プレスリリース

攻撃される以前からパッチが公開されていたにもかかわらず、 脆弱性を悪用したセキュリティ侵害が再発

攻撃される以前からパッチが公開されていたにもかかわらず、 脆弱性を悪用したセキュリティ侵害が再発

イリノイ州アイタスカ - 2017年10月12日 - 米信用情報機関大手の Equifaxから顧客の個人情報が大量に流出した事件が発生しました。フレクセラ・ソフトウェア合同会社 (本社:東京都港区、以下フレクセラ)は、こうした被害が判明しているのは、まだまだ氷山の一角であると考えており、繰り返されていく危険性があることを警告します。

Equifax 顧客の個人データ、最大1 億4550万人(10/2 同社発表)を流出させたハッカーはApache Struts CVE-2017-5638 の脆弱性を悪用。情報には社会保障番号、生年月日、運転免許証、住所、および 209,000 件のクレジット・カード番号などが含まれている可能性があります。こうした情報流出の被害者は、自分のなりすまし犯罪などのリスクに一生さらされてしまう危険があります。

Apache Strutsは、広く使用されているオープン・ソース・コンポーネント(Webサーバーのフレームワーク)です。このオープン・ソース・コンポーネントのユース・ケースにより、Apache Struts はサイバー攻撃の格好のターゲットとなりました。

原因と疑われる脆弱性は3月7日に公表され、同時にパッチも提供されました。「フレクセラ脆弱性レビュー2017」 によると、2016年に発生した脆弱性の81%において、その公開と同時にパッチが提供されており、これは決して珍しいことではなく、ごく一般的なことです。

問題は、パッチの適用が遅く、適用前にハッカーが攻撃を開始してしまうという点です。これは稀なケースではなく、5月に発生したWannaCry攻撃も同様です。これらのケースにより、組織がハッカーの悪用に対して無防備なままの状態であることが浮き彫りになっています。

この問題の原因は、組織が脆弱性に対してタイムリーに対処できていないことです。そしてこれは、Equifaxにおけるセキュリティ侵害が報じられたときにはおそらく忘れられていた可能性のある重要なポイントです。Equifaxは、セキュリティ侵害を受けたことが既に判明しており、セキュリティ侵害に対する対処も進められていますが、被害が判明したEquifaxの他に表に出ていないものがまだまだあると推測されます。

フレクセラの製品管理担当バイス・プレジデントであるJeff Luszczは次のように述べています。
「被害が判明したEquifaxはおそらく氷山の一角にすぎません。このようなケースがニュースで報じられると、サイバー犯罪コミュニティに火がつき、ハッカーたちが先を争うようにこぞって新たな悪用の機会を模索し始めます。インシデントやセキュリティ侵害は長期的なサイクルで再発します。数ヵ月後、または数年後に再発する可能性があります。3 年以上前の脆弱性である Heartbleed を標的とした攻撃も、まだまだ目にします」
このケースは、組織のサイバーセキュリティに対する考え方を根底から再検討することが急務であるという現実をビジネス・リーダーに示しています。大々的に報じられるセキュリティ事故が示しているのは、基本的なセキュリティのベスト・プラクティスが軽視され、セキュリティ・ポリシーが運用プロセスに適切に組み込まれていないため、ハッカーが容易に攻撃できるようになり、セキュリティのプロフェッショナルが攻撃を阻止することが困難になっているということです。

フレクセラのSecunia Research担当上級ディレクタのKasper Lindgaard は次のように述べています。
「この種の脆弱性にパッチを適用することは、デスクトップ・アプリケーションにパッチを適用するように簡単ではありません。ソフトウェア・サプライ・チェーンに影響を及ぼす脆弱性については、ソフトウェア設計とエンジニアリング、運用、セキュリティなどの要件を調整することが重要です。これは簡単な作業ではありません。しかしながら、3月7日の脆弱性とパッチの最初の公開から、Equifaxで最初に不正アクセスが報告されるまでには最大2ヵ月の期間があり、セキュリティ侵害が実際に検出されたのはさらに遅れ、7月29日でした。このことを踏まえ、脆弱性を最優先事項として処理していなかったことがわかります。これはビジネス・リーダーが取り組むべき、様々な業界に共通する喫緊の課題です」

この攻撃により、組織がリスク・ウィンドウを特定し、Equifaxに影響を及ぼすセキュリティ侵害のリスクを軽減するための戦略を実施する必要性が明確になりました。

フレクセラは、ハッカーにこのような大規模な攻撃の機会を与えてしまう課題に対処するうえで特徴ある立場にあります。ソフトウェア・サプライヤー、バイヤー双方の組織がオープン・ソース・コンポーネントを追跡のをサポートするシステムを提供し、また同時にリスクと優先順位を把握するための脆弱性インテリジェンスをタイムリーに提供できるからです。

Flexera Software をフォローする…

Flexera Software について
Flexera Software は、アプリケーション製作者や企業がアプリケーションの利用率とセキュリティを高め、ソフトウェアを通してより多くの価値を得ることができるよう、サポートを提供しています。 Flexera Software のソフトウェア・ライセンシング、コンプライアンス、サイバーセキュリティ、およびインストールの各ソリューションは、変化し続けるテクノロジのリスクとコストに対して継続的なライセンス・コンプライアンス、ソフトウェア投資の最適化、将来に対応できるビジネス組織の実現を支援するソリューションです。 25 年以上にわたり市場を牽引している Flexera Software は、中立的で信頼性の高い知見と専門技術の発信源として、また、製品を通して自動化やインテリジェンスを提供する企業として、80,000 社を超えるお客様から高く評価されています。 詳細は、次の Web サイトを参照してください。 http://www.flexerasoftware.jp

お問い合わせ:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*第三者の商標は、それぞれの所有者に帰属します。