2022 年に悪用された脆弱性の 76% が、最大で 13 年前に発見されたもの
2023 年 5 月 16 日 Manu Santamaría Delgado 著
ソフトウェアアップデートのように一般的に広く認識されたものでも、システムの脆弱性を修正するパッチを組み込んでいるため、大規模なサイバー攻撃の発生を防ぐことにつながります。しかしアップデートを優先することは、ユーザにとって負担が大きく、不便な作業に思えるかもしれません。なぜなら、インストール実行のためにコンピュータやサーバを再起動しなければならず、作業も中断しなければならないからです。そのためアップデートは後回しにされがちで、盗難や ID の紛失といった一般的なセキュリティ問題を防ぐことができる推奨パッチも、無視される傾向にあります。
最近の研究のデータによると、ランサムウェアグループは昨年だけでも合計 244 件のユニークな脆弱性を悪用して攻撃を仕掛けましたが、これは 2021 年と比較して 56 件多く、1 年で 19% も増加しています。しかも、56 件のうち 76% は 2010 年から 2019 年の間に最初に検出されたもので、パッチはすでに提供されているにもかかわらず、未だ悪用が続いています。
なぜ 2023 年となった今もソフトウェアの脆弱性を心配する必要があるのか
アップデートをほとんどしないまま過ごして運良く何の被害も受けずに済んでいると、アップデートは必要のないものだ、という誤った安心感を抱く可能性があります。しかし実際には、今年 2 月にイタリアのエネルギー企業 Acea 社を狙ったサイバー攻撃は、それが間違いであることを示しています。この事件では、BlackBasta として知られるランサムウェアグループが、セキュリティ専門家の間では 2021 年から把握されていた ESXi サーバの脆弱性を悪用してシステムへのアクセスを受けましたが、当時はパッチが適用されていませんでした。同社によると、この攻撃は市民への重要なサービスに影響を与えるほどには至らなかった、とのことです。しかし、必要な分析・制御を行う社内 IT サービスや、Web サイトへのアクセスには一部影響がありました。
この点、IBM が毎年発表している「X-Force 脅威インテリジェンス・インデックス 2023」のデータによると、2022 年に報告されたサイバー攻撃の 26% が、既知の脆弱性の悪用によるものであったと報告されています。これは、このような攻撃手法が主な感染手法の第 2 位にランクされており、事実 2019 年以降、攻撃者が好んで行う侵害方法として大きなウェイトを占めていることを裏付けるものです。
ソフトウェアアップデート:最初のステップはサイバーセキュリティ
このように新たな脆弱性は絶えず出現しています。米国のサイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)も伝える通り、すでにパッチが適用された脆弱性を悪用しようとするものに対する最善の防御は、ソフトウェアを最新の状態に保つことです。また、ソフトウェアが常に最新の状態であることを保証するために、以下のアクションを推奨しています。
- 可能な限り、ソフトウェアの自動更新を有効にする。これによって、ソフトウェアの更新が速やかにインストールされるようになります。
- 時代遅れ(EOL)のソフトウェアやサポートされていないソフトウェアを使用しないようにする。
- ベンダのサイトに直接アクセスし、広告や電子メールのリンクはクリックしない。
信頼できないネットワークを使用しているときは、ソフトウェアのアップデートを実行しない。
エンドポイントにおける穴埋め
組織のサイバーセキュリティの堅牢性を確保する上で、ソフトウェアのパッチ適用と更新が重要であることは明らかです。CISA が推奨するプラクティスに加え、企業には、ネットワークへのアクセス手段として何度も悪用される既知の脆弱性を監視し、緩和する義務があります。結局のところ、これらの脆弱性は、他のタイプの脅威よりも大きなリスクをもたらします。
ランサムウェアが古い脆弱性を復活させる危険性は、多くの CVSS (共通脆弱性評価システム)スコアが、古い脆弱性、一見すると重要度の低い脆弱性が数年後に悪用される状況を考慮に入れていないことにも起因しています。
ウォッチガードのエンドポイントセキュリティソリューションと連携し、適宜利用可能なパッチでシステムを最新の状態に保ち、保護する WatchGuard Patch Management などのツールを使用することで、システムを保護し、サイバー犯罪に対抗する上で大きな利点となります。ベンダがリリースするアップデートを常に把握することは困難で、間違いも起きうるものです。一方、ネットワークのエンドポイントにインストールされたパッチを比較できるデータベースがあれば、システムを保護し、脆弱なワークステーションやサーバへのマルウェア攻撃を防ぐことができます。
ソフトウェアの脆弱性とパッチマネジメントの状況がもたらすリスクについて詳しく知り、新たな脆弱性を適切に発見して対策を講じるには、以下のリンクを参照してください。
• 脆弱性のパッチ:製造業が抱えるセキュリティの問題
• Hackers exploiting two-year-old VMware flaw to launch large-scale ransomware campaign (ハッカーが VMware に 2 年前から存在した欠陥をランサムウェア攻撃に使用)(TechCrunch)
• The eBook “Vulnerability and Patch Management” (電子書籍:脆弱性とパッチマネジメント)
• Security advisories (セキュリティアドバイザリ)