政府も対応できていない66件の重要な脆弱性とは

大規模なサイバー攻撃の対象となっている脆弱性はどれだろうか。信頼できる情報が必要だが、混乱した状況が続いている。

[David Jones，Cybersecurity Dive]

　サイバー攻撃に対応するにはマルウェア対応やメールセキュリティ、EDR、認証情報の管理、バックアップなどさまざまな手段がある。比較的対応が難しいのがOSやミドルウェア、アプリケーションの脆弱（ぜいじゃく）性だ。

政府も対応できていない66件の重要な脆弱性とは

　なぜ対応が難しいのだろうか。24時間サービスを提供しているサーバでは更新タイミングを確保しにくいだろう。より問題が大きいのは、まずどの脆弱性に対応しなければならないのかが分かりにくいことだ。脆弱性情報によって重要度の情報が異なることも混乱に拍車を掛けている。

　サイバーセキュリティ事業を営むVulnCheckの研究者は2024年9月23日にこのような矛盾について発表した。

　ある危険な攻撃者が66件のセキュリティ脆弱性（CVE）を狙っているものの、米政府機関が監視している既知の脆弱性のカタログには、これらのCVEのうち27件しか掲載されていない。

　この攻撃者は中国政府と関係があるとされている「Flax Typhoon」で、botネットを利用して66件の脆弱性を標的にしているという。2024年9月16日の週に、ファイブアイズの情報パートナーは、グローバルな脅威勧告において、このbotネットを名指しした経緯がある（注1）。

ファイブアイズとはどのような組織なのか

　ファイブアイズは米国と英国、カナダ、オーストラリア、ニュージーランドの5カ国によって形成されたインテリジェンス協力の枠組みだ。

　ファイブアイズの主な目的は、国家安全保障を守るためにインターネットユーザーの活動を監視し、データを共有することだ。ISPや他のオンライントラッカーの協力を得てユーザーのオンライン活動を監視し、電話の盗聴などによってデータを収集している。

　日本は直接参加していないものの、サイバー脅威情報を共有している（関連記事：英語圏5カ国が共同でマルウェアに対抗　日本も参加）

　VulnCheckの研究者によると、標的になっている66件のCVEのうち、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の公式カタログ（KEV）に掲載されているのは27件と少ない。この状況は（電力やガス、鉄道、空港などの）重要インフラプロバイダーや民間企業、政府機関が直面しているセキュリティ脅威の特定における長年の遅れを浮き彫りにしているという。

CISAにも言い分がある

　CISAの広報担当者はKEVのカタログに新たな脆弱性を追加する際の3つの基準を挙げたガイダンスに言及した（注2）。

・脆弱性にCVE IDが割り当てられていること
・悪用されたことを示す信頼できる証拠が存在すること
・ベンダーのアップデートなど、脆弱性を修正するための明確なガイダンスが存在すること

　連邦政府機関は悪質な活動が民間企業の業務に損害を与えるリスクを軽減するため、カタログに追加された脆弱性を緩和する措置を講じることを義務付けられている。

危険な66件の脆弱性はこれだ

　2024年9月18日に、FBIのクリス・レイ氏（ディレクター）は、全世界で26万台以上のIoTデバイスを悪用したMirai型botネットを破壊する作戦を公開した（注3）。このうち半数弱は米国内に設置されていた。

　このbotネットにはFlax Typhoonが関与しており、米国や他国の重要インフラプロバイダーを標的にして、DDoS攻撃やデータ窃盗などの悪質な活動を続けているとFive Eyesは警告した。

　Flax Typhoonはルーターやインターネットプロトコルを用いるカメラ、ネットワーク接続ストレージデバイスを標的にするためにCVEを悪用している。

　VulnCheckのレポートによると、66件の脆弱性のうち、数が多かったものは以下の通りだ＊。

Apache Software Foundation（10件）
Cisco Systems（5件）
Zyxel Communications（3件）
QNAP Systems（3件）
Fortinet（3件）
DrayTek（3件）

＊より詳細な情報はVulnCheckのWebページを参照（Exploring Targeted Technologies and Countries of the Flax Typhoon Botnet）

問題があるのはCISAだけではなかった

　連邦政府当局が悪質な活動に使用されている全ての重要な脆弱性を適切に分析し、記録するためのリソースを十分に持っているかどうかについても、長年の懸念がある。

　VulnCheckのパトリック・ギャリティ氏（セキュリティ研究者）は、「Cybersecurity Dive」に対して次のように語った。

　「連邦機関がある脆弱性に気付いていなかった、あるいは連邦機関内でそれほど広く影響が及んでいなかったというのが、追加されなかった理由として考えられるだろう」

　VulnCheckが2024年5月に発表したレポートによると、アメリカ国立標準技術研究所（NIST）は、同年2月以降に「National Vulnerability Database」に追加された脆弱性のうち10％未満しか分析していないことが分かった（注4）。

　NISTは分析の遅れを改善するために外部企業と連携した（注5）。NISTの広報担当者は「私たちは遅れの改善に向けて前進している（注6）。ただし進捗（しんちょく）状況に関してはまだ更新していない」と述べた。

出典：CISA catalog falls short on CVEs targeted by Flax Typhoon（Cybersecurity Dive）
注1：US authorities take down a Mirai-variant botnet tied to DDoS threat（Cybersecurity Dive）
注2：Reducing the Significant Risk of Known Exploited Vulnerabilities（CISA）
注3：US authorities take down a Mirai-variant botnet tied to DDoS threat（Cybersecurity Dive）
注4：Critical CVEs are going under-analyzed as NIST falls behind（Cybersecurity Dive）
注5：NIST has a plan to clear the vulnerability analysis backlog（Cybersecurity Dive）
注6：National Vulnerability Database（NIST）

原文へのリンク