2023年以降の Internet AppSec：依然として脆弱であり継続的な対策が必要

Internet AppSec Remains Abysmal & Requires Sustained Action in 2023

2022/12/27 DarkReading — 防御可能なインターネットを構築できるのか？ 2023年におけるインターネットとクラウド・アプリケーションのセキュリティを向上させるために、より良い対策を講じる必要があると、専門家たちは指摘している。2022年の初めには、多くのアプリケーションで広く使われている、Log4j ライブラリというコンポーネントに存在する深刻な脆弱性が発見され、それを緩和するために企業が奔走したのは有名な話である。

Log4Shell の問題から判明したのは、大半の企業はインターネットに接続するアプリケーションを構成する、すべてのソフトウェア・コンポーネントを把握していないことだ。さらに、設定を定期的にチェックするプロセスがなく、開発者の間でセキュリティ情報を集約し、インセンティブを与える方法を見いだされていないことが、その後の 12ヶ月間で浮き彫りになった。

その結果、どうなったのか？ソフトウェア・セキュリティ企業である Sonatype の Chief Technology Officer である Brian Fox は、以下のように述べている。

「パンデミック後のリモートワークの増加に伴い、多くの企業はアプリケーションをロックすることが出来なくなり、リモートワーカーや利用者は、あらゆるサイバー攻撃に対して脆弱になっている。基本的に、全員がオフィスに出勤していた頃には、物理的な境界セキュリティがあり、セキュリティと従来の動作は機能していた。しかし、自宅や喫茶店で仕事をする従業員が増加し、以前のような保護や防御が剥奪されている中で、どうしたら身を守ることができるのだろうか？」

2022年も終わりに近づいているが、安全でないアプリケーション／脆弱なソフトウェア・コンポーネント／クラウド・サービスなどがもたらす、広大な攻撃対象領域との戦いに、企業は挑み続けている。

依然として存在するソフトウェア・サプライチェーンの隙間

2021年にソフトウェア・サプライチェーンの攻撃が 633% も増加したが、既知の脆弱な依存関係を除外するような、簡単なセキュリティ・チェックを行うプロセスさえ、企業は備えていない。たとえば、３月に Sonatype は、ダウンロードされた Log4j コンポーネントの 41% が、脆弱なバージョンであることを発見している。

その一方で、企業はインフラをクラウドへと移行し、より多くの Web アプリケーションを採用するようになった。API の利用は３倍に増加し、平均的な企業では 15,600 の API を使用し、API へのトラフィックは昨年だけで４倍になっている。

Akamai の Director of Security Technology and Strategy である Tony Lauro は、「このような、クラウド化していくインフラの進展により、ユーザーの人的過失が企業インフラへの自然な攻撃経路となる。残念なことに、企業で何が起ころうが、適切なロックダウンにより安全を確保されようが、ユーザーを攻撃する機会は残る。たとえバックエンドが安全であっても、ランサムウェア／マルウェア／フィッシング／詐欺などで、ユーザーを利用することは可能だ」と述べている。

増大の一途をたどるアプリケーションへのサイバー脅威

これまでの 30年間において、サイバー・セキュリティが如何に進歩していないかを示す例として、フィッシング攻撃が挙げられる。このソーシャル・エンジニアリングの攻撃手法は、Ｅメールと同じくらい古くから存在しているが、2022年に Ｅメール・フィッシング攻撃を受けたと回答する企業は、大多数ともいえる 83% に達している。フィッシングは、簡単にクレデンシャル・ハーベスティングにつながり、その後に、Web アプリケーション／クラウド・インフラの侵害につながる。

Banco Santander の Global Head of Cyber Security Research である Daniel Cuthbert は、12月に開催されたセキュリティ・カンファレンス Black Hat Europe で、「この単純な手法により、攻撃者はアプリケーション・セキュリティの複数の層を回避し、機密データ／システム／ネットワークなどにアクセスできるようになる。不用意に何かをクリックして、他者にリバース・シェルをプッシュしないように注意するだけだ。そんなに難しいことだろうか？」と嘆いている。

さらに、攻撃者たちは、ネットワークのエッジで動作している多くのセキュリティ制御を回避する方法で、アプリケーションを標的とすることにも重点を置いている。

５月に開催された Black Hat Asia では、Web Application Firewalls (WAF) を通過して、保護されていないアプリケーションやデータベースへと、悪意のペイロードを送り込む方法について、研究者たちが概説している。

12月には、サイバー・セキュリティ企業の Claroty が、JSON を使って Amazon Web Services／Cloudflare などの主要５社の WAF をバイパスするという、きわめて現実的な攻撃を実演した。この月には、２人の研究者が Spring Boot の脆弱なバージョンを使って、Akamai の WAF をバイパスしている。

Akamai の Lauro は、企業が WAF に依存する方法について、より戦術的になる必要があると指摘している。彼は、「WAF を使用して、パッチ未適用の脆弱性の悪用をブロックするという、いわゆる仮想パッチは重要な機能だ。その一方で、設計が不十分なアプリケーションを保護するために、WAF を使用する企業があまりにも多い。インターネットから攻撃される脆弱性を特定する必要があり、そこでは仮想パッチが役立つ。しかし、ネットワーク内部への侵入に成功した攻撃者が最初に行うことは、これらのゼロデイを探し出し、それを使って横方向に移動することだ」と述べている。

これからのアプリケーション・セキュリティにはイノベーションが必要

ソフトウェア・サプライチェーンを保護することで、ソフトウェアの基本コンポーネントを保護していこうという取り組みは、近い将来におけるイノベーションの重要な基盤となるだろう。これらの実装には時間がかかり、特効薬には成り得ないが、より堅牢なソフトウェア開発とエンド製品につながる可能性があると、専門家たちは述べている。

たとえば、Scorecard のようなシステムを通じて、コンポーネントに関するより多くの情報を開発者に提供することは、セキュリティ上の大きな利点がある。この Scorecard とは、ソフトウェアに含まれるバイナリコード／危険な開発ワークフロー／署名入りリリースの存在などの、ソフトウェア・プロジェクトにおける各種の属性をチェックするものだ。Open Software Security Foundation (OpenSSF) によると、この情報だけで、プロジェクトの脆弱さを、78％の精度で判断できるという。

ソフトウェア・セキュリティ企業 Chainguard の Principal Security Scientist である John Speed Meyers は、ソフトウェア・コンポーネントごとに署名できる Sigstore は、開発者がサプライチェーンを理解し、安全に利用するための技術だと述べている。

彼は、「ソフトウェア・サプライチェーン侵害を防ぐための重要になるのは、デジタル署名の普及だ。それにより、ソフトウェア・サプライチェーン侵害が発生する可能性が低減し、発生した場合の被害を小さくできる」と述べている。

企業はサイバー・セキュアなアプリケーションを選択できる

ソフトウェア開発プロセスの進歩は、より安全なソフトウェアを実現するが、言語の選択も大きな違いを生む。メモリセーフな言語は、バッファ・オーバーフロー／解放済みメモリの使用などの、ソフトウェアの悪質な脆弱性をほぼ完全に排除できる。

Google を例にすると、C／C++ に替えて、Java／Rust などのメモリ・セーフな言語を使用することで、この３年間における脆弱性の数が、223件 から 85件 に減少している。

企業は、生産性や機能だけを重視するのではなく、安全なツールやフレームワークを選択するための、サポートや余裕を開発者に与える必要があると、Sonatype の Fox は指摘している。

彼は、「企業は目を覚ますべきであり、対処すべき新たな現実を認めるべきだ。つまり、最終的に、これらの変更を実行する必要があるのは開発者であり、組織として開発者の問題を認識し、サポートする必要があるということだ。開発者たちは、自身で問題点を見つけ出し、自身でツールを見つけ出しているが、企業からのサポートを受けていない。開発者が正しいことをしたいと思っていても、会社がそれを妨げている」と述べている。

Banco Santander の Cuthbert は、Black Hat Europe での講演で、「経営者レベルにおいては企業の購買力を利用して、ベンダー製品のセキュリティに関する責任を、ベンダー自身に持たせることに注力する必要がある。私たちが製品やソフトウェアを購入する場合に、それらのベンダーや製品の安全性を確認するための情報は、現実には皆無に等しい。私たちは、それを確認することもできず、また、有効な影響力も持たないのだ」と述べている。

Black Hat での発表などを用いて、いくつかの印象的な事象を積み上げることで、2022年という年を的確に言い表している、さすが DarkReading という記事です。冒頭の「大半の企業はインターネットに接続するアプリケーションを構成する、すべてのソフトウェア・コンポーネントを把握していない」に始まり、末尾の「製品やソフトウェアを購入する場合に、それらのベンダーや製品の安全性を確認するための情報は、現実には皆無に等しい」で終わる、とても厳しい現実を突きつけています。米国の防衛産業の実態を見れば、その理由が見えてきます。

11月30日：米国の国防産業に対する調査：87％ がセキュリティ要件に不適合
12月2日：SBOM 要件の延期を米議会に提出：防衛産業の団体が４つの理由を詳述

使っているソフトウェア・コンポーネントの把握が、今年も最大の課題であり続けるのでしょう。