危険な脆弱性が見つかったとき、どう対処すべきか

政府機関などが採用するITシステムに危険な脆弱性が含まれていた場合、誰が音頭を取って対応すればよいのだろうか。

[David Jones，Cybersecurity Dive]

　政府機関は仕様に従ってベンダーが納入したITシステムを利用している。システムに脆弱（ぜいじゃく）性が見つかった場合、ベンダー主体で対応が進む。

ベンダー任せでいいのか

　さほど危険ではない脆弱性であれば、システムの定期アップデートと合わせて対応すればよいだろう。だが、そうでない場合は誰が早急な対策を指示すればよいのだろうか。

　米国の場合はサイバーセキュリティを担当する政府機関が音頭を取る。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年1月19日に緊急指令を発表し（注1）、連邦民間行政機関（Federal Civilian Executive Branch Agencies）に対してリモートアクセスVPN「Ivanti Connect Secure」とネットワークアクセス制御製品「Ivanti Policy Secure」に関連する脆弱（ぜいじゃく）性に対応するよう命じた。

　2023年12月以降、国家レベルの攻撃者だと疑われる人物がこの2つの脆弱性（CVE-2023-46805とCVE-2024-21887）を連鎖させて、さまざまな民間企業や政府機関の2100以上のシステムを偵察している（注2）。

　この攻撃が成功すると認証を経由せずに任意のコマンドを実行でき、攻撃者が持続的にシステムにアクセス可能になる。データの流出や認証情報の窃盗、その他の悪質な活動が見つかっている。

　CISAのエリック・ゴールドスタイン氏（サイバーセキュリティ担当エグゼクティブアシスタントディレクター）によると、この活動の一環として連邦政府機関が標的になってはいるものの、まだ具体的な侵害が確認されてはいないという。

対応策はあるのか

　米国政府は今回の攻撃が、2023年のVolt Typhoonキャンペーンを含む中華人民共和国による過去の脅威活動に類似していると指摘した（注3）。ただし、正式に外国政府によるものだとは断定していない。

　約15の連邦政府機関が影響を受けたIvantiの製品を使用しており、システムを保護するために直ちに対策を講じることが求められている。

　ゴールドスタイン氏によると、当局はこれらの製品を使用することで重大なリスクがあることは予想していないが、リスクがゼロではないことを認めているという。

　米国政府は以前、標的型の攻撃者が悪質な活動のためにPulseSecure（現在のIvanti）の「Pulse Secure」製品を標的とした際に同様の指令を発令し（注4）、攻撃の後、一部の製品の使用を取りやめた。

　連邦政府機関は2024年1月22日の23時59分までに、Ivantiから回避用のXMLファイルをダウンロードして、さらに製品が侵害されているかどうかを判断するために設計された同社の「External Integrity Checker Tool」を実行しなければならなかった。

　侵害が見つかった場合、その製品を所属機関のネットワークから切り離し、直ちにCISAに報告する必要がある。

　Ivantiは、Mandiantと協力して脆弱性対策の取り組みを進めている。2024年1月22日の週には初期のパッチが提供される予定だったが、実際には同1月31日以降にずれ込んだ。

　Ivantiは今回の緊急指令を支持し、「顧客の環境を適切に保護するための対策に関するCISAの発表を支援した」と述べた。

　「インシデントが発生した場合、われわれは可能な限り早く顧客に情報を届けられるよう努めている。また、透明性を確保するために世界中のCERT（Computer Emergency Response Team）と協力している」（Ivantiの広報担当者）

出典：CISA issues emergency directive for federal agencies to mitigate Ivanti vulnerabilities（Cybersecurity Dive）
注1：CISA Issues Emergency Directive Requiring Federal Agencies to Mitigate Ivanti Connect Secure and Policy Secure Vulnerabilities（CISA）
注2：Ivanti Connect Secure exploitation accelerates as Moody’s calls impact credit negative（Cybersecurity Dive）
注3：Broad campaign underway to access US critical infrastructure using small, home office devices（Cybersecurity Dive）
注4：Attackers leverage Pulse Secure VPNs to target defense, financial industries（Cybersecurity Dive）