2021年の脆弱性がいまだ猛威 37％の開発者がLog4jをダウンロードする実態

サイバー犯罪グループは、いまだに2021年に流行したセキュリティの脆弱性を悪用した攻撃を続けている。ユーザー側も脆弱性のあるデータをダウンロードし続けているという。

[David Jones，Cybersecurity Dive]

　FBIや米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、その他のセキュリティ関連機関は、「サイバー犯罪者は2021年に報告された『Apache Log4j』（Log4j）や『Microsoft Exchange Server』などのソフトウェアにおける悪質な脆弱（ぜいじゃく）性を今も利用している」と、2022年4月27日に連名で勧告を発した（注1）。

　これらの脆弱性は2021年に頻繁に報告されたもので、新しいものではない。また、「CVE-2018-13379」（FortiOSにおける脆弱性）、「CVE-2019-11510」（VPN製品「Pulse Connect Secure」における脆弱性）、「CVE-2020-1472」（Netlogonプロトコルの脆弱性）といった2020年に流行した脆弱性も悪用され続けている。サイバー犯罪グループの「Hive」や「Conti」「Avoslocker」は脆弱性を利用してシステムへのアクセスを試みているという。

37％の開発者が24時間以内にLog4jをダウンロード

　勧告によると、企業はソフトウェアやオペレーティングシステム、ファームウェア、アプリケーションを適時に更新する必要がある。ベンダーサポートが終了して製品寿命を終えたソフトウェアはどんなものであれリプレースが推奨される。

　また、迅速な脆弱性のスキャンとパッチ適用ができない企業は、クラウドサービスプロバイダーやマネージドサービスプロバイダーによるセキュリティチェックを検討すべきであり、多要素認証は例外なく導入して実施しなければならないという。

　ガートナーのリサーチ担当バイスプレジデントのカーテル・ティーレマン氏は、電子メールで次のように述べている。「脆弱性に関するこうした警告は過去6カ月間で増しており、脅威アクターがさまざまな組織で同じ手法を使用して悪用する懸念が高まっている。ほとんどのベンダーにとってサービスの市場投入スピードは安全性よりも優先度が高いため、脆弱性は今や至る所に出現している」。

　「私たちは悪循環に直面している。より多くの脆弱性情報が公開され、悪意ある者にその存在を知らしめる一方で、ベンダーとエンドユーザーは、パッチの適用とアップデートの実行をしなければならないという課題に直面している」（ティーレマン氏）

　　Symantecの研究者は「組織がシステムにパッチ適用しない理由を特定することは困難だ」と述べる。Symantec Threat Hunterチームのプリンシパル・エディターであるディック・オブライアン氏は、「パッチ適用の優先順位が高くないことや、システムを十分に監査していないためパッチ適用していないこともあり得る」と述べる。

　セキュリティ関連企業のSonatypeによると「組織は依然として脆弱性のあるソフトウェアを大量にダウンロードしている」。「（Mavenのセントラルリポジトリの全ダウンロード総数のうち）過去24時間で37％の開発者がLog4jの脆弱性のあるバージョンをダウンロードしたデータがある（注2）。2022年3月31日以降、81％の開発者が『Spring4Shell』の脆弱性を含むバージョンをダウンロードした（注3）。

　英国で医療ITを手掛けるNHS Digitalは先週、次のような声明を発表した。「われわれは脆弱性の潜在的な悪用を認識しており、状況を積極的に監視している。この重要な脆弱性に対するシステム面での対応において、パートナーをサポートし、NHSの顧客へのガイダンスを提供し続けていく」。

出典：Familiar names top 2021’s most-exploited vulnerabilities list（Cybersecurity Dive）

注1：2021 Top Routinely Exploited Vulnerabilities

注2：Log4j Exploit Updates

注3：New Spring Framework RCE Vulnerability Confirmed - What to do?