米英豪政府のセキュリティ機関が共同で発表--悪用の多い脆弱性30件

Chris Duckett (ZDNet.com.au) 翻訳校正: 石橋啓一郎

2021-07-31 08:30

 米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)、オーストラリアサイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)、米連邦捜査局(FBI)の4組織は、よく悪用されている脆弱性30件を共同のサイバーセキュリティアドバイザリーで公表した。これらの脆弱性は、2020年に悪質なサイバーアクターが悪用した主なCVE(共通脆弱性識別子)、2021年これまでに広く悪用されているCVEだ。そのうち1つは、2017年に明らかになったものだった。

Get patching: US, UK, and Australia issue joint advisory on top 30 exploited vulnerabilities
提供:Shutterstock

 問題の脆弱性はCVE-2017-11882だ。この脆弱性の原因は「Microsoft Office」の数式エディタに存在するスタックバッファオーバーフローで、悪用されるとリモートからのコード実行が可能になる恐れがある。このエクスプロイトは、複数のベンダーが何年も前から言及し続けてきたものだ。

 4機関が米国時間7月28日に発表したアドバイザリーでは、この脆弱性をはじめとした、リストに掲載されている30の問題を解決するもっとも簡単な方法は、システムにパッチを適用することだと述べている。

 「サイバーアクターは、既知の(しかも多くの場合、古くから知られている)ソフトウェアの脆弱性を悪用し続けており、世界中の公的機関や民間企業を含む幅広いターゲットとしている。しかし、世界中の組織が提供されているパッチをシステムに適用し、集中型のパッチ管理システムを導入すれば、脆弱性を緩和することができる」と説明されている。

 「Microsoft Officeに影響するCVE-2017-11882などの既知の古い脆弱性が、パッチが適用されずに残っていて悪用できる限り、悪意を持ったサイバーアクターはそれらを悪用し続ける可能性が高い。攻撃者が既知の脆弱性を利用できれば、攻撃者の特定作業も複雑になり、攻撃のコストは削減され、リスクも最小化される。これは、独自の攻撃に利用するためのゼロデイエクスプロイトの開発に投資する必要がないためだ。しかもそれらのエクスプロイトは既知になれば、失われるリスクがある」

 トップ30のリストは、2020年までに公開された14件の古いCVEと、2021年に公開された16件のCVEに分けられている。

 古い脆弱性のリストは、クラウドや、リモートワーク、VPNに関係する4つのCVEから始まっている。

 4機関は、ベストプラクティスとしては、パッチを当てるほか、オーストラリアのACSCが公表している「Essential Eight(8つの必須対策)」と呼ばれる緩和策も実施すべきだと述べている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]