１．脆弱性診断とは何なのか

近年では「脆弱性診断」という言葉は聞きなれた単語になりました。
目的としてはOSやアプリケーション、ネットワークにセキュリティ上の問題が無いか（脆弱性）を調べる事です。

実はサイバー攻撃を行うハッカーも同じ事を行いますが、目標が違います。
セキュリティを意識するうえでは欠かせない脆弱性はどのようにして収集されているのでしょうか。
簡単にできる手段で雰囲気を感じてもらい、危険性、重要性を知ってもらえればと思います。

２．脆弱性診断・スキャンがなぜ重要なのか

脆弱とは言い換えると弱点です。
ハッカーからすると、弱点の無いターゲットより、弱点のあるターゲットの方が容易に目的を達成しやすくなりますので重要な情報になります。
システムを守りたい人からすると、弱点を無くし、セキュリティ強度を上げるための重要な情報です。

いずれの視点にたっても素早く最新の脆弱性の情報を収集する事は非常に重要になってきます。
社内における脆弱性の全体を把握されているケースは稀です。

• レガシーシステムゆえに把握してなかった。<意識外>
• セキュリティ製品を多数導入しているから気にしていなかった。＜過信＞
• 正しい運用・設定を行っているつもりだった。＜誤認＞
• うちの子に限って勝手にアプリをインストールしない。設定を変更しない。＜溺愛＞

などの理由で脆弱性がそのまま残っているケースがあります。

３．脆弱性スキャンの位置づけ

　いろいろと触る前に、脆弱性スキャンについて説明します。

　サイバー攻撃を行う際のプロセスとして、おおまかに

1. 計画
2. 攻撃準備
3. 攻撃
   ・・・・

というような流れで始まり、最終的に目的達成（情報搾取など）を目指しています。

「脆弱性スキャン」はこのプロセスの「1.計画」に該当し、サイバー攻撃のターゲット、攻撃手法を決める重要な部分になってきます。

４．おまたせしました。SHODAN で雰囲気を感じてみましょう

SHODANは、オープンポートの検出/古いバージョンの検出/認証が弱いプロトコルの使用など、セキュリティに問題がある機器を見つけることができるサービスです。
SHODANは、脆弱性を調べるツールとしてメジャーなもので、いろいろと制限はあるもののインストール不要、無償で利用する事も可能です。
また、IPAでもSHODANについて紹介されています。

SHODANを利用して自社のサーバや自身のパソコンなどについて調べ雰囲気を感じてみると良いでしょう。
※得た情報を不正に利用すると”サイバーセキュリティ基本法”などに抵触し処罰される可能性がありますので、取り扱いには十分ご注意ください。

①SHODANを開き、Googleアカウント等を利用してログインします。

②[Search…]となっているところに「country:jp city:tokyo “OpenSSL/3”」と入力し検索します。
内容としては、「国：日本　都道府県：東京」、フリーワードで「OpenSSL/3」となります。

この記事を書いた時点（2022/10）では OpenSSL 3には脆弱性が確認されており、重要度はCriticalでまだ修正パッチは提供されていませんでした。

結果があれば下記のように表示されます。
※現在、OpenSSL 3 は早急に3.0.7にアップデートするようガイダンスされています。

脆弱性のある機器が簡単に確認できてしまいました。

東京だけで34件の結果が出ています。早急な対策が急がれます。
※1週間後に確認したところ半数以上がアップデートを行っておりました。対応が早いのはさすが東京って気がします。

５．最後に

なんとなく簡単に脆弱性の情報が入手できるのがわかっていただけたでしょうか。
簡単に情報が入り、簡単にターゲットにされてしまう事もあり得ますので、脆弱性は重要であり、定期的に複数回行う事が好ましいといえます。

SHODANを無償で利用する場合、

• 検索数、検索結果の表示回数には限りがあるため、ワードを多く入力し検索結果が多くならないようにする必要がある。
• そもそも、どのような脆弱性があるのか把握している必要がある。
• 関係の無い利用者の情報まで拾ってくる。

ので、企業単位での脆弱性診断や管理にはあまり向いていませんが、ピンポイントで確認したいホストがある場合などには手軽で使いやすいと思います。

脆弱性診断にはいろいろと種類があり迷ってしまいます。
企業で行う場合は調査できる範囲やレポート内容を考慮し、どのような脆弱性診断を行うか検討頂いた方が良いでしょう。

サービス紹介：セキュリティ脆弱性診断

関連ブログ：
　現役セキュリティエンジニアが語るプラットフォーム診断とは？
　何が違う？脆弱性診断とペネトレーションテスト