ブログ(脅威調査)

マシンに対する脆弱性の表示:ソフトウェアの脆弱性の自動優先順位付け

はじめに

ソフトウェアの脆弱性を検出し、修復することができたなら、侵入の可能性を阻止できるでしょう。ソフトウェアの脆弱性がすべて知られているわけではありませんが、データ侵害につながる脆弱性の86%がパッチ可能であるという報告もあります。とはいえ、ソフトウェアのパッチを適用する際に、予想していないダメージが発生するリスクがないわけではありません。新しい脆弱性が確認されると、それらは、National Vulnerability Database(NVD)などの脆弱性データベースによって、Common Vulnerabilities and Exposures(CVE)辞書で公開されます。

共通脆弱性評価システム(CVSS:Common Vulnerabilities Scoring System)は、潜在的な脆弱性の深刻度を評価することを意図した、優先順位付けのための基準を提供します。一方で、タイムリーでない、脆弱性の規模の表現方法、正規化、再スコア、広範な専門家の総意がまとまらないなど、批判もされてきました。たとえば、最も悪質とされるいくつかのエクスプロイトが存在するにも関わらず、低いCVSSスコアが割り当てられたことがありました。さらに、CVSSは脆弱性の規模を測定しません。多くの利用者はこれのスコアリングを期待していると意見してきました。またCVSSv3を採用するとあまりに多くの深刻な脆弱性を生み出してしまうことになり、ユーザーの疲弊を引き起こしているのです。­

FireEyeではタイムリーで幅広いアプローチを提供するため、機械学習を活用して脆弱性の深刻度について関連するツイートを調べ、ユーザーの意見を分析しています。このモデルでは、ユーザーが、脆弱性が多数の人々に影響を与える可能性が高いと考えているかどうか、逆に脆弱性がもっと危険性が低くエクスプロイトされる可能性が少ないのではないか、と考えていることを予測します。このようなFireEyeのモデルによって、CVSSのような従来のアプローチよりも早く現実的な脆弱性の評価を行い、同時に、実世界に与える影響を正しく反映した深刻度を測定する新たな手法となります。

FireEyeの作業はnowcasting(ナウキャスティング)の考えを活用して、早い段階でCVEに優先順位付けを行う際にうまれる重要なギャップを解決し、CVEが本当に緊急かどうかを把握します。ナウキャスティングは、客観的に、リアルタイムで傾向または反転傾向を決定する経済上の理論です。脆弱性評価においては、FireEyeは、CVEがリリースされた後でCVSSによるスコアリングの前に、ソーシャル・メディアの反応に応じてCVEの評価を測定します。CVEのスコアは、理想的には、CVEのリリース後にできるだけ早く提供した方がよいのですが、一方で現行の処理では多くの場合、トリアージの優先順位付けを妨げ、最終的に深刻な脆弱性への対応を遅らせてしまうことになりがちです。このクラウドソーシング・アプローチは、図1に示すように、多くの専門家が脆弱性の規模のサイズと範囲の状態について観察する結果を反映しています。たとえば、2017年のMiraiボットネット・インシデントでは、脆弱性が含まれる膨大な数のIoT機器が攻撃され、当時の最大規模のサービス妨害(DoS:Denial of Service)攻撃につながりました。

 


図1:深刻度を反映した脆弱性に関するソーシャル・コメントを示すツイート

<中略>

結論

脆弱性を産まないようにすることは(もしくはさらっと「管理は」)、サイバー・セキュリティ侵害を効果的に軽減するため、組織の情報セキュリティ体制にとって重要です。FireEyeの研究では、機械学習モデルによってCVEスコアのリリースより前のソーシャル・メディア・コンテンツを効果的に使用すれば、脆弱性スコアを予測し、スコアが公開される前に脆弱性に優先順位付けできることがわかりました。FireEyeのアプローチは、新しいソーシャルの感情分析コンポーネントを組み込み、CVEスコアが適切でなくても、現実世界での脆弱性のエクスプロイトをよりよく予測したスコアリングを可能にします。最後に、FireEyeのアプローチはソフトウェアの脆弱性について、より実用的な優先順位付けを可能にし、攻撃者によって武器化される可能性のあるわずかな脆弱性をあぶりだすことができます。NISTは、現状のCVSSメソドロジーが十分でないことを認識しています。現在のCVSSスコアリングプロセスは、人間が部分的に関与しながらも、2019年10月までに機械学習によるソリューションに置き換えられることが期待されます。しかしながら、スコアリング結果においてソーシャル・コンポーネントを利用するようすは見られません。

この研究は、LeidosとFireEyeの支援を受け、IARPA CAUSEプログラムのもとでオハイオ州の研究者が進めていました。この研究はもともと、2019年6月にNAACLで発表されました。FireEyeのレポートはこの研究をより詳しく説明し、Wiredでもカバーされました。

本ブログは、米FireEyeが公開した「Showing Vulnerability to a Machine: Automated Prioritization of Software Vulnerabilities」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura