編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始

Liam Tung (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2022-07-28 13:37

 Palo Alto Networksによると、それまで非公表だったゼロデイ脆弱性が公表されてから攻撃者がその脆弱性を悪用し始めるまでの時間が短くなっているという。

人の手と「ATTACK」(攻撃)の文字
提供:Sergey Nivens/Shutterstock

 Palo Alto Networksは、インシデント対応(IR)事例600件以上を取り上げた2022年のレポートの中で、攻撃者は通常、CVEが公表されてから15分以内に脆弱性のスキャンを開始すると警告している。

 これらの事例で悪用された脆弱性には、「Microsoft Exchange Server」の「ProxyShell」および「ProxyLogon」の脆弱性や、悪用が続く「Apache Log4j」の脆弱性「Log4Shell」、「SonicWall」のゼロデイ脆弱性、Zohoの「ManageEngine ADSelfService Plus」の脆弱性など、2021年に報告された極めて重大な脆弱性が含まれている。

 Palo Alto Networksは、「2022 Incident Response Report」で次のように述べている。「新たな脆弱性が公開されるたび、当社の脅威インテリジェンスチームは、脆弱なシステムのスキャンが広く行われる様子を観測している」

 影響を受けるデバイスを探し出そうとして、公表後すぐに攻撃者がインターネットをスキャンした脆弱性の例として、同社はF5 Networksのソフトウェア「Big-IP」に存在する重大な脆弱性を挙げた。この脆弱性については、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が5月に、増える一方の「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)に追加した。Palo Alto Networksは、この脆弱性のシグネチャーが公表されてから10時間以内に2552件のスキャンを確認したという。

 フィッシングは依然として、初期アクセスに用いられる最大の手法であり、IR事例の37%を占めるが、それに対してソフトウェアの脆弱性は31%、総当たりによるクレデンシャル攻撃(パスワードスプレー攻撃など)は9%だった。より事例が少ないカテゴリーには、以前に流出した認証情報(6%)、内部脅威(5%)、ソーシャルエンジニアリング(5%)、信頼関係の悪用・信頼されたツールの悪用(4%)などがある。

 初期アクセスのソースであることが確認された脆弱性の87%以上は、6つのCVEカテゴリーのいずれかに分類された。

 初期アクセスに最も多く悪用された脆弱性は、Exchange ServerのProxyShellの脆弱性で、対応事例の55%を占めた。Microsoftは2021年初め、ProxyShellおよびそれに関連するProxyLogonの脆弱性に対するパッチを急いで公開したが、ランサムウェア「Hive」を使うハッカーなど、いくつかの脅威アクターの主要な標的になった。

 Log4jだけでPalo Alto Networksの対応事例の14%を占め、SonicWallの脆弱性(7%)、ProxyLogon(5%)、ZohoのManageEngine(4%)、「FortiNet」(3%)がそれに続いた。その他の脆弱性が残りの13%を占めている。

 ランサムウェアが絡むIR事例だけを見ると、22%が、情報をリークすることが多い「Conti」グループで、「LockBit 2.0」(14%)がそれに続いた。残りのランサムウェアグループは、それぞれ事例の10%未満で、Hive、「Dharma」「PYSA」「Phobos」「ALPHV/BlackCat」「REvil」「BlackMatter」などがある。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]