エクスプロイト&脆弱性
悪用された脆弱性上位をCISAが公表、テレワーク関連が顕著
2021年7月28日、米国土安全保障省傘下のCISAは、2020年と2021年に悪用された脆弱性の上位を詳述した報告書を公開しました。 報告書によると、攻撃者が狙う新しい標的は、2019年以降に公開されたテレワーク、VPN、そしてクラウドベースの技術に関連する脆弱性です。
2021年7月28日、米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は、2020年と2021年に悪用された脆弱性の上位を詳述した報告書を公開しました。 報告書によると、攻撃者が狙う新しい標的は、2019年以降に公開されたテレワーク(リモートワーク)、VPN(Virtual Private Network)、そしてクラウドベースの技術に関連する脆弱性です。新型コロナウイルスによってクラウド化が進むとともにサイバー攻撃者もターゲットをクラウドに移動しています。攻撃者はテレワークに関連したパッチ未適用の新しい脆弱性を狙い、防御する側は定期的なパッチの適用に奮闘してきました。攻撃者が脆弱性の悪用に成功すると、リモートコード実行(RCE)、任意のコード実行、パストラバーサルなどの手法により対象システムがコントロールされることになります。
■テレワークの拡大にともなうリスクの増加
CISAによる脆弱性上位リスト(表1)にある12件の脆弱性を見ると、攻撃者は最近発見されたテレワーク関連の脆弱性をターゲットにしていることがわかります。上位3件の脆弱性は、テレワーク、VPN、およびクラウドベースの環境に関連するものです。9件については、2019年以降に公開された脆弱性です。
表1:2020年に悪用された脆弱性の上位リスト
(CISAの報告書(https://us-cert.cisa.gov/ncas/alerts/aa21-209a)から整理)
2020年、テレワークに関連する脆弱性は攻撃者にとって魅力的なターゲットとなりました。企業や組織においてクラウド関連のサービスが急速に導入されたために、セキュリティ設定の見落としが発生しやすかったことが要因だと考えられます。最も悪用された脆弱性のトップ3の「CVE-2019-19781」、「CVE-2019-11510」、「CVE-2018-13379」は、いずれもVPNサービスで発見されました。
2020年年間セキュリティラウンドアップでもご紹介したように、内部ネットワーク接続を拡張し、また外部の脅威から保護しようとする企業にとって、仮想プライベートネットワーク(VPN)は欠かせないものとなっています。多くの企業や一般ユーザが、オフィスや個人宅でVPNを利用しています。2020年初頭に利用が急増したVPNは、2021年初めの調査では、世界中のインターネットユーザの31%が利用したことがあると報告されています。VPNはセキュリティツールであるとはいえ、脅威の侵入経路ともなり得ます。実際、パッチが適用されていないVPNや古いVPNには深刻な脆弱性が存在しており、攻撃者はこの欠陥を利用してターゲットのシステムに侵入します。
以下に示すトレンドマイクロのデータは、2020年から2021年の前半にかけて最も注目された、3件のVPNの脆弱性の検出数を示しています。2021年1月に「CVE-2018-13379」の検出数が急増、その後減少したものの、昨年の同時期に比べて著しく増加していることがわかりました。「CVE-2018-13379」は、FortinetのVPN製品に存在する脆弱性で、悪用されると、認証されていないユーザが特別に細工されたHTTPリソースリクエストを介してシステムファイルをダウンロードすることが可能になるものです。
表2:トレンドマイクロ製品による主なVPNの脆弱性検出数の比較
CVE-2019-19781
図1:CVE-2019-19781のタイムライン
「CVE-2019-19781」は、脆弱性を突いた攻撃を行うために、攻撃者がどのようにパッチが適用されていないデバイスを悪用するかを示す良い例となります。
Citrix Netscaler Application Delivery Control(ADC)の脆弱性は、2020年に最も悪用された欠陥でした。ADCは、全米で広く使用されているWeb、アプリケーション、およびデータベースサーバの負荷分散アプリケーションです。 パッチが適用されていないデバイスは、アクセス制御が不十分なためにRCEおよびシステム全体の侵害につながり、ディレクトリトラバーサルが可能になる恐れがあります。
「CVE-2019-19781」は2019年の終わりに公開されるや、すぐに複数の攻撃を受けました。 この脆弱性攻撃(エクスプロイト)は、米国、コロンビア、アルゼンチン、スイスなど、複数の国に広がりました。 攻撃は2021年前半に減少、トレンドマイクロの侵入防御システム(IPS)によって検出された攻撃は7,000未満となりました。
CVE-2019-11510
図2:CVE-2019-11510のタイムライン
次に多くの悪用が確認された「CVE-2019-11510」は、公式のパッチが存在する場合でも、パッチ未適用の脆弱性がどのようにサイバー攻撃の影響を受けるかを示しています。
国家主導の標的型攻撃(APT)によって悪用されることが多いPulse Secure Connectの脆弱性は、認証されていない任意のファイルの露見につながります。この脆弱性を悪用された場合、管理者の認証情報にアクセスされる可能性があります。
脆弱性が発表されたときにPulse Secureがソフトウェアの更新を提供したにもかかわらず、攻撃者は積極的にパッチが未適用のVPNサーバを狙い、ランサムウェア「Revil(Sodinokibi)」のインストールを意図した攻撃もいくつかありました。 トレンドマイクロのデータは、ほとんどの攻撃がドイツの組織を標的としたことを示しています。 幸い「CVE-2019-19781」と同様に、「CVE-2019-11510」の悪用は2021年2月以降減少しているようです。
CVE-2018-13379
図3:CVE-2018-13379のタイムライン
FortinetのSSL(Secure Sockets Layer)VPNに影響を与える脆弱性「CVE-2018-13379」も、2020年から2021年にかけて攻撃者に狙われたテレワーク関連の脆弱性です。この脆弱性は、認証されていないディレクトリトラバーサルの欠陥であり、攻撃者が sslvpn_websession ファイル(ログイン資格情報が含まれたファイル)にアクセスすることを可能にします。これにより、攻撃者は平文のユーザ名とパスワードを取り出すことができます。
最近の攻撃は2021年1月にピークに達し、2021年前半に50万件近くのエクスプロイトが検出されました。エクスプロイトのほとんどは、ドイツと米国をターゲットとするものでした。
■攻撃者が好んで悪用する古い脆弱性
新しい脆弱性が登場する中、未だに人気がある古い脆弱性もあります。先のCISA報告書内の「Most Exploited Vulnerabilities 2016-2019(最も悪用された脆弱性2016年~2019年)」の項目において、トップ10にランクインしていた「CVE-2017-11882」、「CVE-2018-7600」、「CVE-2019-0604」は、2020年にもトップ10にランクインしています。
例えば、MicrosoftのOLE(Object Linking and Embedding)技術に関連する脆弱性である「CVE-2017-11882」は、中国、イラン、北朝鮮、ロシアなどの国家的サイバー攻撃に関連しており、長年にわたって利用され続けています。これは、「Microsoft Office」が世界のあらゆる場所で使用されていることに加えて、多くのユーザが定期的に最新の更新プログラムを適用していない場合が多いことが原因です。この脆弱性によって、攻撃者によるリモートコード実行(RCE)が可能になります。2021年前半、この脆弱性を狙うエクスプロイトの数は2019年のピーク時に比べて大幅に減少しているとはいえ、パッチの適用を優先すべき脆弱性であることに変わりはありません。
CVE-2017-11882
図4:CVE-2017-11882のタイムライン
「CVE-2018-7600」は、2019年から2021年にかけて、多数の継続的な攻撃にさらされてきました。これは、オープンソースのコンテンツ管理システムである「Drupal」に存在する脆弱性で、複数のDrupalのバージョンに存在します。攻撃者はこれを悪用することにより、任意のコードを実行したり、サーバを乗っ取ったりすることができます。これまでのピークだった2019年と2020年に比べ攻撃は減少しているものの、トレンドマイクロは2021年上半期に126万件以上の攻撃を検出しており、影響は米国、ドイツ、カナダに及んでいます。
CVE-2018-7600
図5:CVE-2018-7600のタイムライン
■IPSによる防御
パンデミックの影響で組織がクラウドの利用へと移行し、在宅勤務が主流になると、企業は脆弱性を悪用する攻撃からの防御力を上げなければなりません。また、ハイブリッドクラウド環境が今後も主流となる中で、オンプレミスとクラウドベースの作業の両方を管理することができるセキュリティプラットフォームのアプローチが有効です。新しいテレワーク時代にあって攻撃を防ぐには、侵入防御システム(IPS)が重要な役割を果たします。IPSソリューションは、パッチをインストールする準備が整っていない段階においても、既存の脆弱性・未知の脆弱性・未公開の脆弱性を狙うトラフィックを遮断することができます。また、ネットワークにアクセスしているアプリケーションの可視性を高め、アクセスする悪質なソフトウェアを特定し、またコントロールすることができます。
IPSによってもたらされる価値はそれだけではありません。IPSソリューションによって、ベンダのパッチがリリースされるのを待機したり、パッチをテストし適用するための時間を確保したりすることが可能になります。これにより、緊急時のパッチ適用に費やす時間と費用を大幅に削減、または削除することができます。また、通常のパッチ適用サイクルを維持することができます。
なお、「エクスプロイト」は、脆弱性と同じ意味で使われることがありますが、実際には全く異なるものです。脆弱性とは、家や店の裏口を開けたままにしておくようなもので、攻撃されやすいソフトウェアの弱点のことです。これに対し、「エクスプロイト」とは、脆弱性を悪用するために書かれたコードや脅威のことです。こちらは、家や店の裏口から侵入する方法と言えます。1つの脆弱性に対して、数百から数千のエクスプロイトが存在することもあります。
■トレンドマイクロの対策
トレンドマイクロでは、IPS技術を用いて脆弱性に仮想的にパッチを当てる、つまり「裏口を閉める」ことと、マルウェア対策レベルでエクスプロイトを検出することによって、すべてのエクスプロイトをブロックすることに注力しています。
トレンドマイクロの「TippingPoint」と「Trend Micro Cloud One™ Workload Security」、および「ウイルスバスター™ ビジネスセキュリティサービス」は、次世代IPSにより、ネットワークセキュリティからハイブリッドクラウド環境まで、組織を多方面で保護します。
トレンドマイクロのTippingPointは、オンプレミス、プライベート、パブリッククラウドなどのハイブリッドインフラにおいて、ネットワークパフォーマンスを妨害することなく、企業のネットワークトラフィックをリアルタイムに自動検査します。すべてのネットワークトラフィックを完全に可視化し、潜在的な攻撃に先手を打つことができます。2020年にTippingPoint IPSソリューションは、世界最大のバグ報奨金プログラムである「Zero-Day-Initiative(ZDI)program」に提出された脆弱性に対して、平均してパッチが公開される81日前にお客様を保護することができました。
一方、Trend Micro Cloud One™ Workload Securityは、仮想、物理、クラウド、コンテナなどの混在環境を保護します。Trend Micro Cloud One™ Workload Securityは、侵入防御とファイアウォールによってネットワークの脅威をプロアクティブに防御します。新しいワークロードごとに自動検出を実行し、集中ポータルでハイブリッド環境を制御できるようにし、時間単位の価格設定を柔軟に行うことができます。
トレンドマイクロは30年以上にわたって悪意あるサイバー攻撃から企業を保護し、ゼロデイエクスプロイトとnデイ脆弱性の両方を可能な限り早期にブロックしてきました。最先端のZDIによるバグ報奨金プログラムと次世代IPSにより、トレンドマイクロは業務を滞らせることなく、誤検知のないネットワーク保護を提供します。
トレンドマイクロがどのようにお客様のビジネスを脆弱性攻撃から保護するかについては、https://www.trendmicro.com/ja_jp/business.htmlをご覧ください。
参考記事:
- 「CISA Reports Top Vulnerabilities From Remote Work」
By Jon Clay
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)