最も悪用された脆弱性はセキュリティベンダー製品のものだった

危険な脆弱性はどこに潜んでいるのだろうか。どの程度危険なのだろうか。それが分かるレポートが公開された。意外なことにセキュリティベンダー製品の脆弱性が危険視されている。

[Matt Kapko，Cybersecurity Dive] PC用表示関連情報

LINE

Hatena

　脆弱（ぜいじゃく）性を狙ったサイバー攻撃はあらかじめ計画的に対処できる。例外は未発見の脆弱性、つまりゼロデイ脆弱性だ。対策が見つかっていない状態で悪用できてしまうため、攻撃者が圧倒的に優位になる。

　実際、米国の複数の政府機関や複数の国家のサイバーセキュリティ機関がまとめた調査「2023 Top Routinely Exploited Vulnerabilities」によれば、2023年に最も頻繁に悪用された脆弱性の大多数はゼロデイ脆弱性だった（注1）。米国とカナダ、英国、オーストラリア、ニュージーランドの5カ国から成るFive Eyesのサイバー担当者は、2024年11月12日に発表したアドバイザリーで「サイバー犯罪者はゼロデイ脆弱性を使って、より優先度の高いターゲットを攻撃しやすくなった」と述べた。

最も悪用された脆弱性はセキュリティベンダー製品のものだった

　2023年に攻撃者に最も悪用された脆弱性の上位5つは、ネットワーク機器やリモートアクセスサーバ、ファイアウォールを提供するセキュリティベンダー3社の製品に存在した。

・Cisco Systems
　Cisco Systems（以下、Cisco）のネットワーク機器で見つかった2つの脆弱性「CVE-2023-20198」と「CVE-2023-20273」（注2、注3）

・Citrix Systems
　Citrix Systems（以下、Citrix）のリモートアクセスサーバで見つかった「CVE-2023-3519」と「CVE-2023-4966」の2つの脆弱性（注4、注5）

・Fortinet
　Fortinetのファイアウォールで見つかった「CVE-2023-27997」の脆弱性（注6）

　2023年、CiscoとCitrixの製品に2つずつ存在した脆弱性は、年間を通して最も悪用されたもののうちの4つを占めた。

　これらの製品は広く使われているため、攻撃者は何千もの組織に広範囲で持続的な損害を与えることができる。最も悪用されている技術は、脆弱性が繰り返し発生する主要なセキュリティベンダーから提供されているものだ。

　冒頭で紹介した報告書は2023年を振り返ったものだが、2024年でも同じ傾向が続いている。セキュリティに関するさまざまな機器やサービスを提供するベンダーを通じて、脆弱性の影響が顧客に広がり続けている。

　政府機関はこのような状況を改善しようとしている。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、テクノロジー企業に対して、製品から欠陥やコーディングエラー、脆弱性を排除するように促し、ソフトウェアベンダーにおけるコードの改善を推進している（注7）。

　CISAの取り組み「セキュア・バイ・デザイン」は、製品の設計と開発段階でセキュリティを組み込み、セキュリティの責任を顧客からベンダーに移転させることを目指している。2024年5月以降、CiscoやFortinetを含む約250社がCISAの誓約に署名した（注8）。

　しかし、問題は依然として解決されていない。長年にわたるソフトウェア開発の慣習を変えるにはCISAを持ってしても難しいのだろう。顧客側の問題を引き起こし続けているソフトウェアの欠陥は、すでに市場に出回っている製品にも組み込まれているからだ。

Ciscoの脆弱性が多数見つかった

　それでは問題の脆弱性について内容を見ていこう。

　「Cisco IOS XE」のWebユーザーインタフェースに存在する重大なゼロデイ脆弱性「CVE-2023-20198」（注9）は非常に危険だ。攻撃者は全てのコマンドに完全にアクセスできるからだ。

　Cisco IOS XEの2つ目の脆弱性「CVE-2023-20273」にも注意が必要だ。攻撃者は特権を昇格させて、悪質なインプラントコードをファイルシステムに書き込むことができるからだ（注10）。

　CISAは実際に悪用されていることが確認できた脆弱性をKEV（Known Exploited Vulnerabilities Catalog）として公開している。

　Ciscoの脆弱性はこれらを含めてKEVに74回登場しており、そのうち5件の脆弱性はランサムウェアキャンペーンで使用されていたことが分かっている。

Citrix bleedsはランサムウェア攻撃を招いた

　研究者は「CVE-2023-4966」の脆弱性を「CitrixBleed」と名付けた（注11、注12）。バッファオーバーフローに関連する重大な脆弱性で、2023年に広範な懸念を引き起こした。CitrixBleedの悪用はランサムウェア攻撃に関連しており、航空機メーカーのBoeingや（注13）、メディア企業のComcastをはじめとする世界で最も厳しく規制された企業のいくつかに影響を与えた（注14）。

　Citrix製品における重大なコードインジェクションの脆弱性「CVE-2023-3519」は、2023年に最も悪用された脆弱性だ。2023年に2番目に多く悪用されたのは「Citrix Netscaler Application Delivery Controller」（Citrix ADC）と「Netscaler Gateway」に影響を与える脆弱性CVE-2023-4966だ。

　CISAのKEVを2022年にさかのぼると（注15）、Citrixに関連する16件の脆弱性が掲載されている。そのうち6件の脆弱性はランサムウェアキャンペーンで使用された。

ランサムウェア攻撃で多用されるFortinet

　Fortinetの「FortiOS」と「FortiProxy SSL-VPN」に影響を与えるヒープベースのオーバーフロー脆弱性CVE-2023-27997は（注16）、約50万台のファイアウォールを悪用のリスクにさらした。攻撃者が任意のコードやコマンドを実行することができたからだ。

　CISAのKEVには、Fortinetに関連する15件の脆弱性が掲載されている。そのうち8件の脆弱性はランサムウェアキャンペーンで使用されていることが分かっている。

MOVEitの大混乱が6位にランクイン

　これら3社の脆弱性以外にも特筆に値するものがある。ソフトウェア企業Progress Softwareに関連する脆弱性で、上位6番目に悪用された。

　MOVEitのゼロデイ脆弱性「CVE-2023-34362」は（注17）、2023年5月のメモリアルデーにMOVEit環境に対する一連の攻撃を引き起こした。攻撃を仕掛けたのはランサムウェアグループ「Clop」であり、最終的には2700以上の組織に影響を与え、9300万件以上の個人情報が盗まれた。

　MOVEitのゼロデイ脆弱性に対する攻撃は、2023年で最大かつ最も重要なサイバー攻撃だろう。MOVEitの脆弱性の悪用による被害は今もなお報告があり、18カ月以上たった現在でも、下流の被害者に深刻な問題を引き起こしている。

　福祉関連のプログラムを運営する米国の連邦政府機関The Centers for Medicare and Medicaid Services（CMS）は、ランサムウェアグループによるMOVEitの脆弱性の悪用により、2024年7月にウィスコンシン州の約100万人のメディケア受給者のデータが侵害されたとの通知を受けた（注18）。

　2024年11月11日、サイバー犯罪インテリジェンス企業Hudson Rockの研究者たちは、MOVEitの脆弱性に関連する別のデータ漏えいについて警告した（注19）。この漏えいには、2023年5月のデータが含まれており、25の主要企業の従業員記録が含まれていた。

　脆弱性の悪用状況と被害の規模から分かることは、無策のままではいけないということだ。自社が利用しているソフトウェアとハードウェアの一覧情報を把握し、CISAや米国立標準技術研究所（NIST）、日本のJPCERTコーディネーションセンター（JPCERT/CC）のような団体が公開する情報と毎日照らし合わせる手順が欠かせない。専任の要員を置いたり、セキュリティベンダーのサービスを利用したりしなければならない（キーマンズネット編集部）。

原文へのリンク

最も悪用された脆弱性はセキュリティベンダー製品のものだった

最も悪用された脆弱性はセキュリティベンダー製品のものだった

Ciscoの脆弱性が多数見つかった

Citrix bleedsはランサムウェア攻撃を招いた

ランサムウェア攻撃で多用されるFortinet

MOVEitの大混乱が6位にランクイン

関連記事