脆弱性診断サービスとペネトレーションをおなじものとする者がいるが,別物である.脆弱性診断サービスには,脆弱性には“対象の網羅性”と“脆弱性の網羅性”の2 つが含まれ,2 つの意味合いで脆弱性を検出する.また,ペネトレーションとは,対象のシステムやアプリケーションに潜む“脅威に到達可能な経路を見つけだすこと”を目的として実施する.
1. 脆弱性診断サービスの大きな流れ
国際ウェブセキュリティ標準機構(OWASP:The Open Web Application Security Project) と1999 年に発足した非営利組織のMITRE(マイター)がある.世界中に数百の支部と数万名の会員から,脆弱性の情報を収集し, 脆弱性の致命度の上位10 項目をOWASP TOP 10 として発表し,日本にもその支部が存在する.
MITRE(マイター)はアメリカ政府の出先機関で,会員にはNIST,ISACA が含まれ,民間企業と連携し,国家安全保障,公共安全,ヘルスケア,サイバーセキュリティを扱う.また,個別製品中の脆弱性を対象として,共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の採番を行い,ソフトウェアにおけるセキュリティ上の弱点を識別するための共通脆弱性タイプ一覧(CWE:Common Weakness Enumeration)の共通基準を定めている.
脆弱性の重要度のスコアリング方法としては,2004 年に発足したFIRST(Forum of Incident Response and Security Teams)が提示する,共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)がある.
2. OWASP TOP 10(2021 年から2025 年の変化)
OWASP TOP 10 で注目すべき点は,ほとんどの項目の順位は変化していないが,A03:2025-ソフトウェアサプライチェーンの失敗が順位3 位に割り込んでいる.これは,ソフトウェアサプライチェーンの構成要素の依存関係に内在するリスクのことで,Java ベースのロギングユーティリティのApache Log4j の攻撃事例がある.Log4j の更新時に,リモートで実行可能な悪意のあるコード(ミュタント)が埋め込まれ,多くのシステムに影響が出た.その他の例として,Solar Windsの攻撃事例がある.悪意のあるコードは,ウイルス(ホストファイルを起点とした感染する悪意のあるプログラム),ワーム(ネットワークを介して感染する悪意のあるプログラム),ミュタント(感染性はないが,悪意のあるプログラム)は区別して,用語を用いるが,使用者が信用するユーティリティの中にボットが仕組まれた事例である.
3. IPA の情報セキュリティ10 大脅威2025
日本のIPA も,OWASP と同様に,毎年,情報セキュリティ10 大脅威を発表している.「サプライチェーンや委託先を狙った攻撃」が2 位に浮上している.内容は,情報セキュリティの弱い組織を狙って,攻撃を仕掛けられたように,委託先が狙われることを,注意喚起している.
4.脆弱性調査例
ネットワークシステム
攻撃対象のホストの検出容易性の調査/ポートスキャン/サービスのバージョン調査及び設定調査/ DNSの設定調査/ウェブサーバの設定調査/ 認証に対するパスワード強度調査/脆弱性の情報収集及び検証/踏み台にする容易性の調査/etc
ウェブアプリケーションの脆弱性
SQLインジェクション脆弱性/OSコマンドインジェクション脆弱性/ディレクトリトラバーサル脆弱性/セッション管理の脆弱性/アクセス制御欠如と認可処理欠如の脆弱性/クロスサイトスクリプティング脆弱性/クロスサイトリクエストフォージェリ/etc