ツールの活用と人の手による模擬攻撃でシステムに潜む脆弱性を明らかにする

【鈴木】今年、ランサムウェア「WannaCry」によるセキュリティ被害が世界的に報道されました。被害が爆発的に拡がった主な理由として、システムの欠陥である「脆弱性」を悪用している点が挙げられます。ランサムウェアに限らず、サイバー攻撃者は情報システムに潜む脆弱性を狙って攻撃をしてくる傾向が一層強まっています。

CTCではシステムの脆弱性を特定する「脆弱性診断」を、十年以上、数千システムに対して実施してきました。脆弱性診断の流れは基本的に攻撃者と同じで、「環境把握→不正な通信→応答／挙動分析→脆弱性利用」という手順です。また脆弱性を見つけるアプローチは大きく2つあり、1つはツール（脆弱性スキャナ）を用いたスキャン、もう1つは手動による攻撃コード送信です。

「うちはWAFやIPSを入れているから大丈夫」と考えるお客様もいるかもしれませんが、それだけでは安心できません。最近はWAFやIPSでは防ぐことのできない、Webアプリケーションなどの設計上の不備を悪用した攻撃が増えているからです。

またWannaCryは、暗号化被害ばかりが注目されがちですが、Windowsのデフォルト稼働サービス（SMBv1）の脆弱性を悪用した同じ攻撃手法により、PCの乗っ取りやファイルの窃取や破壊、Webカメラの閲覧なども簡単にできてしまう点にも注意が必要でしょう。

【西下】さらにモバイルルータなどのネットワーク機器、それにWordPressのプラグインにも脆弱性が存在しています。例えば、ある攻撃を受けたWordPressのプラグインに潜む脆弱性は、共通脆弱性評価システム（CVSS）のスコアは「5」と中程度でした。つまり脆弱性への対応の必要性を判断する際、表面上のスコアや印象にとらわれないようにするべきだということです。