サイバー犯罪者はどの脆弱性を悪用しようとしているのか?
攻撃者は数ある脆弱性の中で、何を好んで悪用するのでしょうか?また、それを踏まえて組織は何を見直すべきしょうか?セキュリティリーダーが把握しておくべき脆弱性悪用の実態を解説します。
攻撃者はどの脆弱性の悪用に着目しているのか?
2021年は、「ネットワーク境界線の曖昧化」に伴って生じた弱点(脆弱性)を悪用して組織ネットワークに直接侵入する攻撃が拡大した一年であったと言えます。実際に2021年は、Microsoft Exchange Serverの脆弱性「ProxyLogon」やApache Log4jの脆弱性「Log4Shell」を始めとして、遠隔から悪用できる影響度の高い脆弱性が次々と発見され、同時に多くの攻撃でも悪用されました。
直接侵入によるサイバー攻撃の被害を防ぐために、法人組織は日々公開される新しい脆弱性に適切な対応を取ることが求められています。しかしながら、攻撃者が注目しているのは必ずしも「新しく登場した影響範囲の広い脆弱性」だけに限りません。では、実際に攻撃者はどのような脆弱性の悪用に着目しているのでしょうか。
本記事では、CISAが発表したアドバイザリ、およびトレンドマイクロがアンダーグラウンドをリサーチした研究結果を基に、セキュリティリーダーが認識すべき課題を明確にします。
CISAによる
「2021年に日常的に悪用された脆弱性」の示す意味
2022年4月27日、米国CISA(Cyber Security&Infrastructure Security Agency)は、米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局と協力して「2021年に日常的に悪用された脆弱性」のリストの共同アドバイザリを公開しました。このアドバイザリでは、「2021年に日常的に悪用された脆弱性のTop15」および「2021年に日常的に悪用された追加の脆弱性」が具体的に公表されています。
| 開示年 | 脆弱性(CVE番号、通称) | 脆弱性該当製品 |
|---|---|---|
| 2021年 | CVE-2021-44228 (Log4Shell) |
Apache Log4j |
| CVE-2021-40539 | Zoho ManageEngine AD SelfService Plus | |
| CVE-2021-34523 CVE-2021-34473 CVE-2021-31207 (ProxyShell) |
Microsoft Exchange Server | |
| CVE-2021-27065 CVE-2021-26858 CVE-2021-26857 CVE-2021-26855 (ProxyLogon) |
||
| CVE-2021-26084 | Atlassian Confluence Server and Data Center | |
| CVE-2021-21972 | VMware vSphere Client | |
| 2020年 | CVE-2020-1472 (ZeroLogon) |
Microsoft Netlogon Remote Protocol (MS-NRPC) |
| CVE-2020-0688 | Microsoft Exchange Server | |
| 2019年 | CVE-2019-11510 | Pulse Secure Pulse Connect Secure |
| 2018年 | CVE-2018-13379 | Fortinet FortiOS and FortiProxy |
表1: 2021年に日常的に悪用された脆弱性のTop15
(出典:CISA「Alert (AA22-117A) 2021 Top Routinely Exploited Vulnerabilities」)
このアドバイザリでは、主な調査結果として二つの主張が行われています。まず一つ目に、2021年において攻撃者は、電子メールやVPNサーバなどインターネットに公開されたシステムの脆弱性で、かつ新たに開示された脆弱性を積極的に悪用したことが指摘されています。実際に「2021年に日常的に悪用された脆弱性のTop15」を見ると、2021年に公開された脆弱性が複数ランクインしていることが分かります。
実際にトレンドマイクロでも2021年、脆弱性発覚後すぐに積極的な悪用が行われる事例を確認しています。例えば、2021年3月に開示されたMicrosoft Exchange Serverの脆弱性「ProxyLogon」は、開示直後からこの脆弱性を悪用するコインマイナー、ランサムウェア、ボットネットなどの攻撃が発生しました。
次に、二つ目の主張として、既に公に知られている古い脆弱性が悪用され続けているとCISAは指摘しています。まだ修正方法が存在しない脆弱性を「ゼロデイ脆弱性」と呼ぶことに対し、既に修正方法が公開されている脆弱性は「Nデイ脆弱性」と呼ばれます。CISAのTOP15のリストの中には、2020年以前のNデイ脆弱性が4つ含まれています。これは、パッチ公開から一年以上経っても未だにその対応が進んでいない組織が多いこと、そして攻撃者がそれを理解して古い脆弱性の悪用を試みていることが分かります。
トレンドマイクロのネットワークセキュリティプラットフォーム「Trend Micro™ TippingPoint® Threat Protection System」が2021年1年間に検出した脆弱性攻撃の通信の検出数上位は、すべて2019年以前の脆弱性で占められており、最も古いものでは2003年に公表されたApacheの脆弱性を悪用する攻撃を確認しています。
表2:2021年全世界における脆弱性を悪用する攻撃通信の検出数上位10
(出典:トレンドマイクロ「2021年年間セキュリティラウンドアップ」)
最も「日常的に悪用された脆弱性」は?では、CISAが公開した脆弱性トップ15のうち、実際に2022年現在では何が悪用されているのでしょうか。同様に「Trend Micro™ TippingPoint® Threat Protection System」のデータによると、2022年の1月~6月の半年間では、脆弱性「CVE-2021-44228」を悪用する攻撃通信を430万件以上検知し、最多となりました。「Log4Shell」の通称で知られるこの脆弱性は、Javaのライブラリに潜む脆弱性であることから影響範囲が広く、様々な環境に対して広範囲に攻撃が及んでいることが推測されます。
また、Pulse Secure 製品の「CVE-2019-11510」、Fortinet製品の「CVE-2018-13379」は合わせて33万件以上の攻撃通信を検知しており、VPNやネットワーク機器の脆弱性が外部からのアタックサーフェス(攻撃対象領域)として狙われていることを示しています。
同様に「ProxyShell」、「ProxyLogon」と名付けられた一連のMicrosoft Exchange Serverの脆弱性群(CVE-2021-34523、CVE-2021-34473、CVE-2021-31207、CVE-2021-27065、CVE-2021-26858、CVE-2021-26857、CVE-2021-26855)も、合わせて25万件以上を検知しています。Exchange Serverは特に企業や法人で使用が多く、インターネット側に公開されることも多い存在であるため、組織を狙う攻撃者にとって格好の標的として認識されていることがわかります。
これらのことから、特に外部からの侵入や侵入後の横展開で使用できる遠隔攻撃の脆弱性は攻撃者にとって最も悪用しやすい脆弱性であること、また、攻撃者は脆弱性の新旧に関わらず利用可能な脆弱性を悪用する攻撃を積極的に狙っていることがわかります。裏返せば、脆弱性対策においては、最新の脆弱性だけでなく過去に公開された脆弱性についても漏れなく対策を行うことが必須である、ということです。
| 脆弱性(CVE、通称) | 対象製品 | 検出数 |
|---|---|---|
| CVE-2021-44228 (Log4Shell) |
Apache Log4j | 4,310,458 |
| CVE-2018-13379 | Fortinet FortiOS and FortiProxy | 218,237 |
| CVE-2021-34523 CVE-2021-34473 CVE-2021-31207 (ProxyShell) |
Microsoft Exchange Server | 128,344 |
| CVE-2021-27065 CVE-2021-26858 CVE-2021-26857 CVE-2021-26855 (ProxyLogon) |
Microsoft Exchange Server | 122,607 |
| CVE-2019-11510 | Pulse Secure Pulse Connect Secure |
114,570 |
| CVE-2021-26084 | Atlassian Confluence Server and Data Center |
107,833 |
| CVE-2020-1472 (ZeroLogon) |
Microsoft Netlogon Remote Protocol (MS-NRPC) |
49,782 |
表3:表2:CISAの「2021年に日常的に悪用された脆弱性」TOP15に対する検出数 (2022年1~6月・全世界・検出数45,000件以上)
(出典:トレンドマイクロSmart Protection Network(SPN))
アンダーグラウンドでは
どのようなエクスプロイトが流通しているのか?
攻撃者が脆弱性を悪用するためには、エクスプロイトコード(攻撃コード)が必要です。一般に公開されているものもありますが、アンダーグラウンド上においても日々活発にエクスプロイトが取引されています。そこでトレンドマイクロは、2019年から2020年の2年間に渡ってアンダーグラウンド上で投稿されるエクスプロイトの販売/購入投稿を調査して分析しました。
この調査で判明した事実のうち、特に注目すべき点は「アンダーグラウンドフォーラムの利用者が販売および要求するエクスプロイトの対象脆弱性の公開年」です。ユーザが要求していたエクスプロイトのうち、およそ35%が調査年より1年以上前の脆弱性(2018年より前)を探し求めていました。
次に、フォーラム利用者が実際に販売していたエクスプロイトに着目すると、半数にも近いおよそ47%が調査年より1年以上前の脆弱性(2018年より前)のエクスプロイトを販売していました。
調査の中では、投稿から20年以上も前に開示された脆弱性の悪用支援を求めるフォーラム投稿も確認されました。投稿では「パッチ未適用のWebサイトを発見した」と言及しており、20年以上前の脆弱性であってもその対応が十分行われていないこと、そして攻撃者もまた20年も前の脆弱性であっても機会があれば悪用を試みることを裏付けています。
このことからわかるのは、実際にサイバー攻撃に悪用するためにエクスプロイトを探し求めている攻撃者の視点においても、必ずしも新しい脆弱性の悪用だけに注目が向いているわけではない、ということです。過去に公開されたNデイ脆弱性であっても対応ができていない組織が多く存在し、攻撃者がその隙を狙って攻撃の機会をうかがっていることを私たちは再認識する必要があります。
組織は過去に開示された深刻なNデイ脆弱性の
対応漏れがないか、改めて見直しを2021年は影響範囲が広く深刻度も高いゼロデイ脆弱性が複数公開されました。そして、公開後に早いタイミングで悪用する攻撃も複数確認されたことから、「日々開示される脆弱性に以下に適切な対応をするか」を中長期的な課題としてあげられたセキュリティリーダーの方も多いのではないでしょうか。実際、公開される脆弱性情報を日々観察して、迅速に対応の決定付けを行うOODAループを構築することは、法人組織における脆弱性対応の喫緊の課題であると言えます。
同時に、CISAが発表した「日常的に悪用された脆弱性」および、トレンドマイクロが調査したサイバー犯罪者が取引するエクスプロイトの実態を見ると、攻撃者が注目しているのは必ずしも新しい脆弱性だけではないことも分かります。つまり、既にパッチ適用による根本解決方法が存在する「Nデイ脆弱性」も、組織にとって対処しなければならない大きなリスクです。特に、CISAが発表した脆弱性リストにも掲載されているVPNの脆弱性は、ネットワーク直接侵入をする目的として攻撃者にとって非常に使いやすい脆弱性です。実際にトレンドマイクロが支援したインシデントレスポンスにおいても、これらの脆弱性が悪用された事例が確認されています。
このことから、セキュリティリーダーは、新しい脆弱性に対するOODAループでの対応方針に加えて、「過去に開示された深刻なNデイ脆弱性の対応漏れがないか」を改めて見直すことを推奨いたします。具体的には、対応状況を正確に把握するために、まずは自組織が保有する資産を可視化した上で、パッチの適用状況を見直すことが求められます。また、一度きりの見直しだけではなく、定期的に見直して改善を測るPDCAサイクルを構築するのが望ましいでしょう。過去から未来までの脆弱性対応の体制を構築することで、攻撃者のエントリーポイントを少しでも減らすことができ、サイバー攻撃被害の抑制に大きく繋がります。
Security GO新着記事
世界のサイバーリスク動向を”データ”で読み解く~世界サイバーリスクレポート2024年版より~
(2024年11月13日)
耐量子暗号(PQC)をわかりやすく解説~量子コンピュータに備えよ~
(2024年11月12日)
実例にみる、法人も注意すべきサポート詐欺の攻撃手法
(2024年11月11日)
