【レポート】リクルートテクノロジーズが、とあるIT資産管理ソフトウェアの脆弱性を発見し、修正されるまで

こんにちは、臼田です。

こちらは連日の「深刻な脆弱性」 どう向き合い、どう対応するかというセミナーの基調講演「リクルートテクノロジーズが、とあるIT資産管理ソフトウェアの脆弱性を発見し、修正されるまで」についてのレポートです。

講演者

パネリスト：

株式会社リクルートテクノロジーズ 西村 宗晃 氏

一般社団法人 JPCERTコーディネーションセンター 久保 正樹 氏

モデレータ：

＠IT編集部 高橋 睦美氏

レポート

脆弱性発見までの流れ

• リクルートテクノロジーズはCSIRTを持っていて、JPCERTと密に連携している
• 今年の春頃のIT資産管理ソフトウェアの脆弱性をつく攻撃が流行ったが、リクルートテクノロジーズも該当製品を利用していたため、本件でも積極的に情報提供を行い感謝状を頂いた
• https://recruit-tech.co.jp/blog/2017/07/26/recruit_csirt/
• 国産の製品の脆弱性というのは珍しいと思う人もいるかもしれないが、実際はよくある話
• リクルートテクノロジーズもゼロデイ攻撃を受けていたが残念ながら検知できず、情報公開後に調査し、発見した
• その後、その他のIT資産管理ソフトウェアについても調査した
• これはグループ会社で様々な製品を利用しているため
• 結果、別のIT資産管理ソフトウェアについても致命的な脆弱性を幾つか発見した

脆弱性情報についての捉え方

• 国内でも、もっと世間一般的に脆弱性についての議論が行われるようになって欲しい
• 脆弱性として公開された情報に対して対応することは当たり前だが、顕在化していない脆弱性もある事を意識しないといけない
• 脆弱性が出ていないから安全ということはまったくない
• 脆弱性情報をたくさん出しているメーカの製品は逆に、きちんと対応を行っているので、その面では信頼できる

自社が使っているソフトウェアに脆弱性があったら

• リクルートテクノロジーズがIT資産管理ソフトウェアの脆弱性を見つけた際には直接JPCERTに連絡した
• 代理店経由でも確認したが、全然レスポンスがなくメーカに確認したら届いていなかったため、代理店経由は諦めた
• IPAも選択肢としてあったが、日々大量の脆弱性に対して対応しているため、速度感が間に合うかわからなかった
• JPCERT経由で対応した所、すぐにメーカと面談するに至った
• Twitterの情報では、カスタマーサポートに問い合わせても数年塩漬けにされていたケースもあった
• 緊急度が高い場合にはJPCERTに連絡することで早急に対応できることがある

脆弱性情報を取り扱う際のポイント

• 脆弱性情報についてCVSSを鵜呑みにしがち
• 例えばBOFでは攻撃が簡易に実行できるが可用性についてしか影響しないため、CVSSが低くなる
• ただ、CVSSはその脆弱性が本当にサービスにどれ位の影響があるかを示しているわけではない
• 実際には脆弱性について自社のサービスと照らし合わせて評価をする必要がある
• リクルートテクノロジーズではvulnDBを利用して情報を収集している
• 中小企業でどうしたらいいかわからない場合には、外部委託も一つ手があるが、いい人と顧問契約を結ぶのもいいのでは？
• JVNも様々な脆弱性情報を公表しているが、ただ眺めていても仕方ない
• JVN以外でも様々な情報が提供されているので、自社に有用な情報を収集することが重要

感想

セキュリティに強いイメージがあるリクルートテクノロジーズさんでも、某IT資産管理ソフトウェアのゼロデイについては検知できずに攻撃を受けていたという事実は、日々出てくる新しい脆弱性に対応していくことは難しいということを改めて感じました。

脆弱性情報が公開された後にに素早く対応するために、日々対策をしていく必要がありますね。