- 2024/01/12
- セキュリティ
未知の脅威に怯える前にまずは「既知の脆弱性」への対処を
Post by : Cybereason Advisory Team
企業が未対応の「既知の脆弱性」を悪用する攻撃が多発
IT機器やソフトウェア製品の脆弱性を悪用したサイバー攻撃が、相変わらず後を絶ちません。特に2019年のコロナ過においては、多くの企業がテレワーク環境整備のためにSSL-VPN機器を新たに導入した結果、導入した機器の脆弱性を悪用したサイバー攻撃の被害が一気に拡大することになりました。セキュリティ企業のLACが2023年11月に公開したレポート「LAC Security Insight 第6号 2023 秋」でも「SSL-VPN機器の脆弱性」について特集を組んで取り上げており、継続して多くの被害が発生している実態がうかがえます。
なおSSL-VPNをはじめとするIT機器やソフトウェア製品が抱える脆弱性の大半は、既にメーカーやベンダーからその修正パッチが提供されています。それにもかかわらずこれらの機器の脆弱性を悪用する攻撃が絶えない背景には、多くの企業がパッチの適用を怠っているという事実があります。
SSL-VPN機器に限らず、テレワーク環境においてはこうした既知の脆弱性を抱えた製品が数多くインターネットに接続されており、サイバー攻撃者はその脆弱性の存在をスキャンツールを使って極めて容易に特定できます。また近年では攻撃者の間で攻撃対象や攻撃手法やツールなどに関する情報が共有されており、これらも既知の脆弱性を突いた攻撃が活発化する一因だと見られています。
その一方で、未知の脆弱性を突くゼロデイ攻撃も相変わらず数多く観測されています。米国の脅威インテリジェンスサービス企業のRecorded Future社が2023年11月7日に公開したレポート「Charting China’s Climb as a Leading Global Cyber Power」によれば、中国の国家機関の関与が強く疑われるサイバー攻撃において、未知の脆弱性を悪用したゼロデイ攻撃が数多く確認されているとのことです。
「脆弱性とは?」〜サイバーセキュリティ入門者向けトレーニング動画〜
シリーズ第10弾の「脆弱性とは?」では、脆弱性についての基礎知識や悪用した攻撃の例、脆弱性を防ぐ方法について約3分で分かりやすく解説しています。
脆弱性の評価システム「CSVV」の最新バージョンがリリース
脆弱性を巡る近年の動向の中で注目すべきトピックの1つに、「CSVV v4.0」のリリースが挙げられます。CSVV(共通脆弱性評価システム)とは世に数多ある脆弱性1つ1つについて、それぞれの深刻度・脅威度をさまざまな評価項目を組み合わせて0.0~10.0の数値でスコアリングするフレームワークです。
CSVVの評価基準はこれまで定期的に見直しやアップデートが行われてきており、2023年11月にはその最新バージョンであるv4.0が正式にリリースされました。旧バージョンのv3.1からさまざまな点でアップデートが施されており、全体的により実践的なリスク評価が可能になっています。
v3.1までは「技術面から見るとスコアは高いものの、実際には攻撃を実施するのは難しい」「一般的には脅威度は高いが、自組織の環境にはあまり関係ない」といったように、CSVVのスコアと現実世界でのリスクが必ずしも一致しないケースが少なくありませんでした。
そこでv4.0では「攻撃の複雑さ」、および「攻撃の実現可能性」の評価観点をより細分化し、詳細な評価を可能とすることで、より実態に即したリスクを評価できるようになりました。またユーザーの関与レベルもさらに細かく評価できるようになったため、個別の環境を反映した、より実践的な評価が可能となります。
脆弱性に対処するための体制・プロセスの構築が必須
サイバー攻撃に備えるための第一歩は、まず自社の環境に存在する脆弱性を漏れなく洗い出し、それらを潰していくことだと言われています。しかし数多くのIT機器やソフトウェア製品を利用している場合、それに比例し確認および対処すべき脆弱性の数も増加するため、どれから対処すべきか迷うケースも多いことでしょう。
そんな場合は先ほど紹介したCVSS v4.0のような評価フレームワークを用いて、自社の環境において深刻度が高く、優先して対処すべき脆弱性を特定した上で、計画的に脆弱性対応やパッチ管理に取り組むことをお勧めします。それでも優先度の設定に迷う場合は、まずはインターネットに接続されているIT資産から先に対処を行うことを推奨します。
なお自社の環境に潜む脆弱性を漏れなく可視化するためには、日ごろからのIT資産管理の取り組みが重要であることは今さら言うまでもありません。これに加えて、弊社が提供する「CSPA(サイバーセキュリティプログラム評価)」をはじめとする外部ベンダー提供のセキュリティアセスメントサービスを定期的に利用することで、さらに万全なチェック体制を築き上げることができると考えます。
ただし未知の脆弱性を悪用するゼロデイ攻撃に関しては、こうした取り組みだけでは防ぎきれません。そこで万が一感染や侵入を許してしまったケースに備えて、脅威をいち早く検知して実害が発生する前に対処できるよう、弊社のEDR製品「Cybereason EDR」をはじめとする最新のエンドポイントセキュリティ製品もあわせて導入しておくことを強く推奨します。
サプライチェーン攻撃対策ガイド ~インシデントに備えて対策すべき経営リスクとは~
企業経営者の中にはいまだに「報道される事案は大手企業がほとんどなので、うちのような中堅・中小規模には関係がない」と考えている方も少なくないかもしれません。
しかし実際には、「サプライチェーン攻撃」と呼ばれる攻撃手法の多用によって、中堅・中小規模を敢えて狙った攻撃が近年多発しており、多くの被害が発生しています。
本資料では、中堅・中小企業がインシデントに備えて対策すべき「4つの経営リスク」についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/11005/
