過去最高の脆弱性数


■過去最高の脆弱性数

マイナビニュースの記事で、こんなのがあった。

2017年は史上最も脆弱性が報告された年、その数1万4000超
https://news.mynavi.jp/article/20180206-581455/

2017 年は 2016 年よりも倍以上報告されている。

全体の数だけでなく、もっとも深刻な Critical の数も倍。

まぁ本当に色々あったからねぇ。

しかし脆弱性の数は今後も増えて行くのだろうか?

それとも逆に収束していくのだろうか?

私の勝手な予想では、

・後数年は増える傾向にある
・10 年ぐらい経ってくると、横ばいまたは微減に入る

という感じ。

まぁ、あくまで勝手な予想ではあるのだが。



後数年増える、と思う理由は、5 — 10 年ぐらい前との傾向の違い。

ちゃんとした統計を取っているわけではなく、

あくまで個人的な感覚ベースなのであまり当てにもならないが、

昔は

・セキュリティに関する意識の低さ
・知識不足による不適切な実装、実装ミス

などがほとんどだったように思う。

その頃は、脆弱性と言えば、更に昔からある

・バッファオーバーフロー

がほとんど、といった状態だったと記憶している。

その後、

・SQL インジェクション

やら

・クロスサイトスクリプティング

やら、今までとは違った脆弱性が出現し、

幅を効かせるようになってきた。

こういった脆弱性は、現時点でもまだまだ残っている。

人間はどうしてもミスしてしまう生き物だから。

また、コードサイズの増大もあって、発見し辛くもなっている。

ただ、こういった脆弱性に関しては、

・CPU 等ハードウェア側での対策
・被害報告による認識向上
・一般的な対策法の浸透

などにより、随分と減ってきているように思える。

そうそうなくなりはしないが、

・ちゃんとやって入れば防げる脆弱性

と言う所まで来ているように思える。



一方、昨今発生している脆弱性は、

・よく使われる規格、ソフトウェアにおける脆弱性

を発見、利用しているものが多いように思える。

Heartbleed は OpenSSL の脆弱性だし、

KRACKs は WPA2 の仕様上の問題を利用している。

Meltdown/Spectre に至っては、ソフトウェアではなく

ハードウェアの脆弱性にまで及んでいる。

とはいえ、昨今の脆弱性に関しても、

・新たな脆弱性が発見される
・対策が浸透してその脆弱性は利用しにくくなる
・次の脆弱性が発見される

という流れ自体は変わっていない。

防がれたら別の穴を見つける、というのは同じなのである。

なので、

・今後もしばらくは脆弱性の数が大きく減ることはない、

と考えている。

が、発見される脆弱性自体は、非常に複雑で、

高度な専門性を持った人でないと見つけられない、

というようなレベルになってきているとも思う。

KRACKs は WPA2 の仕様を精査できないと見つけられないし、

Meltdown や Spectre はハードウェアの挙動にまで踏み込んでいる。

逆に言えば、そこまで踏み込んで行かないと、

影響の大きい脆弱性は発見しにくくなってきている

ということではないか、と推測している。

仮にそうだとすると、もうしばらく脆弱性は見つかっていくだろうが、

脆弱性探索におけるブルーオーシャン

はどんどん狭まってきているのではないか、と思える。

これが、

・その後は横ばいか微減

と考える理由である。



ここまで書いてきて、自分でも正直、

「だからなんなんだ?」

と思う。

まぁ、なんだろう、結局

・昨年が最高だったからといって今年もそうは減らないだろうな

と思った、という話である。

正直あまりにも多いので、もう少し

減ってくれるとありがたいのだが、

そうもいかんのだろうなぁ。

ということは、やっぱり、

・なるべく早くキャッチアップする
・内容、対策を理解する

ということを上手く、早く回していかないといけない。

正直な所、どうやればそうできるのか、は

自分でも解が見つかっていない。

が、

・まずは自分の知識とスキルを地道にあげていく

ということを継続しようと思う。

あぁ、もっと賢くなりたい。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータがどう処理されているか知りたい方はこちらをお読みください