今月、警察庁から公表された「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー攻撃者によるものと思われる脆弱性の探索行為(アクセス)が、前年比18%以上増加しているとのことです。2022年から2023年にかけては、5%程の増加だったことと比較すると、顕著な増加と捉えることができます。その中で、特徴的とされているのが、海外からのアクセスとIoT機器へのアクセスです。海外からのアクセスについては、そのアクセスのなんと99.4%以上が海外からのアクセスとのこと。従って、アプリケーションやサーバに対してサービス上の問題がなければ、海外からの発信元IPのアクセスをブロックできれば、かなりの探索行為をブロックすることが可能です。探索対象の点からは、WiFiルーターなどIoT機器を対象としたものが、全体の75%以上と、かなりの割合を占めるようです。いずれにしても、脆弱性の探索行為が急上昇している状況では、その脆弱性対策にも、より一層の注意と迅速性が必要になってきている、ということができます。
令和5年におけるサイバー空間をめぐる脅威の情勢等について:警視庁 30ページより抜粋
その中で、新たな脆弱性領域として特に注目されているのが、OSS(オープンソースソフトウェア)の脆弱性です。OSSの脆弱性として、記憶に新しいのが、2021年12月に顕在化した Apache Log4jの脆弱性でした。これは、非常に多く利用されており、かつ攻撃が容易だったため、我が国をはじめ世界的にも大問題になりました。対策として、Log4jの提供元であるThe Apache Software Foundationから、Log4jShellの対策がなされたバージョンがリリースされましたが、いったいどのサービスやシステムにLog4jが使われているか、すぐにわからなかったこともその攻撃の不安を増大させる結果となりました。このケースでもわかるように、さまざまなソフトウェアに内在する脆弱性はいつ発見されるかわからないので、絶えずチェックを怠らないことが肝要になります。特に対策法などが明確とならない場合の多いOSSが特定のアプリケーションのコンポーネントとして組み込まれている場合は尚更です。そこで、昨年あたりから、コンポーネントレベルでの脆弱性管理を強化すべく、SBOM(≒ソフトウェア部品構成表)により、OSSをメインとする構成ソースの脆弱性管理が必要になってきています。
最近弊社で実施したモバイルアプリケーション(アンドロイドOS)の脆弱性診断において、SBOMレベルで脆弱性チェックを20以上のOSSにより構成され、5つの修正が必要とされる脆弱性が検知されました。
SBOM管理は、より実践的で、有効な脆弱性情報を入手するために必要になってきています。経産省やIPAから発表されているガイドラインなどを参考に対策に着手していくことをお勧めします。
弊社では、SBOM管理のできるソリューションを展開予定です。ご興味がございましたら、お気軽にお問い合わせください。
