発見されたら「放置してはいけない」脆弱性はどれ

毎月発表される脆弱性の数は予想以上に多い。だが、深刻な脆弱性はどの程度あるのだろうか。脆弱性はどの程度実際のサイバー攻撃で使われているのだろうか。

[David Jones，Cybersecurity Dive]

　新たに見つかる脆弱（ぜいじゃく）性の数は2023年には1900個に達する。

　この数字は保険会社Coalitionが2023年2月1日に発表したレポートにある予測値だ（注1）。共通脆弱性識別子（CVE：common vulnerabilities and exposures）が割り当てられた脆弱性の数を表す。

これらの脆弱性はどの程度、企業に脅威を与えるのか

　1900個の脆弱性には、深刻度の高い脆弱性（high-severity）が270件、重大な脆弱性（critical）が155件含まれるという。つまりこれらの脆弱性を利用すれば理屈の上では、攻撃者がコンピュータシステムを遠隔操作できるようになる。だが、実際どの程度危険なのだろうか。

　Coalitionが実施した2022年の調査によれば、組織の94％がインターネットに公開された暗号化されていないサービスを少なくとも1つ持っているという。つまり深刻度の高い脆弱性は実際に危険なのだ。

　2021年12月に脆弱性が明らかになった「Apache Log4j」がその一例だ。脆弱性に最新のパッチを適用しないまま放置すると、防御の固い最先端のコンピュータシステムであっても、悪用の機会を狙っている犯罪者や国家が支援する敵から容易に攻撃を受けてしまう。

　CVEはなぜ増加するのだろうか。理由の一つは研究者が脆弱性を発見するためによりコストをかけるようになっていることだ。組織の側もソフトウェアの欠陥を発見するためのソフトウェア監査を増やしており、これも理由の一つだ。

　Coalitionのティアゴ・ヘンリケス氏（リサーチ担当バイスプレジデント）によれば、「CVEの数は圧倒的であり、ITやセキュリティの専門家にとって、意味のある分析が困難な場合も生じている。CVEの量は信じられないほど多いので、追跡はますます厄介になり、CVEのデータベースは驚くべき速さで膨らんでいる」という。

攻撃者は見つかったCVEをすぐに使う

　ほとんどのCVEは公開から30日以内に悪用されている。これがセキュリティを最優先にしていない企業に大きなダメージを与える。

　リモートデスクトッププロトコル（RDP）は、最もよく攻撃者からスキャンされるプロトコルだ。つまりRDPの脆弱性が発表された場合はすぐにパッチを探すべきだ。「Elasticsearch」と「MongoDB」は高い確率で侵入を受け、それぞれがランサムウェア攻撃の大きな割合を占めている。

　Coalitionは保険金請求データや52億個のIPアドレスのスキャン、ハニーポット（わざと攻撃を受けて情報を収集する仕組み）のグローバルネットワークを通じて集めた情報に基づいて今回のレポートを作成した。

　なお同社はデジタルリスクを未然に防ぐことを目的とした世界初の保険会社だと自称する。包括的な保険とサイバーセキュリティツールを組み合わせることでこの目的を実現できるという。

出典：CVEs expected to rise in 2023, as organizations still struggle to patch（Cybersecurity Dive）

注1：Cyber Threat Index 2023