脆弱性慣れを解消するには?


■脆弱性慣れを解消するには?

毎日の様に発表される、いろいろな脆弱性。

過去最高の脆弱性数

でも書いたが、最近本当に多いなぁ、と思う。

いつか落ち着くことはあるんだろうか?

ここ数年ではあまりないだろうなぁ。

が、これだけ多くなってくると、狼少年ではないが、

「脆弱性慣れ」

してしまっている自分がいる。

慣れてはいかんのだが、どうしても感覚が麻痺してしまう。

なんか最近、脆弱性の問題を見ても、

・どうせまぁ大したことないでしょ

とか、

・自分には関係ないでしょ

とか思うような感覚が出てきてしまっていて、とてもまずい。

どうしたもんじゃろのー?って感じだった。



で、見つけた ITpro の記事。

攻撃を再現して驚いた! Skypeなど多数のアプリにあまりに致命的な脆弱性
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/020501301/?rt=nocnt

GitHub が開発した、アプリ開発用のフレームワークである

「Electron」

に脆弱性があり、それを突いたらどうなるか、という内容。

個人的には非常に興味深く読ませていただいた。

この記事に記載されている脆弱性である、

・CVE-2018-1000006

に関しては、

「Skype に脆弱性発見!」

とかいう記事もあったので、一応知っていた。

が、他にも騒がれていた、

「Slack に深刻な脆弱性」

と同根をなす脆弱性だとは気がついてなかった。

まさに、

「Slack?何それ?まぁどうせ関係ないわ」

という状態になっていたのである。

この記事を読むことで、

「なるほどそういう問題なのか」

「そんなに簡単に脆弱性を突けるのか」

「突かれるとそういうことが起こるのか」

ということが直感的に理解できた。

どのアプリが

Electron フレームワーク

で開発されているのか、は分からないが、

・個別アプリでもやっぱり最新版にしておかないと

と改めて素直に思えた。



今回の件は、記者の方が簡単に脆弱性を解説し、

実際に実現することで深刻度を示して下さっている。

しかしながら、すべての脆弱性について、こういったことが

なされているわけではない。

また、かなり専門性を持ってないと、実現困難な脆弱性も多い。

こういった場合、

どうすれば脆弱性の深刻度をちゃんと理解できるのか?

といつも思う。

もちろん、現時点でも、CVSS v3.0 など、

脆弱性の深刻度は大体数値化されており、

数値の大小でおおよその判断は出来る状態となっている。

ただ、10.0 だからヤバそうだ、は分かるけど、

6.5 とかならどれぐらいヤバいの?は分かりにくい。

さらに、基本値は高くても、環境値は低い、などもよくある。

なので、こういった数値があること自体は非常に重要で有益だが、

深刻度を身をもって理解する、

という状況までは実現できていない。
*もちろん用途が違うのはその通りではあるが。

ということで、簡単に脆弱性を安全に再現出来る方法があれば、

今後脆弱性が公表されたとしても、

・脆弱性の影響を実際に試してみる

ということをやることで、その影響や深刻度を

身をもって理解することができるのではないか、と思う。

そうすれば、脆弱性が多発しても、個々の深刻度を理解できるため、

脆弱性慣れを防げるのではないだろうか。

でも、そういう環境を一般化してしまうと、

今度は、

それを利用したマルウェアを誰でも作れる、

という状況にもなりかねない。

なかなか難しい所だと思う。



こういった難しい問題はあるとはいえ、

やはり脆弱性慣れを防ぐためには、

「影響の見える化」

が一番効果的だと思う。

本サイトでも、

ラズパイでセキュリティ

の方で、脆弱性診断の方法やツールについて記載しているが、

こういった技術、特に metasploit などを使いつつ、

見える化する方法について考えて行きたい。

全ての脆弱性、というわけにも行かないだろうが、

重要なもの、興味深いもの、などに関しては、

・脆弱性の影響を見える化する方法
・見える化した結果

などを書いていけるようになるといいな、と思う。

ITpro さんの記事のおかげで、

本サイトの目指すべきテーマがまた一つ増えたかも。

まぁそれ以前にやることあるだろ!とも思うが・・・。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください