2022年に最も悪用された「12+30」の脆弱性

2023年8月、アメリカ、オーストラリア、カナダ、ニュージーランド、イギリスの政府系セキュリティ機関が共同で「2022 Top Routinely Exploited Vulnerabilities」というレポートを公開しました。これは2022年に頻繁に悪用された脆弱性をリスト化したもので、最も悪用された12の脆弱性を「トップ12」として挙げるとともに、そのほかにも比較的多く悪用された30の脆弱性をリストアップしています。

このレポートの内容からは、いくつかの興味深い傾向を読み取ることができます。まずここで挙げられている脆弱性を抱える製品やその開発元ベンダーを見ると、FortinetやF5 Networks、SonicWallといったネットワーク機器ベンダーのゲートウェイ製品が目立ちます。ネットワーク機器の中でも、インターネットに接続しリモート接続やセキュリティの機能を提供するゲートウェイ製品は、インターネットから到達可能なうえ組織ネットワークへの侵入口になり得ることから攻撃のターゲットになりやすく、そのような製品の脆弱性は特に狙われやすいと言えます。

なお2023年7月に名古屋港運協会がランサムウェア攻撃を受けた事案でも、その後に公開された経緯報告の中で「リモート接続機器の脆弱性が確認された」とあります。このことからも分かる通り、コロナ禍に伴う世界的なリモートワークの広がりの中で、依然としてリモート接続機器の脆弱性が狙われている実態がうかがえます。

もちろん、エンドポイントのソフトウェアの脆弱性を狙った攻撃も多発しています。ネットワーク機器と同様、やはりインターネットに接続される公開サーバで利用されるソフトウェアが多く狙われており、例えばメールサーバとして用いられるExchange Serverの脆弱性などの名前が挙がっています。またWebサーバやメールサーバでよく用いられる「Apache Log4j」の脆弱性が世界中で大騒動を巻き起こしたことはまだ記憶に新しいところですが、このレポートの中でもトップ12の中に含まれています。

半数以上が何年も前に公開されている「古い脆弱性」

このレポートで挙げられている42の脆弱性のうち、実に半数以上が2017年から2021の間に公開された“古い”脆弱性であったことも特筆すべき点だと言えます。つまり脆弱性を狙った攻撃の多くは高度なゼロデイ攻撃などではなく、何年も前に情報が公開されているにもかかわらず、ユーザーがいまだに対処を怠っている脆弱性を狙ったものであることが分かります。

このように既知の脆弱性を放置したままのシステムは、幾つかのツールを悪用してインターネット上を検索すれば比較的たやすく探し当てることができます。サイバー攻撃者はそのような方法を用いて、古い脆弱性が放置されたままのシステムを効率的に探し出し、ピンポイントで攻撃を仕掛けてきます。

特に近年狙われることが多いリモート接続機器の脆弱性を悪用された場合は、組織内のネットワークへ一気に侵入を許してしまうため、比較的被害が拡大しやすい傾向にあります。侵入した攻撃者の活動を速やかに検知して対処することができないと、最悪の場合は大規模な情報漏えい事故や、ランサムウェア攻撃による事業活動停止にまで追い込まれてしまいます。

脆弱性管理の第一歩は「IT資産管理」から

こうした事態を回避するためには、自社が利用するIT製品の中に脆弱性が含まれていないかどうか、あらためてチェックする必要があります。そのためにはまず第一ステップとして、どのようなIT製品が社内で利用されているかを漏れなく洗い出さなくてはなりません。社内のどこで、誰が、どのような製品のどのバージョンを利用しているか。こうしたいわゆる「IT資産管理」の取り組みが、脆弱性対策の第一歩となります。

こうして社内に存在するIT製品を正確に把握できたら、今度はその中に脆弱性を抱えているものが存在しないか確認します。公開されている脆弱性の情報と社内の対処状況とを見比べ、もし未対応の脆弱性が存在していたら速やかに対処します。もし社内で利用されているIT製品の数が膨大に上る場合は、まずはよりリスクが高い「インターネットに接続されるIT資産」を優先的にチェックすることをお勧めします。

しかし企業・組織によっては、こうした一連のチェックや対処に十分なリソースを割くことができないことも考えられます。そうした場合は、外部ベンダーが提供する脆弱性診断サービスを利用するのも手です。弊社でも「CPA(Cyber Posture Assessment:セキュリティ・ヘルスチェック・サービス)」と呼ばれる診断サービスを提供していますので、興味をお持ちの方はぜひ利用をご検討いただければ幸いです。

ただしいくら定期的に脆弱性のチェックや診断を行っても、まだ対処方法が存在しない脆弱性や未知の脆弱性を狙った攻撃を防ぐことはできません。そのため、万が一そうした脆弱性を悪用して脅威の侵入を許してしまったとしても、被害が発生する前に脅威を検知・除去できる手立てを講じておくことが大事です。弊社の「Cybereason EDR」をはじめとするEDR製品は、現時点ではそのための最も有効な手段だと言われています。脆弱性を悪用する攻撃から組織を守るための重要な一手として、こちらもぜひ導入を検討されることをお勧めします。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド