エクスプロイト不要

皆さん、こんにちは。このスペースで脆弱性、サイバーセキュリティ、インフォセックの歴史について定期的に発信する機会をいただきました。現在はrunZeroに在籍し、セキュリティリサーチ担当バイスプレジデントを務めています。要するに、優秀で情熱にあふれ、かつ頭脳明晰なメンバーたちと日々を共にしているということです。エクスポージャー管理に対して賢く創造的にアプローチすれば、ネットワークを守ることは確かに可能だという信念のもと、全員が取り組んでいます。

ここで執筆できることをとても楽しみにしています。皆さんはおそらく、CVEで識別された脆弱性やCVEプログラムそのものについて延々と語り続けるのだろうと思われているかもしれません。私はCVEボードのメンバーであり、直近ではCISAのKEVセクションチーフを務めていました。パッチスケジュールの管理、エクスプロイトやMetasploitモジュールの作成、ネットワーク上の新たな攻撃の検知など、キャリアのかなりの部分をこれらに費やしてきましたし（だからこそ、MastodonやBlueskyでCVEについてよくつぶやいています）。

しかし、その予想は外れです！CVEは現代のセキュリティプログラムにおける重要な、いやむしろ根幹をなすコンポーネントだと考えていますし（個々のCVEやプログラム自体についても今後掘り下げていく予定です）、それでもエクスプロイトやバグだけに夢中になるべきだとは思っていません。40年にわたってサイバーセキュリティインシデントに自ら対応し（そして時に引き起こしもした）経験から、ほとんどの問題は重要な内部データベースへのパッチ適用を忘れたことが原因ではなく、ネットワーク自体が防御者に不利な構造になっていることに起因すると痛感しています。

TTRPGと未来の予測

1989年、DunDraConでMike Pondsmith作・R. Talsorian出版の「Cyberpunk 2020」に初めて触れたときのことを今でも覚えています。（マルチプレイヤーオンラインゲーム「Cyberpunk 2077」はご存じでしょうか。あのゲームの直接の先祖が、このペンシル＆ペーパー形式のテーブルトップRPGです。）カンファレンス中に第2版のプレイテストが行われているのを見かけ、ティーンエイジャーのハッカーだった私はすぐさまより完成度の高い「ネットランナー」というキャラクタークラスに引き寄せられました。セッションはとても楽しかったです。戦闘シミュレーションはD&Dよりずっと混沌としてスピーディーで、サイバネティック強化や神経系のアップグレードは魔法や薬よりはるかにクールでした。そして何より、ディストピア的な末期資本主義というテーマが、暗くも不思議な魅力を放っていたのです。

セッションが終わった後、コメントカードを渡されました。80年代のことを思い出していただければわかりますが、当時はポイントツーポイント接続が主流で、何かを成し遂げるにはハンドシェイクのネゴシエーション方法を把握し、プロトコルを解読し、あらゆるOSをゼロから学ぶ必要がありました。そのため私のフィードバックはこんな内容でした。「ハッキングのシミュレーションシステムはとても気に入りましたが、少し単純でわかりやすすぎる気がします。将来、原子力発電所や銀行が、ハッカーや犯罪者がうろつくことで知られる同じネットワーク上に存在するというのは現実的ではないと思います。」

ああ、何と大きな間違いだったことか。

ユニバーサル接続の光と影

話を現在に進めると、通常のTCP/IPネットワークと、そこに接続されたサーバー、デスクトップ、クラウド、スマートフォン、ハイパーバイザー、OT（運用技術）を保護しようとする際に、実に多くのことが失敗しうる状況があります。防御者が最初に直面する根本的な問題は、世界全体がTCP/IPの「IP」という部分を採用してしまったことだと私は考えています。「I」はInternetの頭文字であり、十分な時間が経てば、IPで通信するほぼすべてのものがインターネット上に露出し、到達可能になってしまいます。これはTCP/IPの最も優れた点であると同時に、究極のアキレス腱でもあります。

近年の出来事は、セキュリティにおける現代ネットワークのこの根本的な欠陥を浮き彫りにしています。Googleによる2026年のM-Trendsレポートは、「エクスプロイトが2025年において最も頻繁に観測された初期感染ベクターであった」という見解を強調しており、悪用された脆弱性が初期アクセスベクター全体の32%を占めています。これはかなり大きな割合に思えます！

もちろん、この統計が暗に示す逆の事実は、残りの初期アクセス攻撃の68%——つまり3分の2以上——が技術的な脆弱性の悪用に依存していないということです。その理由はもちろん、十分な創意工夫と時間と運があれば、あらゆるものに到達できるからです。

ゼロトラストはどうなのか

内部ネットワークと外部ネットワークの境界は、精々のところ概念的なものに過ぎないということを、セキュリティ専門家は以前から認識しており、それが今日の侵入防御戦略の前提となっています。約15年にわたって「ゼロトラスト」は、発信元を問わずすべてのネットワークトランザクションにアイデンティティと認証を組み込むという、目指すべき到達点として掲げられてきました。しかし、このアプローチはそのような形では管理「できない」レガシーシステムによって妨げられることが多いのです。さらに悪いことに、CTOやCISOが精巧に設計された境界線に安心した頃に、誰かが必ずITネットワークからOTネットワークへとプリンターを接続し、そこからシャドーITの問題が連鎖的に発生します。

TCP/IPのために選ばれた標準規格は、その相互運用性において驚異的であり、システムが自由に通信できるようにしています。ルーターは障害のある接続を積極的に回避しますが、それはたとえその切断が意図的なブロックであっても同様です。この根本的な相互接続性は、イノベーション、産業、商業、エンターテインメント、芸術など、あらゆる面で素晴らしいものです。しかしセキュリティという観点では、絶対的かつ定量化可能な大惨事です。

ネットワーク自体が、物理的な回路の遮断やケーブルの交換なしに、特定のコンピューターが特定の他のコンピューターとだけ自動的かつインテリジェントに通信できるようにするという考え方と、真っ向から対立しています。今日の侵害のほとんどが、パッチ適用の失敗ではなく、誤ったネットワーク接続や誤ってクリックしたメールに起因するのも、当然のことと言えるでしょう。

これらの根本的な力により、いかなる企業のセキュリティ確保も極めて困難であり、ハッカー、犯罪者、スパイたちはエクスプロイト不要でアクセスを取得・維持するうえで、ほぼ恒久的な優位性を享受しています。

今後は、SecurityWeekのコラムスペースを借りて、サポート終了トレンドの追跡、OT/ITコンバージェンスの調査、そしていわゆる「レイヤー8」——サイバーセキュリティにおける人間中心の問題——といったさまざまなテーマを追求していく予定です。もちろん、特に興味深い技術的なソフトウェア脆弱性のセット（CVEで識別されたものも、そうでないものも）への深掘りも、折を見てお届けします。