IBM X-Force のセキュリティ研究者は、2014 年の最初の 6 か月間に収集されたデータに基づき、今年、公開報告された脆弱性の数が 2011 年以来初めて 8,000 件未満に減少すると予測しています。
これまでに明らかにされた欠陥の大部分は中程度のリスクのカテゴリーに分類されるが、その深刻度を評価するために広く使用されているシステムは、ユーザーに及ぼす実際のリスクを反映していないことが多いとIBMの研究者らは述べている。
IBM X-Forceチームは、今年上半期にソフトウェアベンダーが公開したアドバイザリ、セキュリティ業界のメーリングリスト、その他の情報源から、約3,900件のセキュリティ脆弱性に関する報告を収集しました。脆弱性の開示が現状のペースで続けば、2014年に報告される欠陥の数は8,000件を下回り、過去2年間と比べてそれぞれ数百件減少すると、チームは今週発表した報告書で述べています。
「2014年の脆弱性開示件数の減少に寄与した要因を一つに特定することは困難です」とX-Forceの研究者は述べています。「しかし、脆弱性を開示したベンダーの総数が前年比で減少していることは興味深い点です(2013年は1,602社でしたが、2014年は926社でした)。」
セキュリティ専門家はこれまで、脆弱性の総数よりもその影響の方が重要だと主張してきました。しかし、共通脆弱性評価システム(CVSS)のように、脆弱性の深刻度を評価する手法を標準化する試みがなされているにもかかわらず、特定の欠陥がもたらす真のリスクが正確に反映されていないケースが数多く存在します。
「セキュリティアナリスト、企業のインシデント対応チーム、エンタープライズソフトウェアの消費者など、業界の多くの人々が、異なる組織間で頻繁に発生するスコアの不一致に不満を抱いています」とX-Forceの研究者は述べています。「こうした不一致は、個人や組織が脆弱性を評価する際の主観性に起因する場合もありますが、現在のCVSS標準に内在する欠陥や、特定の種類の脆弱性を客観的に評価するための明確なガイドラインの欠如に起因する場合もあります。」
一例として、4月初旬にOpenSSLライブラリで公開されたHeartbleed脆弱性が挙げられます。この脆弱性を悪用すると、攻撃者はWebサーバーのメモリから機密情報を抜き出すことができます。この脆弱性はCVSSベーススコアで10点満点中5.0点と評価され、中程度のリスクに分類されています。
「影響を受けた製品の数、ITチームがシステムのパッチ適用や顧客からの問い合わせへの対応に費やした時間と労力、そして漏洩したデータの潜在的な機密性を考慮すると、Heartbleed脆弱性の真の影響はCVSSベーススコアが示すよりも大きかった」とX-Forceの研究者は述べている。「これはまた、組織によって無視されている可能性はあるものの、Heartbleedと同様に大規模な影響を及ぼす可能性のある、中リスクカテゴリー(CVSSベーススコア4.0~6.9)に分類される他の脆弱性がどのようなものであったのかという疑問を提起する。」
IBMのレポートによると、2014年上半期に公開された脆弱性の67%は、CVSSスコアに基づいて中程度のリスクレベルに分類されました。これは過去2年間の数値とほぼ同じです。
2013 年、脆弱性データベースの維持管理に経験のある 2 人の研究者、Risk Based Security の最高研究責任者 Carsten Eiram 氏と Open Security Foundation の Brian Martin 氏が、標準を維持する組織である Forum for Incident Response and Security Teams (FIRST) に CVSS の欠点を詳述した公開書簡を送りました。
「CVSSv2はCVSSv1に比べて改善が見られましたが、一部の側面で理論的な側面が強すぎるため、実社会での使用にはまだ十分対応できていません」と、エイラム氏とマーティン氏は書簡の中で述べています。「特定の脆弱性の種類やベクトルが適切にサポートされていない一方で、他の脆弱性の種類やベクトルが適切に説明されていないため、主観的で一貫性のないスコアリングにつながります。CVSSはこれを防ぐように設計されています。」
