セキュリティ企業のTenableの分析によると、サイバー攻撃に悪用されることが多いネットワーク機器の既知の脆弱(ぜいじゃく)性(Known Exploited Vulnerabilities:KEV)について、修正などの対応に平均200日以上を要する業界が多いという。同社のセキュリティ研究者がブログでその状況を解説している。
同社は、米通信会社Verizonが毎年公開している「データ侵害調査レポート」(DBIR)に協力し、その2025年版では、Tenableが保護している環境の1億6000万以上のデータポイントに関する分析情報を提供したという。2025年版のDBIRでは、データ侵害事案の20%が脆弱性の悪用に起因し、前年から34%増加したと報告。特にVPNやエッジ機器の脆弱性に起因するデータ侵害が前年の3%から22%に急増しているとした。
Tenable Researchでセキュリティレスポンス担当上級リサーチエンジニアを務めるScott Caveza氏は、攻撃に悪用されるVPNやエッジ機器の脆弱性について、エンドポイント型の脅威検知・対応(EDR)ソリューションでは評価が難しいと指摘。2025年版のDBIRでは、特に注意すべきネットワーク機器のKEVとして17件を取り上げ、これらは米サイバーセキュリティインフラセキュリティ庁(CISA)の2024年のKEVリストにも追加。Tenableは、これらの中からリスクの高い脆弱性への対応状況を業界ごとに分析している。
Cisco Systems:CVE-2024-20359
CVE-2024-20359は、Cisco Systemsの適応型セキュリティアプライアンス(ASA)および「Firepower Threat Defense」ソフトウェアのローカルコード実行における永続的な脆弱性で、2024年4月にCisco Talosが報告。高度で持続的なサイバー脅威(APT)の攻撃に悪用されたうちの1件になる。同月中にCISAのKEVリストへ登録され、米連邦民間行政機関(FCEB)に対しては7日以内の修正パッチの適用が勧告された。
Tenableの分析では、修正対応に長い時間を要した業界の上位は教育(185日)、エネルギー・ユーティリティー(173日)、輸送・交通(166日)で、短い業界の上位は病院(76日)、建設(98日)、政府(166日)だった。早期対応が勧告された公的組織でも時間を要している状況が分かったという。
Citrix:CVE-2023-6548、CVE-2023-6549
CVE-2023-6548は、Citrixの「NetScaler Application Delivery Controller」および「NetScaler Gateway」のファームウェアに存在するコードインジェクションの脆弱性、CVE-2023-6549は、両製品のファームウェアに存在するバッファエラーの脆弱性で、これらは短期間に相次いで発覚。サイバー攻撃で広く悪用されたという。
Tenableの分析では、修正対応に長い時間を要した業界の上位はバイオテクノロジー・化学(288日)、エネルギー・ユーティリティー(273日)、教育(271日)で、短い業界の上位はコンサルティング(160日)、金融・保険(178日)、ヘルスケア(183日)だったが、あらゆる業種で対応が長期化していた。
Fortinet:CVE-2024-21762、CVE-2024-23113
CVE-2024-21762は、Fortinet製品ファームウェア「FortiOS」に存在する境域外書き込みの脆弱性、CVE-2024-23113はFortinetの管理ツール「FortiManager」に存在する重要な機能に対する認証欠如の脆弱性となる。特にCVE-2024-21762は、情報公開から1日でCISAのKEVリストへ登録されたという。
Tenableの分析では、修正対応に長い時間を要した業界の上位はコンサルティング(261日)、金融・保険(258日)、エネルギー・ユーティリティー(250日)で、短い業界の上位はIT(172日)、輸送・交通(177日)、小売(196日)だった。
他方で、Fortinetのクライアントソフトウェアを統合管理する「FortiClient Enterprise Management Server」に存在するSQLインジェクションの脆弱性のCVE-2023-48788については、エンターテイメント・メディア(231日)、教育(229日)、法務関連サービス(229日)など対応に長い期間を要した業界と、通信(12日)、ヘルスケア(73日)、コンサルティング(116日)など短い期間だった業界との差が大きいことが分かった。
さらに、FortiManagerの認証欠如の脆弱性となるCVE-2024-47575では、全業種平均で7日、最速は製造の2日と、今回Tenableが分析対象としたKEVの中では、最も修正対応が迅速に行われたものだったという。
Ivanti:CVE-2023-46805、CVE-2024-21887
Ivantiの「Connect Secure」と「Policy Secure」に存在する認証バイパスの脆弱性のCVE-2023-46805とコマンドインジェクションの脆弱性のCVE-2024-21887の2件については、これらの悪用を狙う攻撃が多発した。Tenableの分析では、対応が最も早い金融・保険でも268日を要しており、製造(294日)、通信(291日)、IT(287日)などあらゆる業種で長い期間を要していた。
また、CVE-2023-46805とCVE-2024-21887の数週間後に発覚したConnect Secureに存在するサーバーサイドでのリクエストフォージェリの脆弱性のCVE-2024-21893は、バイオテクノロジー・化学のみ対応まで9日と極めて早かったが、製造(294日)、コンサルティング(292日)、通信(291日)、IT(215日)と多くの業界が対応に時間を要していたという。
Juniper Networks:CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847、CVE-2023-36851
Juniper Networksのファームウェア「Junos OS」に存在する5件の脆弱性は、このうち4件の深刻度が「中程度」に分類されたものの、連鎖的に悪用されることで第三者が遠隔から任意のコードを実行することができてしまう危険な事案だったとする。
Tenableの分析では、輸送・交通(80日)や建設(116日)などで対応が早期だった一方、食品(422日)や小売(361日)、教育(348日)では長く、業界による差が非常に大きかった。Palo Alto Networks:CVE-2024-3400
Palo Alto Networksのファームウェア「PAN-OS」の「GlobalProtect」機能に存在するコマンドインジェクションの脆弱性のCVE-2024-3400は、危険性が最高レベルと評価される重大事案とされた。
Tenableの分析では、ほかの脆弱性よりも影響範囲が小さく、金融・保険(45日)は対応が早かったものの、IT(201日)、エネルギー・ユーティリティー(185日)、製造(171日)など多くの業界では、対応に一定の期間を要したという。
SonicWall:CVE-2024-40766
SonicWallのファームウェア「SonicOS」に存在する不適切なアクセス制御の脆弱性のCVE-2024-40766は、ランサムウェア攻撃者グループの「Fog」「Akira」などに悪用された事案として注目された。
ただ、Tenableの分析によれば、対応が最も早いエンジニアリングで6日、最も遅いコンサルティングでも52日と、多くの業界が迅速に対処したケースだったという。
今回の分析結果についてTenableは、脆弱性や業界によって対応期間にさまざまな傾向の差異が見られるとし、あらゆる業界において改善の余地があると指摘する。KEVはサイバー攻撃者が悪用し続け、容易に悪用できる手法も提供されているとし、組織はサイバー攻撃者の傾向や用いる戦術を理解して、これらのKEVへの速やかな対応が重要だとアドバイスしている。
