orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

セキュリティー問題で「深刻」と表現する意味はあるのか

f:id:orangeitems:20191121164905j:plain

 

セキュリティー問題と、深刻という言葉

多くのソフトウェアがインターネットによって接続され、相互に関係しあうようになったため、あるソフトウェアの脆弱性が多くの人々を巻き込むようになりました。自分が使っていないからと言って関係ないとは言い切れない世の中です。

したがって、セキュリティーに関係する多くの人々は、セキュリティー情報に目を向け手を動かしていますが、最近思うことがあります。「深刻」という言葉です。

 

unit42.paloaltonetworks.jp

ここ数年、Docker、Podman、Kubernetesを含むさまざまなコンテナプラットフォームで、copyコマンド(cp)の脆弱性が複数確認されてきました。それらの中で最も深刻なものはこの7月というごく最近発見・開示されたものです。驚くべきことに、CVEの説明内容があいまいだったこと、公開されたエクスプロイトがなかったことなどの理由から、本脆弱性は公開直後にはほとんど注意を引きませんでした。

しかしながら、CVE-2019-14271が攻撃者に悪用された場合、Dockerの実装するcpコマンドは、完全なコンテナブレイクアウトにつながりうるセキュリティ上の問題を引き起こします。この脆弱性は、2月に発見されたrunC脆弱性以降で初めての完全なコンテナブレイクアウトです。

 

wired.jp

CPUの深刻な脆弱性として問題になった「Spectre」や「Meltdown」、そしてその変種を利用した攻撃は、チップのセキュリティ確保がいかに難しいかを過去2年にわたって証明してきた。これらの攻撃は、どれもさまざまなプロセッサーをだまし、機密データを吐き出させるものだ。

 

realsound.jp

かつてはPCを標的にしていたサイバー攻撃は、スマホが普及するに伴いメインターゲットをスマホに変えつつある。こうしたなか、Androidカメラに深刻な脆弱性が発見された。この脆弱性はすでに改修済みだが、Androidスマホ関連の脆弱性を調査するとiPhoneにはない特有の事情がセキュリティに影響を与えているようだ。

 

たくさんあるのですが、ここまでにしておきます。

深刻だ・・・深刻な脆弱性・・・、多すぎ問題です。

 

深刻というワードがマヒしている

率直に言って、何でもかんでも深刻言い過ぎです。物の程度を表現する場合、軽微、中程度、重大、深刻、ぐらいのグラデーションがあるでしょう。深刻と言う場合は最大のアテンションを払いなさいと言うことになるかと思いますが。深刻と言う言葉が独り歩きしていませんでしょうか。セキュリティーのニュースならとりあえず深刻って言っとけ、というノリを感じるのは私だけでしょうか。

発見者は「深刻」と言いがちです。それは発見した人に注目が集まるためです。企業や研究者なら宣伝になりますし、セキュリティーニュースメディアならPVを稼げます。

しかし、これだけ深刻なニュースが毎日毎日毎日流れるとどうでしょうか。全部深刻。そうすると人々はこう思います。深刻と言ったって放置しても問題ない件なんだろう。あの件もそうだったしこの件もそう。例えばIntelのCPU脆弱性だって、業界大騒ぎになったんですが、対応していないサーバーはごまんとあると思います。

深刻より深刻な言葉がないので、セキュリティー担当者は何から手を付けるべきかの精度がどんどん甘くなっている感があります。

 

障害サポートを以前経験したときに、「重大」「高い」「普通」「低い」という区分けがありました。顧客の中に「これは緊急だ、重大だ」といつも騒ぐユーザーがおりました。受け取る方はどう思うでしょう。またいつも騒ぐ方だ、と。そうすると本当に緊急のときに急いでくれなくなります。通常は普通で本当にまずい時は重大なんだと言ってくれないと、何が重大なんだかわからなくなります。

サポートセンターの方でも緊急度をお客様任せにはできないので、緊急度の定義をします。

・このトラブルにおけるビジネス上の損失はどれぐらいか。
・今も症状は起こり続けているのか。
・頻度はどうか。再現性はあるのか。
・回避策はあるのか。

この内容を吟味して、顧客をリードし緊急度を測ります。

対応できるリソースは限られているのですから、本当に緊急なものを選別できないと、緊急対応が満足にできません。

 

さて、セキュリティーの話に戻ると、深刻な脆弱性というキーワードが拾いきれないほど世間に流れています。誰にとって深刻なんでしょうか。特定の誰かにだけ深刻な場合がほとんどです。しかしニュース記事をちゃんと読まないとそこまでわかりません。そのうち「深刻なニュース」は誰も信じなくなります。本当に深刻なの?と。今どうも、その状況が顕著になってきたと感じます。

 

報道する側に工夫が必要な時期

もっと言えば、5年前くらいは「深刻な脆弱性が・・」というニュースが出るたびに、お客様から電話がかかってきて「ウチは大丈夫なの?」と問い合わせが相次ぐ状況でした。

今は、何の連絡もかかってきません。

とてもマズい状況になったと感じています。

深刻のもう一段上がないと、誰も信じなくなっている。

今日のDockerの脆弱性だって・・

 

しかしながら、CVE-2019-14271が攻撃者に悪用された場合、Dockerの実装するcpコマンドは、完全なコンテナブレイクアウトにつながりうるセキュリティ上の問題を引き起こします。この脆弱性は、2月に発見されたrunC脆弱性以降で初めての完全なコンテナブレイクアウトです。

 

完全なコンテナブレイクアウト!、この表現は初めて見ましたがヤバい感じですね。

コンテナがブレイクしてアウトになるわけで。

ガラガラドッシャーンという感じでしょうか。

うちはコンテナ使ってないから大丈夫、と判断できればこの場合問題ありません。しかし、判断が難しいニュースだってたくさんあります。

 

この状況で、もはや深刻じゃない脆弱性なんてあるのかと。

どこかでメディア側も整理していかないと、人が動きにくくなっていると思いますね。

どんどん対応が鈍くなっている。