今年はランサムウェアや新型コロナに便乗にした攻撃など、大規模な攻撃が世界中で注目を集めました。幸いにも脆弱性の発見、開示、修正という基本的な防御策によって、攻撃の多くは阻止されています。Cisco Talos のシステム脆弱性調査チームは今年、さまざまな製品で 231 件の脆弱性を発見しました。これらの脆弱性については、ベンダーパートナーの尽力もあり、攻撃者によってエクスプロイトされる前に修正プログラムが公開、適用されています。Talos が 1 件の脆弱性に対処するたびに、攻撃者にとってのチャンスが 1 つ失われたことになります。ゼロデイ攻撃の可能性を減らすことは、甚大な被害を及ぼすサイバー攻撃を防ぐための、最も手っ取り早い方法です。
今年はコロナ禍が各所に影響しました。脅威ランドスケープもその例外ではありません。世界中で大勢がテレワークに移行し、オンライン会議ソフトウェアの人気が急上昇したからです。コロナ禍がいつ収束するかは不透明ですが、完全なリモートワークはすでに常態化しており、今後も残るでしょう。こうした背景を受けて Talos は今年、ライブラリや Web/モバイル、ドライバに脆弱性が潜んでいないか重点的に調べてきました。この記事では、脆弱性に対する 2020 年の取り組み全体を概説します。見逃してしまった可能性がある重要な更新プログラムについても本稿で取りあげます。
Cisco Talos の哲学
Cisco Talos のシステム脆弱性調査チームは、ソフトウェア、OS、IoT デバイス、サービス、Web、モバイルの脆弱性を調査することで、お客様と広範なオンラインコミュニティを保護してきました。Talos は脆弱性の開示タイムラインを原則 90 日とすることで、ベンダー各社に修正を促しています。そして各社と協力することで、Talos が発見した脆弱性(攻撃ベクトル)が迅速に修正または緩和され、封じ込められるよう努め、発見者としての責任を果たしてきました。また、ベンダーが対応している間もお客様が保護されるよう、Talos から検出用ファイルが提供されます。ベンダーとの調整を経て情報が開示されると、検出用ファイルと個々の脆弱性についての詳細レポートが Talos から公開されます。このレポートは、Talos の脆弱性情報ページでご確認いただけます。
発見された脆弱性の詳細な技術分析と、エクスプロイトされた場合にどのような影響があるかを簡単にまとめた『注目の脆弱性』に関するブログ記事も定期的に公開しています。これらの『注目の脆弱性』に関するブログ記事は、こちらでご覧いただけます。
ベンダーの脆弱性と開示についてのシスコの方針に基づいた、脆弱性の報告と情報開示に関する Talos のタイムラインは以下のようになっています。
2020 年度には、OS や IoT デバイス、Microsoft Office 製品、ブラウザ、PDF リーダーなどの幅広いソフトウェアで、231 件のアドバイザリと 277 件の CVE を公開しました。2019 年以降はアドバイザリの件数と、割り当てられた CVE の両方が顕著に増えています。
Talos では、カバレッジを向上させ、インターネット全体のセキュリティを強化するために最善を尽くしています。しかしそれでも完璧なソフトウェアなど存在しません。大規模なセキュリティチームを抱えるベンダーでさえミスを犯すことがあります。セキュリティチームを持てないベンダーも多くいます。安全性が不十分なソフトウェアやハードウェアに関して、Cisco Talos は脆弱性の調査を拡大しています。これは「ベンダーいじめ」ではありません。誰もがミスを犯しますし、十分な人材や資金がない場合が多いこともよく理解しています。
アドバイザリの内訳(%)
今年のハイライト:
- Adobe PDF、Foxit PDF、NitroPDF、Google PDFium といった主要な PDF アプリケーションで複数の脆弱性を発見。
- Intel、Nvidia、AMD 各社のグラフィックドライバで複数の脆弱性を発見。これらのグラフィックドライバの脆弱性により、Microsoft 社は Windows で RemoteFX vGPU コンポーネントを無効にして削除することを決定しました。2021 年 2 月には完全に削除される予定です。
- Pixar OpenUSD で複数の脆弱性を発見。Pixar OpenUSD は、Mac OS X および iOS で USD ファイル用にデフォルトで使用されるライブラリです。
- Microsoft Azure Sphere 向けのバグ発見コンテストで、Azure Sphere に新たに 16 件のバグを発見。
- Firefox、Chrome、Safari などの主要な Web ブラウザ(これらのブラウザの多くで使用されている WebKit システムを含む)で複数の脆弱性を発見。
- その他、Synology 社の SRM/DSM ファームウェア、Microsoft Office、Microsoft Windows などの主要アプリケーションで複数の問題を発見。
アドバイザリの内訳(総数)
Talos はベンダー調整・開示方針に基づき、ベンダー各社と緊密に連携してきました。さらに、ベンダーから修正プログラムが提供されるまでの間、検出ファイルでお客様とコミュニティを保護します。こうした Talos による積極的な調査と対応は、コミュニティ全体のメリットになっています。ソフトウェアとハードウェアのセキュリティが全体として底上げされるからです。
Talos が公開した脆弱性情報については、脆弱性報告ポータルをご覧ください。
脆弱性の開示方針については、こちらのサイトをご覧ください。
本稿は 2020 年 12 月 21 日に Talos Group のブログに投稿された「Talos Vulnerability Discovery Year in Review — 2020」の抄訳です。