「最も危険な脆弱性」とは何か Googleの研究者が発見

Google傘下のMandiantの調査によれば、攻撃者が悪用する脆弱性の性質が変わってきたという。攻撃者は最も危険な脆弱性を集中的に狙っていた。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃でソフトウェアの脆弱（ぜいじゃく）性が狙われる理由は明らかだ。比較的簡単に攻撃でき、対象のコントロールを奪うことができるなど効果的だからだ。特定のソフトウェアを利用している多数の企業を同時に狙うこともできる。困ったことに、防御側の脆弱性対策は完璧と言うには程遠い。

　Google傘下で脅威インテリジェンスやインシデントレスポンスを扱うMandiantはどのようなタイプの脆弱性が最も危険なのかを調べた。その結果、これまでとは違う傾向が分かったという。

「最も危険な脆弱性」とは何か

　Mandiantは2024年10月16日（現地時間、以下同）、「2023年に悪用された状況を追跡した調査した脆弱性の大半は、ゼロデイ脆弱性だった」と発表した（注1）。

　2023年に公開され、Mandiantによって分析された138件の脆弱性のうち、97件（70％）は発見されたのとほぼ同時に悪用されたという。ゼロデイ脆弱性とは、ベンダーがパッチをリリースする前に悪用されたソフトウェアの欠陥を指す。2021年と2022年にMandiantが追跡した脆弱性のうちゼロデイは62％を占めていた。つまりゼロデイ脆弱性が集中的に狙われる傾向にある。

　今回発表された研究の共著者であり、Google CloudでMandiantのシニアアナリストを務めるケイシー・シャリエ氏は次のように述べた。

　「時間の経過とともにゼロデイ脆弱が悪用される割合が高くなっていることが分かる。次に発見されるだろうゼロデイ脆弱性について、悪用される可能性に準備できているかどうかが重要だ」

脆弱性の悪用までの平均時間が短縮

　シャリエ氏はなぜ「悪用される可能性に準備できているかどうかが重要だ」と語ったのだろうか。それはゼロデイ脆弱性の悪用が増えている他に、問題がもう一つあるからだ。それは脆弱性が最初に悪用されるまでにかかる平均時間「TTE」（Time to Exploit）だ。

　TTEの数字は非常に良くない傾向を示している。2018〜2019年の平均TTEは約2カ月（63日）だった。2020〜2021年はこれが44日に減少した。2021〜2022年には約1カ月（32日）になった。2023年にはTTEが急激に短くなり、わずか5日になった。

　TTEが短くなればなるほど、防御側が対策に使える時間は減っていく。

Microsoft、Apple、Google製品の対策だけではすまない

　攻撃者はMicrosoftやApple、Googleのように広く使われているプラットフォームの脆弱性を探し続けている。そこで、Mandiantは悪用される脆弱性の数と種類の増加をベンダー別にまとめた。

　Mandiantが2023年に追跡した積極的に悪用されている脆弱性のうち、約40％はMicrosoftやApple、Googleの製品に関連していた。2021年と2022年にはほぼ半数を、この3社の大手テクノロジー企業に関連する脆弱性が占めていたことから、3社の比重が減少傾向にあることが分かる。

　その代わり、2022年には44のベンダーに攻撃が絞られていたのに対し、2023年には56のベンダーの脆弱性が悪用の標的となった。

　「標的となるベンダーが増えるにつれ、防御側はどの製品が悪用されるのかを予測しにくくなるだろう。一部の製品が広く使われ続ける状況は変わらないが、利用可能なツールやシステム、プラットフォームが増えるに従って、標的となる環境への侵入ポイントやその周辺にあるピボットポイントが拡大していく」（シャリエ氏）。つまり防御しなければならない「場所」が増えていく。

ゼロデイ攻撃の起きる原因は

　ゼロデイ攻撃の原因は、依然としてメモリ安全性の低いコードが使われていることだ。2024年10月14日の週に、Googleは別のブログで「ゼロデイの悪用の75％はメモリ安全性に関する脆弱性に関連しているものと推定した」と述べた（注2）。

　ユーザー側ではソフトウェアを選定する際に考慮に入れることはできるかもしれないが、メモリ安全性について積極的に対策を打つことはできない。ここは開発企業側が努力しなければならない。

　「ゼロデイ脆弱性を次から次へと使うことで、攻撃者は防御者よりも常に一歩先を行くことができる。防御側はゼロデイ脆弱性の性質やパッチ適用が簡単ではないことで困難な状況に立たされている。技術の絶え間ない進歩が攻撃対象となる範囲を広げ、悪用の余地を増やす。そのギャップを埋めるのは難しいだろう」（シャリエ氏）

ゼロデイ脆弱性に備えるにはどうすればよいのか

　ゼロデイ脆弱性に対抗できる特効薬はない。とはいえ、次のような一般的な対策を組み合わせることで、リスクを低減できる。

・インシデントレスポンス計画の策定　ゼロデイ攻撃に備えて、迅速に対応できることに主眼を置く。計画がない場合と比べて被害の規模を小さくできる
・重要データの保存　目標復旧時点と目標復旧時間を定めたのち、バックアップ計画を立案する。機密性の高いデータを暗号化し、可能であれば隔離された場所（エアギャップ）に保存することで、防御を突破してきた攻撃者に対抗できる
・ゼロデイを含む脆弱性情報の入手　自社が利用しているソフトウェアを把握した後、CVEやNVD、JVNなどの脆弱性データベースに毎日アクセスして危険な脆弱性と突き合わせる

　次にインシデントレスポンス計画と合わせてセキュリティソリューションを選択、導入する。

・ソフトウェアを最新の状態に保つ　ゼロデイ脆弱性はソフトウェアの最新版で見つかることもあるが、古い版でも発見されるため、この対策は有効だ
・エンドポイントへセキュリティソフトを導入する　未知のマルウェアを検知できる高精度なソフトを選択できる
・ネットワークセキュリティ製品の活用　ファイアウォールやIDS、IPS、NDRなどを導入し、不正なネットワークアクセスを速やかに検知することで、防御できる場合がある
・EDR（Endpoint Detection and Response）の導入　端末に侵入してきた脅威の検知とネットワーク切断などの迅速な対応が可能になる
・SIEM（Security Information Management）の導入　セキュリティに関するログを管理し、常時、リアルタイムに高速な分析を実行できる
・SOAR（Security Orchestration, Automation ＆ Response）の導入　事前に定義されたワークフロー（インシデントレスポンス計画の一部）に基づいてインシデント対応のタスクを自動化できる

　人の問題も重要だ。ゼロデイ攻撃を使って侵入されたとき、いかに素早く反応できるかが被害の大小を決めるからだ。

・従業員教育　ゼロデイ攻撃という未知の攻撃が存在することについて従業員を教育し、攻撃の兆候を認識できるようにする。セキュリティ意識を高めることで、攻撃後に迅速な対応が可能になる。攻撃は分単位で進行するため、あらかじめエスカレーションの経路を定めておく
・マネージドサービスの利用　社内の人的リソースに加えて、24時間365日のアナリスト対応が可能なサービスの選択を考慮に入れる（キーマンズネット編集部）

出典：Zero-day exploits swelled in 2023: Mandiant（Cybersecurity Dive）
注1：How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends（Google Cloud）
注2：Safer with Google: Advancing Memory Safety（Google Security Blog）

原文へのリンク