WannaCry攻撃が露呈するパッチ管理の問題

セキュリティとストレージのリーディングカンパニー > ブログ > ランサムウェア関連 > WannaCry攻撃が露呈するパッチ管理の問題

WannaCry攻撃が露呈するパッチ管理の問題
Mike Vizard

2017年07月06日

WannaCryのランサムウェア攻撃の後、そもそも攻撃を可能にした責任が誰にあるのかという点について、さまざまな議論が交わされています。Microsoft社は、米国国家安全保障局(NSA)が最初に攻撃コードを開発したことを非難しています。NSAは、この脆弱性については何か月も前にMicrosoft社に報告したと述べています。サイバー犯罪者によってこれほど大規模に利用された脆弱性を利用するコードをNSAが開発したことをWikiLeaksが公開したのも、ほぼ同じ時期です。

さらに、サポートされていないレガシーバージョンのWindowsをあいかわらず実行することを決定した組織にも責任があると考えられています。しかし、サポート対象のバージョンを使用していればWannaCry攻撃の影響も大きく異なっていたと断言できるわけではありません。

セキュリティ分析プロバイダであるBay Dynamicsの委託を受けてEnterprise Management Associatesがサイバーセキュリティ専門家400人を対象に実施した最近の調査では、脆弱性関連のメンテナンス作業が大きな負担となっている割合が対象者の74%に上ることが報告されています。これらのサイバーセキュリティ専門家の79%は、組織が依存するパッチ適用の承認手続きの大部分が手動で行われていると報告しています。

また、そのほとんどがゼロデイ脅威に対処できる能力を現実に持っていないことも認めています。この調査では、回答者の64%が脅威アラートへの対応が毎日行われていないことを認めています。また、システムによる脅威アラートの優先付けが不適切であるため、手動で優先順位を変更する必要があると、52%が報告しています。

『多くのサイバーセキュリティ専門家は、ゼロデイの脅威に対処する能力をほとんど持っていないと報告しています』

クリックしてツイート

長年にわたり、パッチ適用プロセス全体は深刻な欠陥を抱えてきました。ソフトウェアベンダは常にパッチを提供していますが、大部分の組織はパッチを実装する前にアプリケーションへの影響をテストする必要があります。パッチ適用プロセスを自動化する方法はありますが、ほとんどの場合にアプリケーションへのパッチ適用は非効率的な手動プロセスで行われています。このため、脆弱性が発見されてパッチが提供されても、そのパッチが展開されるまで数週間、場合によっては数か月かかることがあります。一方、サイバー犯罪者は、潜在的な犠牲者の大部分が効果的な防御を実装するまで数か月かかると想定し、それまでの間に脆弱性を利用しようと試みます。実際のところ、何らかの理由でパッチをまったく適用することがない組織は非常に多く存在します。成功したサイバーセキュリティ攻撃の90%以上が既知の攻撃を利用するものであるのは、そのためです。サイバー犯罪者は、ソフトウェアエンジニアリングに取り組んでいるのではなく、既知の脆弱性を利用するペイロードを提供するための巧妙な方法を探しているのです。

長年、ベンダが脆弱性公開プロセス全体を扱う方法について、多くの議論が行われています。ほとんどのベンダは、脆弱性の存在を発表するときに即座にパッチを公開しています。しかし、今でも大部分が手作業で行われているパッチ管理プロセスが、次々に発見されている多数の脆弱性に対処できていないことは明らかです。

もちろん、これらの脆弱性が存在することは、ソフトウェア開発プロセスに大きな欠陥があることを示しています。幸いにも、Dockerコンテナなどのテクノロジにより構築された最新のアプリケーションを使用することで、アプリケーションへのパッチ適用の必要性が排除されます。1つのコンテナを別のコンテナに置き換えるだけで、新しい機能を簡単に追加できます。しかし、パッチに依存しているレガシーアプリケーションは、今後も長期にわたって存続していくと考えられます。残念ながら、これらのパッチの管理に使用されるプロセスが改善されない限り、ITセキュリティ全体の状況がすぐに改善されることはないでしょう。


マイク・ヴィザード(Mike Vizard)氏は、25年を超えるIT業界での経歴に基づいて、InfoWorld、eWeek、CRN、Baseline、ComputerWorld、TMCNet、Digital Reviewなど、さまざまなサイトで編集や寄稿を担当しています。現在マイクは、IT Business Edgeでブログ記事を投稿しており、CIOinsight、The Channel Insider、Programmableweb、Slashdotにも寄稿しています。マイクはブログで、新登場のクラウドテクノロジとしてIntronis MSP Solutions by Barracudaを紹介しています。

マイクとつながりたい方は、LinkedInTwitterGoogle+をご利用ください。


*本内容はBarracuda Product Blog 2017年 5月19日 In Wake of WannaCry Attack Patch Management Comes Under Scrutiny を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら