XZ Utilsと脆弱性インテリジェンスの重要な役割について | Codebook|Security News
Codebook|Security News > Articles > Threat Report > XZ Utilsと脆弱性インテリジェンスの重要な役割について

Threat Report

Cyber Intelligence

Flashpoint

Intelligence

XZ Utilsと脆弱性インテリジェンスの重要な役割について

Yoshida

Yoshida

2024.04.11

XZ Utilsの脆弱性が最近発見されたことにより、オープンソースソフトウェアのリスクをナビゲートする上で、包括的な脆弱性インテリジェンスの重要性が改めて浮き彫りとなっています。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年4月5日付)を翻訳したものです。

XZ Utilsで極めて危険なバックドアを発見

3月28日、PostgreSQLのある開発者がデータ圧縮ソフトウェア「XZ Utils」のバージョン5.6.0および5.6.1に極めて危険なバックドアが存在することを明らかにしました。XZ UtilsはさまざまなオープンソースプロジェクトやLinuxディストリビューションで広く使われているツールで、特にOpenSSLで利用されています。データ圧縮プロセスにおいて欠かせない役割を果たすツールであることから、VulnDB 354136あるいはCVE-2024-3094として分類されているこの脆弱性により、影響を受ける上記バージョンのXZ Utilsを導入しているシステムやアプリケーションは潜在的なリスクにさらされています。

XZ Utilsのバックドアに関するFlashpoint CEOのSNS投稿

この脆弱性は早い段階で発見され、少ない影響で済んだものの、社会に「もしも」を考えさせるきっかけとなり、その仮定に関する教訓をもたらしました。その影響は脆弱性が存在するソフトウェアを越えて広がる可能性があり、オープンソースエコシステムにおける深刻な課題が浮き彫りとなっています。つまり、複雑な依存関係のネットワークは、このようなセキュリティ上の欠陥の範囲や影響を不明瞭にする恐れがあるのです。発見直後に出される初期のレポートやベンダーの声明は、潜在的なエクスポージャー象について不完全なイメージを与えてしまうため、結果的に脆弱性の影響範囲が過小評価されてしまう場合がほとんどです。現状では、ベンダーはアドバイザリで自社のソフトウェアが脆弱性の影響を受けたと述べていないかもしれませんが、分析は継続しています。大規模なベンダーであれば、生産ライン全体を完全に評価するため、分析に6か月かそれ以上かかることがあります。

このような状況においては、包括的な脆弱性インテリジェンスの必要性が明白なものとなります。最高の脆弱性インテリジェンスソリューションは、数々の脆弱性やそれらの影響について最も重要かつ有効性が認められた見識を提供し、組織がリスクを正確に評価して、システムを守るための情報に基づいた戦略を考え出す助けとなるべきです。

関連記事

Threat Report

Threat Report

Cyber Intelligence

Flashpoint

Intelligence

XZ Utilsへのバックドア混入:誰の仕業?影響を受けるディストロは?(CVE-2024-3094)

Yoshida

Yoshida

2024.04.11

関連記事

Threat Report

Threat Report

Cyber Intelligence

Flashpoint

Intelligence

新たなXZバックドアスキャナーが登場、あらゆるLinuxバイナリでインプラントを検出

Yoshida

Yoshida

2024.04.11

オープンソースの依存関係に隠された危険

今回のバックドアの発見は、依存関係の複雑さや不透明性など、オープンソースソフトウェアに広く蔓延している問題を際立たせています。XZ Utilsなどのオープンソースライブラリは、幅広いソフトウェアアプリケーションおよびシステムに一体化されていることが多く、とりわけソフトウェア部品表(SBOM)を作成もしくは維持するリソースを持たない組織にとって、追跡や管理が難しくなり得る依存関係のネットワークを作り出します。

単一のアプリケーション内で複数のサードパーティーライブラリをまとめるという慣行によって、この複雑さはさらに増しており、新たに見つかったセキュリティ上の欠陥に対して、あるアプリケーションがどれだけ脆弱なのかに関わる全容が不明瞭になる恐れがあります。結果としてCVE-2024-3094といった脆弱性が公表された時に、影響を受けるシステムの範囲を完全に断定するのが困難になる可能性があるのです。ソフトウェアのベンダーは、自社製品がリスクにさらされていることにすぐに気づけないかもしれず、脆弱性の認知やパッチのリリースが遅れてしまいます

ベンダーは、自社製品が特定の脆弱性の影響を受けるリスクがどれだけあるのかを評価しますが、こういった初期段階の評価は常に正確、もしくはタイムリーなものであるとは限りません。脆弱性の詳細や、さまざまなソフトウェアの設定への適用性について伝達ミスや誤解があると、「この脆弱性による影響はない」と公言することになりかねず、脆弱性の理解がさらに進むにつれて、あとでその発言を訂正する必要が出てくるかもしれません。しかしながら、どのライブラリがどのソフトウェアに使用されているのかを知ることは、そのリスクをより理解するための第一歩となります。

脆弱性インテリジェンスのアドバンテージ

ソフトウェアの脆弱性、とりわけオープンソースの依存関係に潜む脆弱性によって、脆弱性インテリジェンスの重要性が高まっています。包括的な理解や情報がないまま、ソフトウェアセキュリティという暗黒の海でもがく組織に突きつけられる課題の典型的な例がXZ Utilsの脆弱性です。

このような文脈において、脆弱性インテリジェンスは心強い羅針盤になります。遅延ありきのベーシックな脆弱性通知とは一線を画し、綿密な分析や影響の検証に一役買ってくれるのです。また、特定の脆弱性にさらされる状況・範囲を正確に評価し、システムやデータへのより広範な影響を理解するために欠かせない、影響を受けるソフトウェアコンポーネントに関する包括的な見解を提供してくれるものでもあります。

しっかりとした脆弱性インテリジェンスの主な利点の1つは、ベンダーから最初に提供された情報が不正確、または不完全な可能性がある状況において、明確さと解決策を提供する能力にあります。当初報告されていない、追加で影響を受ける製品やバージョンが、弊社製品「VulnDB」の綿密な調査と検証プロセスを通じて明らかになることもよくあります。ベンダーによるアップデートが遅い場合には、私たちがこういったアップデートのモニタリングを行うことも可能です。

さらにVulnDBは、ベンダーの公式アドバイザリ、サードパーティの分析、研究者のレポートなど、複数のソースから得た情報を集約し、相互参照することで、このインテリジェンスを強化しています。この方法論により、組織はそれぞれの脆弱性のより詳細で完全な全体像を把握することができ、緩和策や改善策について、より多くの情報に基づいた意思決定を行うことができるようになります。

VulnDBのような包括的な脆弱性インテリジェンスが必要な理由

組織にとって、とりわけクローズドソースとオープンソースの両方で膨大かつ多様なデジタル資産を擁する組織にとって、VulnDBの価値は、自らのシステムに影響を及ぼす可能性のある脆弱性を明確かつ正確に理解する能力を提供することにあります。VulnDBは以下のような理由から、必要不可欠なツールとして際立っているのです。

 

  • 包括的なデータベース:VulnDBはIT、OT、IoTに影響を与える脆弱性だけでなく、オープンソースライブラリやサードパーティソフトウェアに影響を与える多くの問題に関する広範なデータベースを提供します。このような守備範囲の広さは、多様なソフトウェアソリューションを使う組織にとって不可欠であり、組織はシステムに影響を与える可能性のある脆弱性を確実に認識することができます。
  • 分析の深さ:VulnDBは単に脆弱性をリストアップするだけでなく、脆弱性の説明、その影響、影響を受けるバージョン、豊富なメタデータ、CVSSスコアの評価、および改善アドバイスを含む、開示情報の詳細な分析を提供します。こうした多層的な情報は、組織が自らの脆弱性の詳細と、リスクを軽減するために必要な手順を理解する上で助けとなります。
  • 厳格な検証プロセスと正確性:VulnDBの厳格な検証プロセスは、すべてのエントリの正確性を保証すると同時に、優先順位付けと修復に役立つ追加のメタデータを提供します。これはベンダーから最初に提供されたアドバイザリが不完全、あるいは不正確な可能性がある場合に極めて重要です。VulnDBは複数のソースを相互参照し、詳細を検証することで、組織が誤った情報を信じる羽目に陥らないようサポートします。
  • 適時性:新たな脅威に直面する中で、脆弱性情報へのタイムリーなアクセスは非常に重要です。VulnDBによって、組織は新しい脆弱性について速やかにアップデートを受けられるようになり、その脆弱性が悪用される前にシステムを保護するための迅速な対応を取れるようになります。これは通常、CVE/NVDより遅くとも2週間早く、場合によっては数か月早いこともあります。
  • ベンダーの訂正:VulnDBによる開示情報の詳細な分析とアウトリーチによって、ベンダーがアドバイザリを訂正し、それまで見落としていた脆弱性を認めるようになったケースがあります。VulnDBのこの側面は、直接の加入者に利益をもたらすだけでなく、より正確で包括的な脆弱性の報告体制を保証することで、より広範なサイバーセキュリティコミュニティにも貢献します。

XZ Utilsの脆弱性の向こう側

相互接続されたソフトウェアエコシステムでサイバーセキュリティを維持することは、非常に困難かつ複雑です。XZ Utilsのインシデントは、オープンソースの依存関係を通じて広く影響を及ぼす可能性と、信頼できる包括的な脆弱性インテリジェンスにアクセスすることの重要性を強調しています。

XZ Utilsの事例は孤立したインシデントではなく、組織がナビゲートしなければならない、もっと広大なサイバーセキュリティランドスケープの一部です。組織はこのインシデントから、VulnDBのようなツールがこのナビゲーションにおいて果たす貴重な役割を頭に入れておくべきでしょう。VulnDBは脆弱性とその影響について、詳細かつ検証された知見を提供することにより、将来起こり得る脅威に対するセキュリティ態勢と対応に関して、情報に基づいた意思決定を行うための力を組織に与えます。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

 

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ