脆弱性管理とシャドーIT
次の重大な脆弱性が公開されるタイミングは予測できませんが、その影響を最小限に抑えることは可能です。多くのチームは、自身の環境がインターネットに公開されている範囲を過小評価しています。Intruderのセキュリティ責任者が、なぜこれが起こるのか、そしてチームがこれをどのように管理できるかについて詳しく解説します。
攻撃面が大きいほど脆弱性が増える
攻撃面が大きいほど、脆弱性が発見された際の対応時間が短くなります。最も深刻な脆弱性の場合、開示から実行までの時間が24〜48時間程度です。Zero Day Clockは、2028年までに開示から実行までの時間が数分に短縮される可能性があると予測しています。
脆弱性が開示された際の対応
脆弱性が開示された際、パッチを適用するためにはスキャンを実行し、結果を待つ、チケットを発行し、優先順位を決定し、パッチを適用するといった一連の手順が必要です。これらの手順は時間がかかります。特に、脆弱性が開示された日が平日でない場合、対応時間がさらに長くなります。
ツールシェルの事例
ツールシェルは、Microsoft SharePointの未認証リモートコード実行脆弱性でした。攻撃者がこの脆弱性に到達できれば、サーバー上でコードを実行でき、SharePointがActive Directoryに接続しているため、非常に敏感な環境で攻撃を開始できます。この脆弱性はゼロデイであり、パッチが公開される前に攻撃者が既に利用していました。
脆弱性が開示された際の対応が遅れる理由
セキュリティチームが脆弱性を発見しにくい理由は何でしょうか?典型的な外部スキャンでは、情報的発見が数百件の深刻度の高い脆弱性の下に隠れます。しかし、その情報には、実際の暴露リスクを示す検出結果が含まれている場合があります。例えば:
- 公開されたSharePointサーバー
- インターネットに公開されたデータベース(MySQLやPostgresなど)
- 通常は内部ネットワークに限定されるべきプロトコル(RDPやSNMPなど)
攻撃面の削減に必要な3つの要素
攻撃面の削減を実践するためには、以下の3つの要素が必要です。
- 資産の発見:攻撃面を定義する
- 暴露をリスクとして扱う:攻撃面の暴露をリスクカテゴリーとして扱う
- 継続的な監視:攻撃面の暴露を迅速に検出する
結論
不要なサービスがインターネットに公開されていない場合、重大な脆弱性が開示された際の大量の攻撃に巻き込まれる可能性は低くなります。これにより、驚くべき事態が少なくなり、緊急の対応が不要になり、新しい脆弱性が発見された際には、より冷静に対応できます。
元記事: https://thehackernews.com/2026/03/the-zero-day-scramble-is-avoidable.html