアや製品の攻撃ベクトルを見つけて解消することです。連携開示ポリシーに沿って世界中のベンダーと緊密に協力することにより、Talos は業界トップの保護を提供します。Talos の調査結果を活かした検出ルールにより、修正プログラムが役に立たない場面や、ベンダーによってまだ修正されていない場面でも、お客様が保護されるからです。このアプローチは、長年にわたってネットワークを保護してきました。今も改良が続いていますが、お客様やインターネット全体の保護という面で大きく貢献しています。
Talos が公開した他の脆弱性情報については、脆弱性報告ポータルをご覧ください。
脆弱性の開示方針については、こちらのサイトをご覧ください。
本稿は 2019年12月11日に Talos Group のブログに投稿された「Talos Vulnerability Discovery Year in Review — 2019」の抄訳です。