ISR01:2024 – 古いソフトウェア (Outdated Software)

説明

ソフトウェアを常に最新の状態に保つことが重要です。 多くの場合、アップデートにはセキュリティ関連のパッチが含まれています。つまり、ソフトウェアが最新でない場合、その現在のバージョンの状態に脆弱性を含んでいる可能性があります。 これらの脆弱性は公に知られていることが多く、セキュリティスキャナで簡単に見つけられます。 残念ながら、多くの企業やエンドユーザーはすべてのソフトウェアコンポーネントを最新の状態に保つことができません。 アップデートとアップデート管理の欠如により、多くのソフトウェアコンポーネントと基盤となるシステムは時間の経過とともに脆弱になり、時間の経過とともに深刻度が増してきます。

リスク

古いソフトウェアは深刻度が低い脆弱性からシステム全体の侵害を引き起こす脆弱性まで、さまざまな脆弱性を引き起こす可能性があります。 古いソフトウェアシステムにおけるこれらの脆弱性の重大度と量は個々のケースによって異なります。 通常、発見される脆弱性が増えるにつれて時間とともに増加します。

対策

ライブラリなどを含むすべてのソフトウェアコンポネントを最新の安定したサポートされているバージョンに保つことをお勧めします。 すべてのソフトウェアとそのコンポーネントはアップデートや新しいパッチを定期的にチェックする必要があります。 アップデートプロセスを実装して、コンポーネントの見落としがなく、チェックが間に合うように確保することを推奨します。 関連ソフトウェアのゼロデイエクスプロイトに関するニュースについてベンダーサイトや情報セキュリティハブを定期的にチェックすることは理にかなっています。 この場合、この種の脆弱性に対するアップデートは存在しないかもしれませんが、企業や個人はこのような脆弱性の影響や可能性を軽減するための予防措置を講じることができます。

攻撃シナリオの例

シナリオ #1: 古いウェブサーバー ある企業は内部ウェブサイトをホストして、従業員に情報を提供しています。 その企業にはアップデート管理プロセスがなく、ソフトウェアコンポーネントを定期的にチャックしてアップデートしてはいません。 このウェブサイトで使用されているウェブサーバーは既知の脆弱性のある古いバージョンで動作しています。これらの脆弱性の一つはリモートコード実行 (RCE) です。 従業員のコンピュータへのアクセスを取得した攻撃者は内部ウェブサーバーのバージョンを列挙し、 現在のウェブサーバーバージョンに対してリモートコード実行に関連する共通脆弱性識別子 (CVE) を迅速に見つけます。 攻撃者は関連するエクスプロイトを見つけることに成功し、基盤となるサーバーへのアクセスを取得します。

シナリオ #2: 非推奨の古いサーバー ある企業にはアップデート管理プロセスがあり、ソフトウェアコンポーネントを最新の状態に保っています。 アップデート管理プロセスでは機密の構築計画がある古い内部サーバーのインベントリを作成できませんでした。 企業内部のネットワークへのアクセスを取得した攻撃者はこのサーバーを見つけて、その OS バージョンを列挙します。 攻撃者は使用しているバージョンをベンダーがサポートしなくなっていることを探し出し、重大な脆弱性を含む複数の脆弱性があることを知ります。 攻撃者は公開されているエクスプロイトを使用してサーバーにアクセスし、機密の構築計画を流出し、その後、その企業の競合他社に販売します。