「ゼロデイ脆弱性」や「セキュリティ・パッチ」といった言葉を知らない人はいないでしょう。これらは単なる流行語ではありません。特に、デジタル・プラットフォームへの依存度が高まっている世界では、これらの言葉には重みがあります。
最近、重大なセキュリティ上の欠陥が発覚しました。しかし、この問題はもっと深く、Chromeブラウザーだけでなく、事実上存在するすべてのウェブブラウザに影響を及ぼしていることが判明しました。
脆弱性とは何か、MITRE CVEとは何か?
最も単純な言葉で言えば、脆弱性とは、悪意のある者に悪用される可能性がある、システムのセキュリティ対策の隙間や弱点のことです。セキュリティホールとも呼ばれます。泥棒が家の鍵のかかっていない窓を狙う行為に似ています。
さて、CVEという言葉はCommon Vulnerabilities and Exposuresの頭文字をとったものです。これは、一般に公開されているセキュリティギャップに付けられる固有の識別子です。CVEはサイバーセキュリティの「株式証券コード」に似たものと考えてください。
CVEは、専門家が標準化された方法で脆弱性を迅速に特定し、議論することを支援し、ひいてはデータベースやプラットフォーム間で重要な情報を迅速に共有することを容易にします。CVEは、サイバーセキュリティ・コミュニティの集合知をまとめるキーであるとも言えます。
歴史的な安全保障の欠如
では、WebPの脆弱性とは具体的にどのようなもので、なぜ大きな問題となっているのでしょうか?簡単に言えば、これは日常的な脆弱性ではありません。CVE-2023-5129という識別名でタグ付けされたこの特別な問題は、最も経験豊富なサイバーセキュリティの専門家でさえ動揺させています。この問題を際立たせているのは、その驚異的な影響範囲と被害の可能性です。簡単に言えば、画像を使ったウェブサイトやソフトウェアを使っている人、つまりほとんどすべての人に影響を及ぼす可能性があるということなのです!
これは単なる壁の小さな亀裂ではなく、デジタル・セキュリティの根幹を揺るがす地震断層のようなものです。もし脆弱性に殿堂があるとしたら、この脆弱性は最前列に位置することでしょう。
誰が危険にさらされているのか?もしかしたらお気に入りのアプリも?
この脆弱性の影響の全容はまだ完全には分かっておらず、事態に緊急性が増しています。完全なリストはありませんが、影響を受ける製品の範囲は広いと考えて良いでしょう。Safari、Firefox、Microsoft Edgeのような標準的なウェブブラウザーだけではありません。
1PasswordやSignalのような人気アプリのユーザーなら、腰を据えて注意した方がいいかもしれません。これらのアプリも影響を受ける可能性があり、この脆弱性は、私たちのデジタルライフの様々な側面に影響を及ぼす可能性のある、潜在的に広範な問題なのです。
WebPとは何か、なぜ気にする必要があるのか?
Googleによって開発されたWebPは、ウェブ用に設計された画像フォーマットです。そのユニークなセールスポイントは、品質を大幅に損なうことなく画像を圧縮できることです。技術的な話に聞こえるかもしれないが、平たく言えば、データプランやデバイスの処理能力を消耗することなく、ウェブサイトを美しく見せることができます。
その結果、WebPは広く採用され、さまざまなプラットフォームやアプリケーションで利用されています。残念ながら、そのユビキタス性は、この脆弱性が膨大な数のサービスやプラットフォームを混乱させる可能性があることも意味しています。干し草の山の中の一本の針ではなく、複数の干し草の山に入り込んだ針なのです。
常に最新を維持するか、時代遅れになるリスクを冒すか
この巨大な脆弱性を踏まえて、1つの教訓が他よりも大きく浮かび上がっています。それは、最新のパッチが利用可能になり次第、ソフトウェアをアップデートし続けることの絶対的な必要性です。それを怠れば、データ・セキュリティでロシアンルーレットを行っているようなものなのです。
リスクは理論的なものではなく、即時かつ明白なものです。タイムリーなアップデートを行わないと、時代遅れのシステムを悪用しようとする攻撃者の格好の餌食になります。ですから、カレンダーに印をつけ、リマインダーを設定し、アップデートを日課にしましょう。データの安全性はそれにかかっていると言っても過言ではありません。
PC Maticのアプローチ: ホワイトリスティング方式-仮想セキュリティガード
PC Maticとそのリアルタイムセキュリティ技術であるSuperShield アプリケーション・ホワイトリスティング方式の登場です。過去の知見を基にブラックリストや振る舞い検出を使用するノートン、マカフィー、ウイルスバスターなどの従来のセキュリティソリューションとは異なり、PC Maticはホワイトリスト方式を利便性高く拡張進化した、マルウェア分析官が手作業で善良と確認済のアプリケーションリストを使用します。ブラックリスト方式のソフトウェアが、既知の脅威のみをブロックするのに対し、ホワイトリスティング方式は安全であると確認されていないソフトウェアは全て起動阻止します。
WebPの脆弱性の場合、これは悪意のあるコードがシステムに大惨事をもたらす前に、その足跡を止めることを意味しています。これは、犯罪常習犯をすべてチェックするのではなく、VIPリストに載っていない人を入れない警備員がいるようなものです。招待客のみが入場できるプライベートパーティのような環境をパソコンやスマートフォン上で実現します。
米CISA庁も推奨したアプリケーション・ホワイトリスティング方式
アプリケーション・ホワイトリスティング方式は、サイバーセキュリティにおける単なる流行語ではありません。業界標準になりつつあります。米国政府やサイバーセキュリティの専門家でさえ、その使用を提唱しています。従来のブラックリスト方式とは異なり、ホワイトリスティング方式は機敏で、刻々と変化する脅威の状況に対応できるからです。
用心深さと適切なツールが鍵
WebPの脆弱性は、セキュリティの抜け穴が、画像フォーマットのような一見何の変哲もないものであっても、思いもよらないところに現れる可能性があるということを、はっきりと思い起こさせるものです。アップデートに注力し、PC Maticのホワイトリスティング方式のようなセキュリティ・アプローチを使用することで、あなたのデジタル・ワールドを安全に守ることができます。
ソフトウェアのアップデートをするかどうか、あるいはどのセキュリティ・ソリューションを選ぶべきか、まだ思案しているのなら、これを警鐘としましょう。適切なツールを使い、細部にまで注意を払えば、このデジタルな世界をもう少し安心して航海することができます。
セキュリティ製品に脆弱性対策を
MITRE CVEに影響されているアプリケーションが組織内で利用されていることを把握できるセキュリティ製品を導入していますか? 組織内で利用されている全てのアプリケーションの脆弱性を管理するのは不可能ではありません。既にPC Matic PRO/MSP/federalのように、EDR機能として組織内で利用されたCVE番号が付与されたアプリケーションの利用状況を把握できるセキュリティ製品は市場に存在しています。また、悪意ある者が比較的良く利用するメジャーな製品に関しては、強制自動更新機能により、攻撃面を極小化します。NIST SP 800-40として脆弱性対策はゼロトラスト・セキュリティモデルで必要不可欠な対策です。このような対策をせず「セキュリティ対策は行っていた」と公言することのないようにし、万全を期してください。
原文:WebP Vulnerability and How PC Matic’s Allowlisting Stands Apart (2023/10/04, Nick Buikema)