イーシーキューブは2021年5月、同社が開発するECシステム構築ツール「EC-CUBE」で見つかったクロスサイトスクリプティング(XSS)の脆弱性を公表した。さらに同社は2021年6月、EC-CUBEで利用するプラグインでもXSSの脆弱性が見つかったと公表した。

ECシステム構築ツール「EC-CUBE」で見つかった脆弱性について、JPCERT/CCやIPAが注意喚起を出した
[画像のクリックで拡大表示]
ECシステム構築ツール「EC-CUBE」で見つかった脆弱性について、JPCERT/CCやIPAが注意喚起を出した
(撮影:日経クロステック)

 イーシーキューブが脆弱性を公表してから数日以内に、JPCERTコーディネーションセンター(JPCERT/CC)や情報処理推進機構(IPA)は脆弱性に関する注意喚起を出した。注意喚起ではどちらの脆弱性にもすでに攻撃が確認されているため、利用者は早急に対応するよう呼びかけていた。

 EC-CUBEのようなユーザー数が多いツールやフレームワークは、脆弱性が公表された直後、もしくは公表される前から攻撃が始まっていることは珍しくない。こうしたツールを使う組織ではどのような体制で運用していくべきか、セキュリティーの専門家に話を聞いた。

パッチをいち早く適用する

 ユーザー数が多いツールに関する脆弱性情報には、ユーザーだけでなく攻撃者も敏感になっている。利用しているシステムが多いため、それだけ攻撃できる機会が増えるからだ。特に、オープンソースソフトウエア(OSS)として提供されるツールは、プログラムの設計図に当たるソースコードが公開されている。三井物産セキュアディレクションのセキュリティーサービスの担当者は、「OSSの場合、脆弱性情報が明らかになるとソースコードが公開されているため、その分攻撃手法を見つけやすい」と指摘する。

 一方で、OSSのツールは開発者が多ければ、脆弱性を修正するプログラム「パッチ」や脆弱性のない新しいバージョンが比較的早く提供されるというメリットもある。脆弱性が見つかったツールを利用する組織では、いかに早く脆弱性を修正するかが、脆弱性を悪用する攻撃の被害に遭うか遭わないかの生命線になる。

 セキュリティー教育などを手掛けるトライコーダの上野宣社長は、「組織において、どのようにパッチマネジメントを取るのかを決めておくことが重要」と話す。パッチマネジメントとは、脆弱性情報やパッチが公開されたとき、速やかに自社への影響を検証し対応することである。

 パッチマネジメントの方法は米国国立標準技術研究所(NIST)が推奨しIPAらが翻訳監修する「パッチおよび脆弱性管理プログラムの策定」に詳しい。Web上で公開されている。セキュリティー管理者やシステムの管理運用担当者向けに、パッチと脆弱性を組織的に管理するプロセスをつくる方法をまとめている。

脆弱性がよく発見されるツールを知っておく

 脆弱性が比較的よく見つかるツールとして、「WordPress」や「Apache Struts」が挙げられる。こうしたツールを知っておくことはパッチマネジメントに役立つ。

 WordPressはWebサイトの制作やブログの作成などが行えるOSSのCMS(Contents Management System)で世界中でよく使われている。WordPressで利用できるプラグインも数多く開発されている。三井物産セキュアディレクションの担当者は、「WordPressの脆弱性はそのものというより、プラグインによく見つかっている」と話す。

 一方のApache Strutsは、Apacheソフトウエア財団が開発するOSSのWebフレームワークで、Javaを使ったWebアプリケーションの開発に使われる。あるセキュリティーベンダーの専門家は「Strutsは年に1度のペースで深刻な脆弱性が見つかる」と指摘する。大規模なシステムに使われることも多く、頻繁に脆弱性が見つかるといっても、別のフレームワークへの乗り換えが難しいケースが多い。

 WordPressには、脆弱性を見つけ出す専用のスキャナーやメンテナンスを委託できる米Kinsta提供の「Kinsta」のようなサービスが存在する。また、ユーザー数が多いツールで新しい脆弱性が見つかると、WAF(Web Application Firewall)のような脆弱性を悪用する攻撃を遮断するセキュリティー製品・サービスの対応も早い。これらを利用して省力化するのもパッチマネジメントの一つの手だ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。