サイバーセキュリティ企業マンディアントによる新たな調査では、2023年に公開された138件の悪用された脆弱性の分析に基づき、攻撃者による脆弱性の悪用に関する驚くべき統計が示されています。
Google Cloudのブログに掲載された調査結果によると、ベンダーは攻撃者の標的としてますます増加しており、ゼロデイ脆弱性とNデイ脆弱性の両方を悪用する平均時間は継続的に短縮されていることが明らかになりました。しかし、脆弱性の重要性は攻撃者の具体的な目的によって異なるため、すべての脆弱性が攻撃者にとって同等の価値を持つわけではありません。
攻撃までの時間が大幅に短縮
脆弱性攻撃にかかる時間(TTC)は、パッチのリリース前またはリリース後に脆弱性を悪用するのにかかる平均時間を定義する指標です。Mandiantの調査によると、以下のことが示されています。
- 2018年から2019年にかけて、TTEは63日間でした。
- 2020年から2021年にかけては44日に減少しました。
- 2021年から2022年にかけて、TTEはさらに短縮され、32日になりました。
- 2023年には、TTEはわずか5日間となりました。
参照: 効果的なサイバーセキュリティ意識向上プログラムの作成方法 (TechRepublic Premium)
ゼロデイ vs Nデイ
TTE が縮小し続けるにつれて、攻撃者はゼロデイ脆弱性と N デイ脆弱性の両方をますます悪用するようになっています。
ゼロデイ脆弱性とは、パッチが適用されていない脆弱性であり、多くの場合、ベンダーや一般の人々に知られていません。Nデイ脆弱性とは、パッチが公開された後に初めて悪用される既知の欠陥です。したがって、標的のシステムにパッチが適用されていない限り、攻撃者はNデイ脆弱性を悪用することが可能です。
Mandiantは、2023年のNデイ脆弱性とゼロデイ脆弱性の比率が30:70であると予測しています。これは、2021年から2022年にかけての38:62から変化しています。Mandiantの研究員であるCasey Charrier氏とRobert Weiner氏は、この変化はNデイ脆弱性の減少ではなく、ゼロデイ脆弱性のエクスプロイトの使用と検出の増加による可能性が高いと報告しています。また、脅威アクターが2023年にゼロデイ脆弱性を悪用する試みをより多く成功させた可能性も考えられます。
「これまでもゼロデイ攻撃の利用は増加傾向にあり、今後も増加が続くと予想しているが、2023年にはゼロデイ攻撃とnデイ攻撃の乖離がさらに拡大し、ゼロデイ攻撃がnデイ攻撃をこれまで以上に上回った」と研究者らは記している。
Nデイ脆弱性は、パッチ適用後の最初の1ヶ月間に最も多く悪用される。
Mandiantは、修正プログラムのリリース後1か月間で23件のNデイ脆弱性が悪用されたと報告しています。そのうち5%は1日以内に、29%は1週間以内に、そして半数以上(56%)は1か月以内に悪用されました。修正プログラムのリリース後6か月間で、合計39件のNデイ脆弱性が悪用されました。
より多くのベンダーがターゲットに
攻撃者はターゲットリストにさらに多くのベンダーを追加しているようで、2018 年の 25 社から 2023 年には 56 社に増加しています。これにより、毎年より大規模な攻撃対象領域を保護しようとする防御側にとって、より困難になっています。
事例研究は搾取の深刻さを概説している
Mandiant は、WordPress の WooCommerce Payments プラグインにおける CVE-2023-28121 の脆弱性の事例を公開しました。
この脆弱性は2023年3月23日に公開されましたが、3ヶ月以上経ってから、事前認証なしで管理者ユーザーを作成するための脆弱性の悪用方法が公表されるまで、概念実証や技術的な詳細は明らかにされませんでした。その翌日、Metasploitモジュールがリリースされました。
数日後、別の武器化されたエクスプロイトが公開されました。最初のエクスプロイトは、改訂版の武器化されたエクスプロイトが公開された翌日に開始され、その2日後には攻撃のピークに達し、1日で130万件の攻撃が発生しました。この事例は、Charrier氏とWeiner氏が述べているように、「機能的で大規模かつ信頼性の高いエクスプロイトが公開されたことにより、脅威アクターがこの脆弱性を悪用する動機が高まった」ことを浮き彫りにしています。
CVE-2023-27997のケースは異なります。XORtigateと呼ばれるこの脆弱性は、Fortinet FortiOSのSecure Sockets Layer(SSL)/Virtual Private Network(VPN)コンポーネントに影響を与えます。この脆弱性は2023年6月11日に公開され、Fortinetが翌日に公式セキュリティアドバイザリを公開するよりも早く、メディアで話題となりました。
情報開示から2日目には、PoCを含む2つのブログ投稿が公開され、武器化されていないエクスプロイト1件がGitHubに公開されましたが、削除されました。関心の高さは明らかでしたが、最初のエクスプロイトは情報開示からわずか4か月後に届きました。
観測されたタイムラインの差異の最も可能性の高い説明の一つは、2つの脆弱性の信頼性と悪用容易性の違いです。WordPress用WooCommerce Paymentsプラグインに影響を与える脆弱性は、特定のHTTPヘッダーのみを必要とするため、悪用が容易です。一方、もう1つはヒープベースのバッファオーバーフロー脆弱性であり、こちらは悪用がはるかに困難です。これは特に、複数の標準および非標準の保護機能を備えたシステムで顕著であり、確実な悪用をトリガーすることが困難です。
Mandiant が明らかにしたように、主な考慮事項は、エクスプロイトの意図された使用法にもあります。
「より困難だが『より価値の高い』脆弱性を悪用する開発に、より多くのエネルギーを注ぐことは、それが彼らの目的とより合致するのであれば理にかなっているだろう。一方、より悪用が容易で『価値の低い』脆弱性は、より機会主義的な敵対者にとってより大きな価値を提供する可能性がある」と研究者らは記している。
パッチの展開は簡単な作業ではない
これまで以上に、脆弱性に関連するリスクに応じて、脆弱性を修正するためのパッチをできるだけ早く展開することが必須となっています。
フランスの攻撃・防御セキュリティ企業QuarkslabのCEO、フレッド・レイナル氏はTechRepublicに対し、「2~3台のシステムにパッチを適用するのは一つのことですが、1万台のシステムにパッチを適用するのは全く別の話です。組織、人材、そして時間管理が必要です。そのため、パッチが利用可能であっても、通常はパッチを配布するのに数日かかります」と語った。
レイナル氏は、システムによってはパッチ適用に時間がかかる場合もあると付け加えた。彼は携帯電話の脆弱性パッチ適用を例に挙げ、「Androidのソースコードに修正がある場合、Googleはそれを適用する必要があります。その後、SoCメーカー(Qualcomm、Mediatekなど)はそれを試用し、自社バージョンに適用する必要があります。さらに、携帯電話メーカー(Samsung、Xiaomiなど)はそれを自社バージョンに移植する必要があります。さらに、通信事業者はファームウェアをカスタマイズしてからビルドすることがあり、必ずしも最新のソースコードを使用できるとは限りません。そのため、パッチの普及には長い時間がかかります。今日の携帯電話では、6か月前の脆弱性が見つかることも珍しくありません」と続けた。
レイナル氏は、パッチ適用において可用性が重要な要素であると主張しています。「システムによっては、障害が発生しても構わない場合もあります。石油プラットフォームやエネルギーメーカーを考えてみましょう。パッチ適用は問題ありませんが、パッチ適用によって障害が発生した場合はどうでしょうか。エネルギーが供給されなくなります。では、どちらが最悪でしょうか? パッチ未適用の重要システムか、エネルギーのない都市か? パッチ未適用の重要システムは潜在的な脅威です。エネルギーのない都市は、現実的な問題です。」
最後に、レイナル氏によると、パッチが全く適用されていないシステムもあるという。「一部の地域ではパッチ適用が禁止されています。例えば、医療機器を製造する多くの企業は、ユーザーによるパッチ適用を禁止しています。もしパッチを適用した場合、保証が無効になります。」
