ソフトウェアの脆弱性が悪用されるまでに企業が対応すべきこととは

ソフトウェアの脆弱性対応は難しい。企業は多数のソフトウェアを利用しており、それら全てを必ずしも管理できているとは言えないからだ。脆弱性情報は毎日のように発表されており、企業側の対応が追い付いていない場合もある。こうした中、攻撃者はどのように動いているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　自社が使っているソフトウェアに脆弱（ぜいじゃく）性が見つかったとき、どのように対応すべきなのだろうか。

　そもそも自社が利用しているソフトウェアを把握していなければもちろん対応できない。脆弱性情報をウォッチしていなければ、開発元の発表に気が付かない。把握していたとしても、常に動作しているソフトウェアの場合、定期メンテナンスの時期まで対応できないことも多い。

脆弱性が悪用される前に企業は何をすべきか

　ベンダーから発表された脆弱性がサイバー攻撃者に悪用される前に、ユーザー企業はどのように対応すべきか。

　Veeam Software（Veeam）の例を基に解説する。

　仮想マシンや物理マシン、クラウドのバックアップやレプリケーション、復元に利用されている「Veeam Backup and Replication」にある脆弱性が見つかった。

　Veeamは2024年9月4日のセキュリティ速報で、共通脆弱性評価システム（CVSS）で「CVE-2024-40711」として識別されている脆弱性について発表した。スコアは9.8だ。さらに企業向けのバックアップソフトウェアに関連するよりスコアの低い5つの脆弱性「CVE-2024-40713」「CVE-2024-40710」「CVE-2024-39718」「CVE-2024-40714」「CVE-2024-40712」を公表した（注1）（注2）。

　CVE-2024-40711はVeeam Backup and Replicationのバージョン12.1.2.172とそれ以前の全てのバージョンに影響する。なお、Veeamはパッチを適用したユーザーの人数や、この脆弱性により影響を受けたユーザー数に関する言及を避けた。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年10月17日、「CVE-2024-40711」を脆弱性のカタログに追加し（注3）、「すでにランサムウェア攻撃で悪用されている」と述べた。この脆弱性は悪意のあるペイロードを含む信頼できないデータをデシリアライズする際に悪用され、犯罪者による認証されていないリモートコード実行につながる。Veeamのソフトウェアが企業のデータバックアップを支えていることを考えると、どのような影響があるか分かるだろう。

　サイバーセキュリティ事業を営むSophosの脅威対応チームX-Opsに所属する研究者は、2024年10月にCVE-2024-40711を悪用したランサムウェア攻撃を少なくとも4件追跡した。X-Opsは「ランサムウェア『Akira』と『Fog』の亜種に関連する攻撃を観測した」と述べた。また同チームは、2024年10月11日に「いずれのケースにおいても（注4）、多要素認証が有効になっていないVPNのゲートウェイを使用して、攻撃者が対象にアクセスした」と「X」に投稿した。

　CVE-2024-40711に関連する不正プログラムとランサムウェア攻撃には共通の手順が見つかっている。つまり犯罪の道具として確立している。ユーザー側で脆弱性対応が進まないと悪影響は長期間続くだろう。

　このような状況の下、Veeamでコーポレートコミュニケーションおよびグローバルパブリックリレーションズを担当するハイディ・モンロー・クロフト氏（シニアディレクター）は、2024年10月21日に次のように述べた。

　「当社は2024年8月28日にVeeam Backup and Replication v12.2のソフトウェアアップデートで脆弱性を修正した。本アップデートは、影響を受けたVeeamの顧客全員に直接伝えられた」

　サイバーセキュリティ事業を営むCensys脆弱性研究者は（注5）、Veeamが修正を公開した2日後に素早く警告を発したRapid7も同年9月9日に続いた（注6）。この時点ではまだ悪用された事例は確認されていなかったが、脆弱性の公開から数日以内には、PoC（概念実証）の不正プログラムが部分的に公開されてしまった。脆弱性の発表から、脆弱性を犯罪者が利用するソフトウェアの公開までの時間的な余裕がほとんどなかったことが分かる。

ユーザー企業の対応が鈍い

　Veeamがソフトウェアアップデートで脆弱性を修正してから、ユーザー企業側の対応は進んだのだろうか。

　修正時点から1カ月以上経過した後に、SophosのX-Opsはランサムウェアを含むアクティブな状態にある不正プログラムの追跡を開始した。

　Rapid7のケイトリン・コンドン氏（インテリジェンスディレクター）は、2024年10月21日に次のように述べた。

　「Veeamの製品は人気があり、ランサムウェアグループを含む攻撃者の主要な標的になっている。2024年にRapid7がインシデントに対応したケースの20％以上がVeeam製品に関連するものだった。（今回の事例以前にも）Veeam Backup and Replicationの脆弱性が公表された数カ月後〜1年後に悪用されたケースもある」（コンドン氏）

　Censysのセキュリティ研究者ヒマジャ・モテラム氏は「脆弱性が公開されて以降、（攻撃者に対して）露出したままのVeeam Backup and Replicationのサーバ数に大きな変化はなかった。2024年9月6日に露出していた2833件のインスタンスは、同年10月21日時点で2784件へと微減しただけだ」と述べた。

　Censysによると、露出したインスタンスは主に欧州に集中している。英国の国民保健サービスのデジタル部門は、2024年10月11日にCVE-2024-40711の積極的な悪用に関するサイバーセキュリティの警告を発した（注7）。

出典：Critical Veeam CVE actively exploited in ransomware attacks（Cybersecurity Dive）
注1：Veeam Security Bulletin (September 2024)（Veeam）
注2：CVE-2024-40711 Detail（NIST）
注3：Known Exploited Vulnerabilities Catalog | CISA（CISA）
注4：Sophos X-Ops（X）
注5：Unauthenticated RCE in Veeam Backup & Replication [CVE-2024-40711]（Censys）
注6：Multiple Vulnerabilities in Veeam Backup & Replication（RAPID7）
注7：Critical Veeam Backup & Replication Vulnerability Under Active Exploitation（NHS England）

原文へのリンク