脆弱性対応を命じた政府機関 初動は早かったが対応に失敗

危険な脆弱性には素早く対応しなければならない。この原則について身を持って示した政府機関がある。

[Matt Kapko，Cybersecurity Dive]

　多数の政府機関が利用しているITシステムに脆弱（ぜいじゃく）性が見つかったとき、どうすればうまく対応できるのだろうか。

音頭を取る政府機関がすぐに動いたが

　このような場合、米国政府ではサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）がすぐに動く。その結果どうなったのだろうか。

　CISAは2024年1月19日（現地時間、以下同）に緊急指令を発表し、連邦民間行政機関（Federal Civilian Executive Branch Agencies）に対してリモートアクセスVPN「Ivanti Connect Secure」とネットワークアクセス制御製品「Ivanti Policy Secure」に関連する脆弱性に対応するよう命じた。

　だが、CISA自体もこの脆弱性から逃れることはできなかった。CISAの広報担当者は2024年3月8日に『Cybersecurity Dive』に対して「約1カ月前、組織内で使用中のIvanti製品の脆弱性が悪用されている兆候を見つけた」と語った。攻撃者は、2023年12月上旬から、Ivanti Connect Secureやその他のリモートアクセスVPNにおけるゼロデイ脆弱性を幅広く悪用し始めていた（注1）。

　「攻撃の影響はCISAの2つのシステムに限られており、いずれも発見後、直ちにオフラインにした。引き続きシステムのアップグレードと近代化を進めており、現時点での運用上の影響はない」（CISAの広報担当者）

　CISAは、この攻撃に関する詳細を明らかにしなかった。このニュースを最初に報じた『The Record』によると（注2）、攻撃では、インフラストラクチャ・プロテクションゲートウェイとケミカル・セキュリティアセスメントツールが侵害されたようだ。

脆弱性対応はどう進んだのか

　脆弱性の悪用が数週間続いた後、「CVE-2023-46805」と「CVE-2024-21887」という2つのゼロデイ脆弱性に対するセキュリティパッチを2024年1月31日にIvantiがリリースした（注5、注6、注7）。

　CISAは2024年2月2日、連邦政府民間行政機関に対して各機関のシステムからIvanti製品を切り離すよう命じた。The Shadowserver Foundationのピオトル・キイェフスキ氏（CEO）は、Cybersecurity Diveの取材に対し、「同年2月6日までに、悪用は広範囲に及び（注4）、公開された全てのIvanti Connect SecureのVPNインスタンスに影響を与えた」と語った。

　連邦政府と国際的なサイバー当局は2024年2月下旬に、Ivanti Connect SecureとIvanti Policy Secureの重大な脆弱性が活発に悪用されているという世界的な警告を発した（注3）。

　CISA自身が脆弱性を突かれていたのが分かったのはこの後だった。

　Ivantiの広報担当者は2024年3月11日に「当社は、事前の声明と公開ブログ投稿以外に、現時点ではこれ以上の情報を持っていない」と述べた。

　「どのような組織も脆弱性に関連するサイバー攻撃の影響を受ける可能性があり、インシデント対応計画を策定することがレジリエンスを向上させるために必要だと再認識させる攻撃だ。私たちは、全ての組織がIvantiの最新の勧告を確認し（注8）、そこで示された手順を実行して、自らのシステムを保護するよう強く推奨する」（CISAの広報担当者）

出典：CISA attacked in Ivanti vulnerabilities exploit rush（Cybersecurity Dive）
注1：Ivanti Connect Secure devices face active exploitation, patch schedule staggered（Cybersecurity Dive）
注2：CISA forced to take two systems offline last month after Ivanti compromise（The Record）
注3：Ivanti exploit warnings go global as Five Eyes sound alarm（Cybersecurity Dive）
注4：Ivanti VPNs face renewed threat activity after initial patch release and new CVEs（Cybersecurity Dive）
注5：Delayed Ivanti patch arrives after weeks of exploitation（Cybersecurity Dive）
注6：CVE-2023-46805 Detail（NIST）
注7：CVE-2024-21887 Detail（NIST）
注8：Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways（CISA）