サイバー攻撃者が仕掛ける「積み木戦略」とは Palo Alto製品が標的に

Palo Alto Networksのファイアウォールに脆弱性が見つかった。この脆弱性が問題になったのはすでに発見済みの2つの脆弱性と組み合わせることで犯罪者からの攻撃が強化されてしまうからだ。

[David Jones，Cybersecurity Dive]

　OSやアプリケーションなどの脆弱（ぜいじゃく）性を狙うサイバー攻撃者は実に巧妙だ。深刻度が高い危険な脆弱性を利用するのはもちろん、複数の脆弱性を積み木のように組み合わせる戦略を採る。

　Palo Alto Networksは、同社のファイアウォールに存在する認証済みファイルの読み取りに関連する脆弱性を攻撃者が悪用しようとしており、以前に公表された2つの脆弱性と組み合わせる形ですでに攻撃が始まっていると警告した。

サイバー攻撃者の「積み木戦略」はどう危険なのか

　ユーザー企業はどのようなに対応すればよいのだろうか。

　新たに発表された脆弱性はファイルの読み取りに関連するものだ。MITREが米政府の支援を受けて管理する共通識別子CVE（Common Vulnerabilities and Exposures）では「CVE-2025-0111」として追跡されている（注1）。

　この脆弱性を利用することで、同社の「PAN-OS」で「nobody」に分類されるユーザーが読み取れるファイルを閲覧できる。ただし、脆弱性を悪用するには条件があり、管理のためのWebインタフェースにネットワーク経由でアクセスできる認証済みのユーザーでなければならない。このため、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「7.8」、深刻度は重要「High」にとどまっている。

　Palo Alto Networksは2025年2月に公表された認証回避の脆弱性「CVE-2025-0108」と今回の脆弱性を組み合わせて悪用しようとする攻撃者の試みを確認したと警告した（注2）。さらに、この認証回避の脆弱性は、2024年11月に公表された特権昇格の脆弱性「CVE-2024-9474」と組み合わせる形でも悪用されている（注3）。

　複数の脆弱性を組み合わせた攻撃チェーンの構築は珍しくない。過去に公開された攻撃事例においても、攻撃者はすでに2つの脆弱性を組み合わせて悪用していたからだ（注4）。

　サイバーセキュリティプラットフォームを提供するAssetNoteの研究者たちは、2024年11月に発生した攻撃において悪用された「CVE-2024-9474」を詳しく調査した結果、認証回避の脆弱性を発見した。ファイル読み取りに関連する脆弱性は、Palo Alto Networksの研究者によって発見された。

ユーザー企業はどうすればよいのか

　同社の研究者によれば、管理インタフェースを直接有効にしていた場合や、管理インタフェースのプロファイルを含むデータプレーンインタフェースを介してアクセスを許可していた場合に、特にリスクが高まるという。

　「当社はPAN-OSの管理インタフェースに存在する2つの脆弱性『CVE-2025-0108』と『CVE-2025-0111』を直ちに修正するよう顧客に呼び掛けている。これらの脆弱性が悪用されると、影響を受けるファイアウォールの管理インタフェースに不正アクセスされる可能性があり、最悪の場合、システムの侵害につながる恐れがある」（Palo Alto Networksの広報担当者）

　同社はセキュリティ上の懸念から、攻撃チェーンの具体的な詳細については明かさなかった。同社は特定された全ての脆弱性に対してパッチを適用することが重要だと強調し、「脆弱性は単独での悪用よりも組み合わせて悪用された場合に危険性が高まる」と述べた。

どのように脆弱性を管理すればいいのか

　2023年に発見された脆弱性は約2万9000件あった。1日当たり約80件だ。この数字は増えることはあっても減ることはないだろう。この事実から導き出される脆弱性管理の原則は4つある。

（1）ソフト資産の記録
　自社が利用しているOSやミドルウェア、アプリケーションソフトウェア、SaaSなどの一覧表を用意して定期的に更新しておく。深刻度が高い脆弱性についてはベンダーから連絡が来たり、問い合わせたりすることがあるため、リストは役に立つ。

（2）定期的な脆弱性の特定と評価
　次に脆弱性を見つけ出す方法だ。これは2つある。まず、深刻度の高い脆弱性の情報はCISA以外にも、情報処理推進機構（IPA）などから発表がある。これをリストと毎日照らし合わせればよい。次に定期的な脆弱性診断の実行だ。システムやネットワーク内の潜在的な脆弱性を特定し、適切な対策を講じる際に役立つ。なお、診断方法自体も最新の脅威や攻撃手法に基づいて改善し続ける必要がある。

（3）リスクベースの優先順位付け
　診断を実行すると幾つかの脆弱性が見つかるはずだ。次に脆弱性ごとの影響範囲や深刻度リスク評価に基づいて、対策の優先順位を付けなければならない。外部からアクセス可能で悪用されるリスクが高いものや、自社のビジネスに大きな影響を与えるものを優先的に修正する。優先順位があやふやだと修正のためのリソースが無駄になり、攻撃を受けるリスクが高い状態が続く。

（4）修正と継続的なモニタリング
　（3）で定めた優先順位に基づいて、パッチの適用や設定の変更などの修正作業を実施する。修正後も継続的なモニタリングが必要だ。なぜなら犯罪者にとって使い勝手の良い脆弱性については、これを再利用した新しい攻撃手法が見つかることが珍しくないからだ（キーマンズネット編集部）

　2025年2月20日、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は（注5）、公表された脆弱性をまとめたKEVカタログに「CVE-2025-0111」を追加した。つまりすぐにでも対応しなければならない優先度の高い脆弱性だと認定したことになる。

　Palo Alto Networksによると、管理インタフェースへのアクセスを信頼できる内部IPアドレスのみに制限することで、ユーザー企業のセキュリティチームは攻撃のリスクを大幅に低減できるという。

出典：Palo Alto Networks warns hackers attempting to exploit a file read flaw in firewalls（Cybersecurity Dive）
注1：CVE-2025-0111 Detail（NIST）
注2：CVE-2025-0108 Detail（NIST）
注3：CVE-2024-9474 Detail（NIST）
注4：Palo Alto Networks warns firewall vulnerability is under active exploitation（Cybersecurity Dive）
注5：CISA Adds Two Known Exploited Vulnerabilities to Catalog（CISA）

原文へのリンク