Last Updated on 2024-04-27 08:56 by admin
政府やセキュリティに敏感な企業は、ソフトウェアメーカーに対して、ソフトウェアの構成要素をリスト化したソフトウェアビルオブマテリアル(SBOM)の提供をますます要求している。しかし、攻撃者がこの情報を手に入れると、アプリケーションのコードを悪用するための設計図として利用できる可能性がある。攻撃者は、対象とする企業が使用しているソフトウェアを特定し、関連するSBOMを取得して、アプリケーションのコンポーネントの弱点を分析することができる。
SBOMの普及は急速に進んでおり、現在、半数以上の企業が任意のアプリケーションにSBOMの提供を要求しており、来年にはその数が60%に達すると予測されている。SBOMを標準的な実践とする取り組みは、透明性と可視性を第一歩として、ソフトウェア業界が製品をより安全にするのに役立つと見なされている。
SBOMには攻撃的な意味合いもあり、攻撃者が特定のCVEを検索し、おそらく脆弱性を持つアプリケーションを見つけるために使用できる情報が含まれている。さらに、攻撃者はSBOMを利用して、侵害後に「土地から生きる」ために使用できる他のコンポーネントやユーティリティをリストアップできる。
SBOMのデータフィールドの最小基準には、サプライヤー、コンポーネント名とバージョン、依存関係、および情報が最後に更新された時刻のタイムスタンプが含まれる。SBOMの包括的なデータベースは、インターネットのShodanセンサスと同様に使用され、防御者は自身の露出を確認できるが、攻撃者は特定の脆弱性に対して脆弱な可能性のあるアプリケーションを特定するために使用できる。
【ニュース解説】
政府やセキュリティに敏感な企業が、ソフトウェアメーカーにソフトウェアの構成要素をリスト化したソフトウェアビルオブマテリアル(SBOM)の提供を要求するケースが増えています。この動きは、ソフトウェア業界が製品の安全性を高めるための透明性と可視性を確保することを目的としています。しかし、このSBOMが攻撃者の手に渡ると、アプリケーションの脆弱性を突くための設計図として悪用されるリスクがあります。
SBOMは、ソフトウェアの各コンポーネントに関する詳細な情報を提供します。これには、サプライヤー、コンポーネント名、バージョン、依存関係、情報更新のタイムスタンプなどが含まれます。攻撃者は、この情報を利用して特定の脆弱性(CVE)を持つアプリケーションを見つけ出し、さらに侵害後に他のネットワークへの攻撃に利用可能なツールを特定することができます。
このようなリスクにもかかわらず、SBOMの普及は進んでおり、多くの企業がその提供を要求しています。これは、ソフトウェアの安全性を向上させるための重要なステップと見なされているためです。しかし、SBOMが攻撃者にとって有益な情報源となり得ることを考慮すると、その取り扱いには慎重さが求められます。
SBOMの情報が攻撃者に利用されるリスクを軽減するためには、SBOMの公開範囲を適切に管理し、セキュリティ対策を強化することが重要です。また、企業はSBOMを自身のセキュリティプログラムに組み込むことで、脆弱性の早期発見や対策の強化に役立てることができます。
長期的には、SBOMの取り扱いに関するガイドラインや規制の整備が進むことで、その利点を最大限に活用しつつリスクを管理するバランスが求められるでしょう。また、SBOMの情報を攻撃者だけでなく、防御側も積極的に利用することで、ソフトウェアの安全性を高める新たなアプローチが模索される可能性があります。
from Cyberattack Gold: SBOMs Offer an Easy Census of Vulnerable Software.
