プレスリリース

攻撃される以前からパッチが公開されていたにもかかわらず、 脆弱性を悪用したセキュリティ侵害が再発

攻撃される以前からパッチが公開されていたにもかかわらず、 脆弱性を悪用したセキュリティ侵害が再発

イリノイ州アイタスカ - 2017年10月12日 - 米信用情報機関大手の Equifaxから顧客の個人情報が大量に流出した事件が発生しました。フレクセラ・ソフトウェア合同会社 (本社:東京都港区、以下フレクセラ)は、こうした被害が判明しているのは、まだまだ氷山の一角であると考えており、繰り返されていく危険性があることを警告します。

Equifax 顧客の個人データ、最大1 億4550万人(10/2 同社発表)を流出させたハッカーはApache Struts CVE-2017-5638 の脆弱性を悪用。情報には社会保障番号、生年月日、運転免許証、住所、および 209,000 件のクレジット・カード番号などが含まれている可能性があります。こうした情報流出の被害者は、自分のなりすまし犯罪などのリスクに一生さらされてしまう危険があります。

Apache Strutsは、広く使用されているオープン・ソース・コンポーネント(Webサーバーのフレームワーク)です。このオープン・ソース・コンポーネントのユース・ケースにより、Apache Struts はサイバー攻撃の格好のターゲットとなりました。

原因と疑われる脆弱性は3月7日に公表され、同時にパッチも提供されました。「フレクセラ脆弱性レビュー2017」 によると、2016年に発生した脆弱性の81%において、その公開と同時にパッチが提供されており、これは決して珍しいことではなく、ごく一般的なことです。

問題は、パッチの適用が遅く、適用前にハッカーが攻撃を開始してしまうという点です。これは稀なケースではなく、5月に発生したWannaCry攻撃も同様です。これらのケースにより、組織がハッカーの悪用に対して無防備なままの状態であることが浮き彫りになっています。

この問題の原因は、組織が脆弱性に対してタイムリーに対処できていないことです。そしてこれは、Equifaxにおけるセキュリティ侵害が報じられたときにはおそらく忘れられていた可能性のある重要なポイントです。Equifaxは、セキュリティ侵害を受けたことが既に判明しており、セキュリティ侵害に対する対処も進められていますが、被害が判明したEquifaxの他に表に出ていないものがまだまだあると推測されます。

フレクセラの製品管理担当バイス・プレジデントであるJeff Luszczは次のように述べています。
「被害が判明したEquifaxはおそらく氷山の一角にすぎません。このようなケースがニュースで報じられると、サイバー犯罪コミュニティに火がつき、ハッカーたちが先を争うようにこぞって新たな悪用の機会を模索し始めます。インシデントやセキュリティ侵害は長期的なサイクルで再発します。数ヵ月後、または数年後に再発する可能性があります。3 年以上前の脆弱性である Heartbleed を標的とした攻撃も、まだまだ目にします」
このケースは、組織のサイバーセキュリティに対する考え方を根底から再検討することが急務であるという現実をビジネス・リーダーに示しています。大々的に報じられるセキュリティ事故が示しているのは、基本的なセキュリティのベスト・プラクティスが軽視され、セキュリティ・ポリシーが運用プロセスに適切に組み込まれていないため、ハッカーが容易に攻撃できるようになり、セキュリティのプロフェッショナルが攻撃を阻止することが困難になっているということです。

フレクセラのSecunia Research担当上級ディレクタのKasper Lindgaard は次のように述べています。
「この種の脆弱性にパッチを適用することは、デスクトップ・アプリケーションにパッチを適用するように簡単ではありません。ソフトウェア・サプライ・チェーンに影響を及ぼす脆弱性については、ソフトウェア設計とエンジニアリング、運用、セキュリティなどの要件を調整することが重要です。これは簡単な作業ではありません。しかしながら、3月7日の脆弱性とパッチの最初の公開から、Equifaxで最初に不正アクセスが報告されるまでには最大2ヵ月の期間があり、セキュリティ侵害が実際に検出されたのはさらに遅れ、7月29日でした。このことを踏まえ、脆弱性を最優先事項として処理していなかったことがわかります。これはビジネス・リーダーが取り組むべき、様々な業界に共通する喫緊の課題です」

この攻撃により、組織がリスク・ウィンドウを特定し、Equifaxに影響を及ぼすセキュリティ侵害のリスクを軽減するための戦略を実施する必要性が明確になりました。

フレクセラは、ハッカーにこのような大規模な攻撃の機会を与えてしまう課題に対処するうえで特徴ある立場にあります。ソフトウェア・サプライヤー、バイヤー双方の組織がオープン・ソース・コンポーネントを追跡のをサポートするシステムを提供し、また同時にリスクと優先順位を把握するための脆弱性インテリジェンスをタイムリーに提供できるからです。

Flexera をフォロー

Flexeraについて
Flexera は、ソフトウェアの購入、販売、管理、保護の方法を根底から変えます。弊社は、ソフトウェア業界を 1 つのサプライ・チェーンとみなし、ソフトウェアおよびテクノロジ資産データ売買のビジネスをより収益性が高く、安全で、効率的なものに変えます。弊社の収益化およびセキュリティ・ソリューションをご利用になれば、ソフトウェアの販売者は、そのビジネスモデルを変革し、経常収益を高め、オープン・ソースのリスクを最小限に抑えることができます。弊社の脆弱性およびソフトウェア資産管理(SAM)ソリューションは、ソフトウェアの購入に伴う無駄や予測不能性を取り除きます。そのため企業は、必要とするソフトウェアやクラウド・サービスのみを購入し、所有しているものを管理し、コンプライアンスとセキュリティのリスクを抑制することができます。これらのソリューションおよびソフトウェア・サプライ・チェーン全体を強化するために、Flexera はテクノロジ資産に関する世界で最も大規模かつ包括的な市場インテリジェンス・リポジトリを構築しました。弊社は、30 年以上にわたる実績を持ち、1200 人を超す従業員は情熱に溢れ、80,000 社以上のお客様が毎年の ROI を大幅に高めるお手伝いをしています。www.flexerasoftware.jp にアクセスしてください。

お問い合わせ:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*サードパーティーの商標はいずれも、各所有者の財産です。