日々公開される脆弱性情報を眺めるのは、単なる情報収集というより「最近どんな穴が多いのか」「どんな製品が狙われやすいのか」を知る楽しさがあります。
深刻なものから軽微なものまで含めて眺めていると、セキュリティの流行や時代背景が見えてきます。
今回は、日本国内で公開されている脆弱性情報をまとめて閲覧できるサイトを使い、「眺める」こと自体を楽しんでみます。
利用するサイト
今回眺めるのは、JVNDB(脆弱性対策情報データベース)です。
JVNDB では、以下のような情報を一覧で確認できます。
・脆弱性の概要
・影響を受ける製品やバージョン
・CVSSv3 による深刻度
・想定される影響(情報漏えい、DoS、権限昇格など)
・対策情報や関連リンク
検索条件を少し変えるだけで、かなり多様な切り口で眺められるのが特徴です。
実際に眺めてみると見えてくるもの
一覧を上から順に眺めていくだけでも、いくつかの傾向が見えてきます。
組み込み機器・ネットワーク機器が多い
家庭用ルーターや NAS、業務用ネットワーク機器など、Web 管理画面を持つ製品の脆弱性が定期的に見つかっています。
特に、コマンドインジェクションや認証不備といった「あると怖い」系の脆弱性が目立ちます。
Web アプリケーション由来の脆弱性は相変わらず多い
クロスサイトスクリプティング、オープンリダイレクト、パストラバーサルなど、定番の脆弱性も継続して報告されています。
フレームワークやライブラリ由来のものも多く、「自分は直接書いていないコード」が原因になるケースも少なくありません。
深刻度が低くても無視できないものがある
CVSS が低めに見えても、組み合わせ次第で攻撃に使われる可能性があるものもあります。
一覧を眺めていると、「これは単体だと軽いけど、他と組み合わさると嫌だな」と感じるものが結構あります。
「読む」より「眺める」というスタンス
脆弱性情報は一件ずつ真面目に読むと大変ですが、以下のようなスタンスで眺めると気楽です。
・どんな製品ジャンルが多いかを見る
・同じ種類の脆弱性が続いていないかを見る
・よく見るベンダー名を把握する
・CVSS の理由欄を流し読みする
この程度でも、「最近はこの手の問題が多いな」という感覚が自然と身につきます。
まとめ
・脆弱性は毎日のように公開されている
・一覧を眺めるだけでも十分に学びがある
・流行や傾向を感じ取るのが意外と楽しい
セキュリティ対応というと身構えがちですが、まずは「眺める」ことから始めるのも悪くありません。
時間があるときに JVNDB を開いて、世の中でどんな脆弱性が見つかっているのかを眺めてみてはいかがでしょうか。
アプリ・サービスを作成する際の気づきに繋がる可能性も十分にあると思います。
セキュリティ対策のヒントを拾いつつ、頭を切り替える時間として、脆弱性情報を眺めてみるのも意外と悪くありません。(合う合わないが明確に分かれるとは思います)