予測7:ゼロデイとその対策の浸透
脆弱性が悪用されるまでの短い時間に、できることなど何もない…それでもパッチは適用できる
by Fred House
2021年は、悪用されたゼロデイ脆弱性の数が過去最悪の記録を更新したと言われています。これについては、セキュリティーベンダーによる検知能力が向上した証だとする人もいる一方で、被害者による情報開示が進んだからだとする人もいます。単に「利益」が増大した結果、例えば、REvilが7,000万ドルを要求した、Zerodiumが250万ドルをエクスプロイトに支払ったなど、プレイヤーの数と質が上がっただけだと言う人もいます。しかし、エクスプロイトの範囲が拡大したこと、ターゲットとなるアプリケーションの種類が増えたこと、また組織が被る影響が増大したという結果に注目するべきでしょう。わたしたちは、2022年には組織の対応スピードが加速すると予想します。
過去12ヶ月間に起きた、目立った侵害をいくつか紹介します。組織が対応までの時間を改善する必要があるということを、認識できるでしょう。
ProxyLogon
2020年にSolarWinds社の顧客約17,000件が影響を受けた時には、多くの人がその侵害の範囲に驚きを禁じ得ませんでした。注目すべきことに、被害を受けた顧客の一部は、その後も継続的に侵害の被害に遭ったと思われます。残念なことに、2021年には、驚くほど件数の増加が見られました。MicrosoftがProxyLogonのパッチをリリースした2週間後に、30,000台のExchangeサーバーが脆弱な状態に置かれたままであると報告されました。その数は、控えめに見積もっても60,000台と見られています。
ProxyShell
これは、3つの異なる脆弱性(CVE-2021-31207、CVE-2021-34473、CVE-2021-34523)の寄せ集めで、Exchangeに関していえば、今年発生したProxyLogonに次ぐ二番目に大きな事件でした。8月、Black Hatが発表したExchange Serverの脆弱性に関するプレゼンテーションの翌日に、エクスプロイトのPOCが公開されました。しかし、この数ヶ月前、4月から5月にかけてこの脆弱性すべてに対して、Microsoftによるパッチが適用されていました。POCが公開されてから1週間後、 Shodanが取得したデータを分析し、30,000台以上のExchangeサーバーが依然として脆弱な状態であると結論づけました。しかし、実際はもっと多い可能性があると指摘されています(Shodanはインターネット全体をスキャンする時間がなかったようです)。結果的に、「春にパッチを当てたにもかかわらず、秋には悪用された」ということです。では、その間に何が起きていたのでしょうか。Microsoft Client Access Serviceの脆弱性 が悪用されました。この脆弱性は、攻撃者がWebシェルを使って侵入し、モバイル機器やWebブラウザ上で任意のコードを実行できるというものです。
vCenter Server
5月、VMWareがvCenter Serverに存在するリモートコード実行の脆弱性に対してパッチをリリースしたことも、また注目すべきことでした。その後の分析結果では、パッチのリリースから1週間が経過しても4,000台以上のシステムに脆弱性があることが判明しました。一般的な企業のExchangeサーバーと比較して、4,000台の脆弱なvCenterサーバーとなれば大きな影響が出ます。
Kaseya VSA
Kaseya VSAの侵害の話題については、比較的明るい側面もあるかもしれません。7月2日、REvilは、一般向けVSAサーバーに対して、前例のない(「前例のない」ことばかり起きますが)ランサムウェアキャンペーンを開始しました。2日のうちに、DIVD CSIRTは、危険にさらされたサーバーの数が2,200台から140台に減少したと報告しました。およそ50のMSPが危険にさらされ、800件から1500件のビジネスに影響を与えたと推測されています。良い出来事ではないものの、2日間に影響を受けたシステムの94%に対してパッチを当てた結果、REvilの模倣犯による被害を減らせたことは事実です。
この事件から学べることはあるでしょうか。攻撃者もセキュリティ研究者も、脆弱性の漏洩から数時間以内に、武器化されたエクスプロイトやPOCが現れるまでその技術を磨き続けます。私たちは、侵害による被害の拡大を食い止めるために資産の保護やパッチ適用の運用を見直して、注意を怠らないようにする必要があります。公開資産の特定から、ビジネスを中断する可能性があるとしても迅速にパッチを展開するところまで、企業は「パッチまでの時間」を短縮することに、改めて焦点を合わせることになるでしょう。
米国政府は11月3日に発表した「Binding Operational Directive 22-01」において、すべての連邦政府機関に対して既知の脆弱性を2週間以内に修正することを義務付け、「連邦政府機関に重大なリスクがある場合」には、さらに短時間で修正するよう要求しています。修正が必要な脆弱性を掲載した「known exploited vulnerabilities catalog」(CISA, Cybersecurity and Infrastructure Security Agency)では、すべてのケースに2週間の修正期限を設定しています。米国政府だけでなく、わたしたち皆が迅速な対応をするべきでしょう。
※本ページの内容は2021年11月21日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Zero Care About Zero Days
著者: Fred House
概要:2022年の脅威予測レポート
予測1:拡大するソーシャルメディア経由の脅威
予測2:国家に雇われたサイバー犯罪者が暗躍
予測3:RaaSエコシステム内の攻防により勢力均衡がシフト
予測4:スキルの低いオペレーターが、RaaSモデルのパワーシフトの中で地位を確立
予測5:APIのリスクが増大
予測6:コンテナの悪用が拡大
予測7:ゼロデイとその対策の浸透