Azul、AIの前に未パッチのJVMを見つけ出す

Azul Systemsは、AIを活用した攻撃者が脆弱性を悪用する前に、Java仮想マシン（JVM）のセキュリティリスクを発見するための無料サービスを開始しました。このJVM脆弱性リスク評価ツールは、Java環境の可視性に欠けるDevOpsおよびSecOpsチームを対象としています。

このツールはネットワークをスキャンし、標準的な資産発見ツールが見逃しがちな組み込み型や管理外のランタイムを含むJVMインスタンスを特定します。スキャン後、CISAの既知の悪用脆弱性（KEV）カタログおよび米国国家脆弱性データベース（NVD）に基づいた優先順位付きの修復ロードマップを提供します。Azul自身がJVMを開発しサポートを販売しており、この無料スキャンはAzul Coreサブスクリプションへの変換を目的としたリードジェネレーション戦略です。

Azulは、セキュリティパッチのみを含む独自のアプローチを強調しています。Azul Coreは、新機能やバグ修正パッチを一切含まず、セキュリティ修正のみを提供する唯一のOpenJDKディストリビューションです。Azulのプロダクトマネジメント担当シニアディレクター、Eric Costlow氏はThe New Stackに対し、「人々が長期間JVMを更新しない理由の一つは、何かを壊すことを心配しているからです。Coreが提供するのはセキュリティパッチのみのJavaバージョンであり、アプリケーションを壊すリスクは非常に低い」と述べています。これはCorrettoやEclipse Temurinなどの他のディストリビューションとの差別化ポイントです。

Azulはまた、AI脅威を利用して迅速なパッチ適用の重要性を強調しています。記事によると、AIツールは脆弱性の悪用までの時間を大幅に短縮しています。例えば、2024年のイリノイ大学アーバナ・シャンペーン校の研究では、GPT-4が適切なフレームワークのもとで既知の重大なCVEの87%を自律的に悪用でき、1回の成功あたり約8.80ドルのコストだったことが示されています。さらに、AIシステムARTEMISは、エンタープライズネットワーク上で人間のペネトレーションテスターに匹敵するパフォーマンスを示しました。

しかし、Azulの脅威の主張の鍵は、AnthropicのMythosモデルに依存しています。このモデルは公開されておらず、限られた組織のみがアクセスできます。AzulはMythosが自律的に脆弱性を発見し悪用パスを生成できると主張していますが、Costlow氏は同社がこのモデルを実際にテストしていないことを認めています。「そのモデルは多くの政府の制限があり、現在は選ばれた組織のみが利用できます」と述べています。つまり、Azulは自らテストしていないモデルを脅威のナラティブの中心に据えているのです。

実際の評価ツールは数日間実行され、パフォーマンスへの影響はありません。アプリケーションサーバー、サーバーレスコンテナ、データベースを含む全スタックのJVMバージョンと経過年数を特定します。出力パッケージには、リスク階層、パブリッシャー、Javaバージョン別のセキュリティダッシュボード、実際の脅威データとクロスリファレンスされたKEVおよびCVE暴露分析、サポート終了のランタイム（本番環境でまだ稼働しているJava 5、6、7など）の特定、およびパッチの最新性ギャップレポートが含まれます。

この評価はPCI-DSS、SOX、HIPAA、DORA、NERC CIP、FedRAMPなどの規制要件もカバーしています。Costlow氏は「PCI DSSの分野では、JVMにパッチを当てるべきなのに実行していない人が多くいます。8年間パッチを当てていないと、問題は深刻になります」と述べています。一方、Crane氏は「典型的な評価では、わずか2～3のJavaバージョンがエンタープライズ全体のリスクの大部分を占めていることが明らかになります。これにより、緩和策は当初考えられていたよりもはるかに実行可能になります」と付け加えています。

この評価はAzulのウェブサイトおよび厳選されたパートナーから無料で入手できます。