パッチ公開後“2年以内”にも要注意 悪用されるIT製品の脆弱性とは:ゼロデイ攻撃は増加傾向に
IT製品の脆弱性は、ランサムウェアなどの攻撃の入り口として悪用される。特に、パッチが未提供の「ゼロデイ脆弱性」が危険だが、注意が必要なのはそれだけではない。
パッチ(修正プログラム)未公開の脆弱(ぜいじゃく)性を悪用した「ゼロデイ攻撃」が活発だと、米国土安全保障省(DHS)傘下のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は警鐘を鳴らす。ただし2023年のゼロデイ攻撃に関してCISAがまとめたレポートによると、危険なのはゼロデイ脆弱性だけではない。
あのベンダーの製品も CISAが注意を呼び掛ける脆弱性とは
CISAによれば、標的のシステムに入り込むためにゼロデイ脆弱性を悪用するケースは増加傾向にある。「2023年には、頻繁に悪用された脆弱性の大多数が、悪用の時点でパッチ未公開だった。2022年よりその割合が増加している」(CISA)
活発に悪用された脆弱性の一例として、CISAは「CVE-2023-4966」を挙げている。別名「Citrix Bleed」で知られるCVE-2023-4966は、Citrix Systemsのネットワーク機器「NetScaler ADC」「NetScaler Gateway」の脆弱性だ。悪用されれば、これらの製品に対して任意のコード実行が可能になる。Google傘下のセキュリティベンダーMandiantは、CVE-2023-4966がゼロデイ脆弱性として悪用された攻撃活動を確認しているという。CVE-2023-4966を悪用したサイバー犯罪集団の一つは、ランサムウェア(身代金要求型マルウェア)攻撃を仕掛ける「LockBit」だ。
もう一つ、CISAが注意を呼び掛ける脆弱性は、「CVE-2023-3519」だ。こちらもNetScaler ADCとNetScaler Gatewayの脆弱性で、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)において「緊急」(スコア9.8)と評価されている。CISAによると、CVE-2023-3519は2023年、重要インフラを提供する企業を狙った攻撃に、ゼロデイ脆弱性として使われた。
ソフトウェアベンダーProgress Software(旧Ipswitch)のファイル転送ソフトウェア「MOVEit Transfer」の脆弱性「CVE-2023-34362」もCISAのレポートで取り上げられている。「CVE-2023-34362」は特に、サイバー犯罪集団「Clop」による「ノーウェアランサム」攻撃に悪用されたという。ノーウェアランサムとは、標的システムを暗号化せず、データ盗難を主な目的とした手口だ。
脆弱性の悪用を巡ってCISAが重要だと強調するのは、パッチ公開後の迅速な適用だ。パッチ適用が遅れると、脆弱性が放置されたままになり、攻撃を受けやすいという。CISAによると、パッチの公開から2年以内の脆弱性が特に悪用される傾向にあり、攻撃の成功率も高い。
パッチ公開後にも積極的に攻撃に悪用された脆弱性の例としてCISAは「CVE-2017-6742」を挙げている。CVE-2017-6742はネットワーク機器ベンダーCisco SystemsのネットワークOS「Cisco IOS XE」の脆弱性だ。悪用されれば、同OSに対して任意のコード実行が可能になる。CISAによると、CVE-2017-6742は2017年にパッチが公開されたが、長期にわたって攻撃活動に使われている。その背景にはパッチ適用率が低いことがあるとみられる。セキュリティベンダーTenable上級研究エンジニアのサトナム・ナラン氏は、「パッチが出たら、速やかに適用することが重要だ」と述べる。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.