近年、脆弱性が急増している背景
CVE(Common Vulnerabilities and Exposures)として登録されるソフトウェアの脆弱性は年々増加しており、特に2017年は前年比で倍増し、以降も増加の一途をたどる。2021年には2万件を超えた。この背景について、トレンドマイクロ シニアスレットスペシャリスト 平子正人氏は「脆弱性検査の必要性が認知され、テスト自動化ツールが普及したことが大きいと思います」と説明する。
脆弱性検査の必要性のきっかけとなったのが2014年に発覚した脆弱性「Hearbleed」だ。暗号化通信に使うソフトウェア(ライブラリ)「OpenSSL」の死活監視機能「Heartbeat」(心臓の鼓動)の脆弱性なので「Heartbleed」(心臓出血)と呼ばれている。
本来、OpenSSLでWebサイトとの通信を暗号化することでやりとりを保護していたはずが、拡張機能に潜んでいた脆弱性により、サーバーのメモリ上にある情報が漏えいしてしまう隙が生まれた。しかも、この脆弱性は長らく気づかれないままの状態だった。OpenSSLは広く使われていたため、多くの企業が震撼する出来事となった。
この危機感をきっかけに脆弱性を検査する必要性が高まり、テスト自動化ツールが普及した。その結果として脆弱性の検出数が増えたという側面もある。気づかず放置されるよりは、検出して対策できたほうがいい。
こうした背景もあり、近年ますますオープンソースの脆弱性を突いた攻撃が増えているのが現状だ。脆弱性はすぐに対応すればひとまず安心だが、何もせず放置していれば攻撃者は狙ってくるため、常に脆弱性の最新情報をキャッチし、自社に関係すれば対策しておく必要がある。
