脆弱性のパッチ適用という幻想

2023年05月02日に@ITにショッキングな記事が投稿された。

少なくとも既知の脆弱性に対して、最も効果があるのは「セキュリティパッチの適用」であるというが、セキュリティ対策の常識であった。しかしこのレポートでは「最新のセキュリティパッチを適用しても脆弱性の１０%しか対応できていない」と結論づけている。
このレポートは無料で公開されているため、誰でも読むことが出来る。早速ユーザ登録をしてこのレポートを読んでみた。

レポートから削除された記事

結論から言うとこのレポートにはそのような記事はなかった。ネットで検索すると、アーカイブにそのような表記の画像が残っていたため、おそらくこのレポートが公開された時点では、@ITにあるような「セキュリティパッチは幻想」という主旨の内容があったのだろう。
しかし現在我々が入手できる最新版のレポートにはそのあたりの記事が全て削除されているようだ。

本来はコンポーネントの正当性を検証するツール

このレポートで紹介されているソフトウェアは、アプリの各コンポーネントの正当性を証明するもののようだ。
オープンソースソフトの場合、多くの開発者がソースコードを寄贈するという善意の体制で運用されている。しかしこの体制が故、身元が判明しないコンポーネントが混入することがあり得る。
その場合でもこのLineajeが提唱するフィンガープリント技術を使用すれば、身元が不明なコンポーネントや改竄されたコンポーネントが混入しても、識別することが可能だということだ。

もちろんソフトウェアを構成するコンポーネントの履歴や身元を検証する仕組みは大事であるし、その管理によって「脆弱性の放置」や「悪意のあるプログラムの混入」に効果があることも理解できる。

ただしだからといって

• Apache Software Foundationの４万を超えるコンポーネントの64.2％にはセキュリティパッチが適用されていない。

• 最新のセキュリティパッチを適用しても脆弱性の約10%しか対処できていない。

という結論は勇み足だったのであろう。

攻撃者は即購入すべし！？

もし本当にASF (Apache Software Foundation)のソフトウェアが、最新のパッチを適用しても10%しか対応出来ていないということが本当であれば、これは大変な出来事である。
こんなレポートを書いている場合ではない。緊急事態としてASF SECURITY TEAMに報告するべきだろう。

そもそもASFを利用している世界中企業の約９割に残っている脆弱性を発見できるのなら、私が攻撃者なら即このLineajeのソフトウェアを購入するだろう。ASFも世の中の企業の大部分も知らないその脆弱性を見つけられるのであれば、安い買い物だ。

実際はそういうこともなく、また該当部分の記事もレポートから削除されているため、「OSSの脆弱性にはパッチ適用をが通用しない」ということはないと考えて良いようだ。

アタリマエなことを確実に実施すること

もちろん世の中に知られていない潜在的なゼロデイ脆弱性はどのソフトウェアにも存在するリスクはある。
しかし既知の脆弱性を防ぐセキュリティパッチでは対応できない脆弱性については、多層防御でシステムを守るというのもまたセキュリティ対策の王道である。

• 優先度１：アタリマエ対策（セキュリティパッチの適用と不要なポート閉鎖）

• 優先度２：多層防御（外部からの侵入(IN)と、外部への情報送信(OUT)を阻止する）

最新バージョンほどリスクが低い

このLineajeレポートには「The Older is the Wiser」という考察も述べられている。改訂を重ねたバージョンは脆弱性のリスクが少ないというものだ。

誤解を生む内容についてはすでに削除されているこのレポートは書いてある内容はまっとうなものであると思う。
セキュリティ対策とは、まず「アタリマエのことの確実な実施が王道である」ということは変わらない。