米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)、オーストラリアサイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)、米連邦捜査局(FBI)の4組織は、よく悪用されている脆弱性30件を共同のサイバーセキュリティアドバイザリーで公表した。これらの脆弱性は、2020年に悪質なサイバーアクターが悪用した主なCVE(共通脆弱性識別子)、2021年これまでに広く悪用されているCVEだ。そのうち1つは、2017年に明らかになったものだった。
提供:Shutterstock
問題の脆弱性はCVE-2017-11882だ。この脆弱性の原因は「Microsoft Office」の数式エディタに存在するスタックバッファオーバーフローで、悪用されるとリモートからのコード実行が可能になる恐れがある。このエクスプロイトは、複数のベンダーが何年も前から言及し続けてきたものだ。
4機関が米国時間7月28日に発表したアドバイザリーでは、この脆弱性をはじめとした、リストに掲載されている30の問題を解決するもっとも簡単な方法は、システムにパッチを適用することだと述べている。
「サイバーアクターは、既知の(しかも多くの場合、古くから知られている)ソフトウェアの脆弱性を悪用し続けており、世界中の公的機関や民間企業を含む幅広いターゲットとしている。しかし、世界中の組織が提供されているパッチをシステムに適用し、集中型のパッチ管理システムを導入すれば、脆弱性を緩和することができる」と説明されている。
「Microsoft Officeに影響するCVE-2017-11882などの既知の古い脆弱性が、パッチが適用されずに残っていて悪用できる限り、悪意を持ったサイバーアクターはそれらを悪用し続ける可能性が高い。攻撃者が既知の脆弱性を利用できれば、攻撃者の特定作業も複雑になり、攻撃のコストは削減され、リスクも最小化される。これは、独自の攻撃に利用するためのゼロデイエクスプロイトの開発に投資する必要がないためだ。しかもそれらのエクスプロイトは既知になれば、失われるリスクがある」
トップ30のリストは、2020年までに公開された14件の古いCVEと、2021年に公開された16件のCVEに分けられている。
古い脆弱性のリストは、クラウドや、リモートワーク、VPNに関係する4つのCVEから始まっている。
4機関は、ベストプラクティスとしては、パッチを当てるほか、オーストラリアのACSCが公表している「Essential Eight(8つの必須対策)」と呼ばれる緩和策も実施すべきだと述べている。