AIの脅威やゼロデイ攻撃が注目される時代においても、最も大きな被害をもたらしているのは、昔ながらのセキュリティの見落とし、忘れ去られた足場、脆弱なデフォルト設定、そして「後で直す」文化です。
AIを活用したサイバー脅威や高度な国家支援型ハッカー集団が話題をさらう一方で、基本的なセキュリティの欠如が依然として最も一貫したリスクとなっています。最近の一連の脆弱性公開は、「現代的」なインフラが古典的な手口にいかに脆弱であるかを浮き彫りにしています。
例えばCiscoは、ハードコーディングされたroot認証情報を搭載したワイヤレスコントローラーを出荷しており、攻撃者に特権アクセスへの直接的な道を提供していました。Anthropicの内部開発プラットフォームMCPは、デフォルト設定のミスにより認証されていないユーザーに開発環境を公開していました。また、人気の可観測性ツールGrafanaは、クロスサイトスクリプティング(XSS)バグに見舞われ、まるで2000年代初頭の遺物のようでした。
「これらは高度な攻撃手法ではありません」とIDCのDevSecOps & ソフトウェアサプライチェーンセキュリティのリサーチマネージャー、ケイティ・ノートン氏は言います。「問題はレガシーコードそのものではなく、現代の開発環境における優先順位やプレッシャー、構造にあります。セキュリティがパフォーマンスや信頼性と同じレベルで重視されない限り、これらのよく知られた脆弱性は最先端のソフトウェア環境でも繰り返し現れ続けるでしょう。」
CSOが話を聞いたほぼすべての専門家が、ノートン氏の懸念に同意しています。
サイバーセキュリティの大手企業でさえ古い罠に陥る
10年前に置き去りにされるべきだった脆弱性が、今日最も信頼されているツールやプラットフォームの中で今も生き残っています。CiscoやプリンターメーカーのBrotherは、ファームウェアやソフトウェアスタックに直接ハードコーディングされた認証情報を組み込んだデバイスを出荷していました。この慣行はセキュリティ業界で長らく非難されており、実質的に攻撃者に正面玄関の鍵を渡すようなものです。
フォレスターのセキュリティリスク担当副社長兼主席アナリストのサンディ・カリエリ氏は、これらのしつこい脆弱性を「忘れ去られた足場」に例えています。「ハードコーディングされた認証情報は、後で削除するつもりのプレースホルダーのようなものです。しかし『後で』は決して来ません。」
オスターマン・リサーチの主席アナリスト、マイケル・サンプソン氏は、認証情報をハードコーディングするのは「非常に簡単」だと述べており、この慣行はサードパーティの脆弱性増加により統合オプション全体を脅かしていると指摘します。「最優先は市場投入のスピードであり、セキュリティではありません」と彼は言います。
公開された、または認証が弱いサービスは今も企業環境で発見されており、リモートコード実行(RCE)やその他の悪用につながっています。Citrixのアプリケーションデリバリープラットフォームでは、悪名高いBleed脆弱性が、今回はCitrix Bleed 2として、不完全なリクエスト処理を通じて再発しました。
Citrix Bleed-2のように脆弱性が再発する場合、元の修正が不完全だったり、例外的なケースを考慮していなかったことが多いのです。カリエリ氏が指摘するように、パッチ適用だけではもはや十分ではありません。「今日の脆弱性修正には、単なるパッチ以上のものが必要です。修正のライフサイクル、テスト、システムへの長期的な影響を考慮することが求められます。」
今月初め、TenableはOracle Cloud Infrastructure(OCI)が、ファイルアップロードエンドポイントでのCSRF保護の怠慢によりRCEの被害に遭ったと報告しました。もう一つの見落としの例としては、企業向けの評判を持つSAPの暗号化実装が適切な保護を欠いており、古いまたは不適切な暗号技術が現代の導入環境でもすり抜けてしまうことを浮き彫りにしました。
カリエリ氏は「アプリケーションセキュリティに関しては、同じ教訓を何度も繰り返し学ぶ傾向があります。新技術の導入を急ぐあまり、特に成熟したDevSecOps機能を持たない組織ではベストプラクティスが軽視されがちです」と述べています。
なぜ私たちはまだここにいるのか?
開発手法、脅威モデリング、DevSecOpsについて業界で多く語られているにもかかわらず、同じ根本原因が驚くほど頻繁に表面化しています。「脆弱性や弱点、欠陥のないコードを開発するのは難しい」とサンプソン氏は言います。「ツールが進化しても、後で見直すと約束してとりあえず簡単に修正する方が、最初からすべてを完璧にしようとするよりもハードルが低いのです。」
ノートン氏はこれを組織的なマインドセットの問題と説明します。「いまだに文化的な断絶があります。開発者は安全な手法を一貫して適用するための訓練、時間、ツールが不足しているかもしれませんし、セキュリティチームもタイムリーで状況に応じたガイダンスを提供できていないかもしれません。セキュリティは常に組み込まれているわけではなく、後付けされているのです。」
そしてAIの問題もあります。「AI支援のコード生成は、現実世界で不完全で欠陥のあるコードを学習していることが多い」とカリエリ氏は警告します。「私たちがスキャンし、堅牢なDevSecOpsプロセスに統合しない限り、AIが魔法のように安全なコードを生成することはありません。」
サンプソン氏も同意します。「コード生成のためのAIと、安全なデフォルトを強制するためのAIは別のソリューションですが、私たちはしばしばそれらを同一視してしまいます。」
一方でベンダーは、特にそのシステムが「サポート終了」とされていても広く使われている場合、古いシステムを再監査するインセンティブがほとんどありません。その結果、メーカーが既に手を引いた後も、ネットワーク内に脆弱なエンドポイントが何年も潜み続けることになります。
インフラは過去に取り残されている
こうした繰り返される失敗は、いわば「インフラのキャッチアップ問題」に起因することが多いです。プリンター、ルーター、ワイヤレスコントローラーなどのデバイスは、2000年代初頭から本質的に変わっていない組み込み型のセキュリティモデルで今も展開されています。一度企業環境に設置されると、これらのデバイスはほとんどパッチが適用されません。これは運用の複雑さや、パッチ適用が優先されないことが一因です。
同時に、大企業は脆弱なレガシーシステムの上に次世代ツールを重ねています。開発者がAIやマイクロサービスの統合を急ぐ一方で、基盤となるプラットフォームには古いコード、デフォルト設定、忘れ去られたモジュールが山積みです。
「『自分たちには起こらない』という一種のセキュリティ・バイ・オブスキュリティ(隠蔽による安全)を信じている向きもあります」とサンプソン氏は言います。「しかしレガシーな基盤は、依然としてあらゆる分野で重大な根本原因となっています。」
CISOは何をすべきか?
同じ基本的な問題が繰り返し発生する中で、セキュリティリーダーは何ができるのでしょうか?専門家によれば、答えは特効薬を待つことではなく、基本に立ち返り、意図的な行動を再度徹底することにあります。
カリエリ氏は、ツールを開発パイプラインに直接組み込むことを推奨しています。「SASTやSCAのようなコードスキャンツールを開発パイプラインに組み込み、検出結果をトリアージして、チームが最も影響の大きい問題に集中できるようにしましょう。」
ノートン氏は、問題を見つけるだけでなく開発者が修正できるよう支援する自動化の重要性を強調します。「コンテキストに応じた安全なコードの提案を行うツールに投資しましょう。AIは、検出だけでなく修正に最適化されていれば、セキュリティの規模拡大に役立ちます。」
そしてサンプソン氏は、開発者のUX(ユーザー体験)に配慮しつつ「コーディング版のGrammarlyが必要です」と述べています。また、セキュア・バイ・デザインの再考も必要な時期です。3人の専門家全員が、現在のギャップは無関心によるものではなく、規模や複雑さ、整合性の欠如によるものだと指摘します。「セキュア・バイ・デザインは一度きりのものではなく、連続的な取り組みです」とサンプソン氏は言います。「実践は組織文化の中で成熟しなければ定着しません。」
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。