*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年7月31日付)を翻訳したものです。
サイバーセキュリティインシデントといえば色々なものがありますが、中でも特にインパクトが大きいインシデントの数々が、ソフトウェアの脆弱性が原因で発生しているケースは多々あります。CVE(共通脆弱性識別子)の中でも、Log4Shell、MOVEit、ScreenConnect、Spring4Shell、Follinaなどは情報セキュリティに詳しくない人でも一度は耳にしたことがあるかもしれませんが、これらは重大なインシデントに繋がったCVEのほんの一部に過ぎません。深刻度が「Critical(緊急)」に分類されるような脆弱性、特に広く使われるサードパーティソフトウェア・ソリューション内の脆弱性は、日和見主義的な脅威アクターにとって魅力的な侵入口です。したがってこうした脆弱性の存在が明らかになった場合、セキュリティチームは可能な限り迅速に関連する緩和策を適用しようと奔走することになります。そのため、セキュリティチームにとって、タイムリーな情報と、確実なパッチの優先順位付けプロセスとを組み合わせることは非常に重要です。
本記事では、上記の脆弱性の中から数件をピックアップしてその影響を掘り下げたのち、Silobreakerを活用してリアルタイムで脆弱性の優先順位付けと追跡を行う方法をご紹介します。
最近の重大な脆弱性とその影響
ScreenConnect
2024年2月19日、ConnectWise社は、同社製リモートデスクトップサポートアプリケーション「ScreenConnect」のセキュリティアドバイザリをリリースしました。このアプリは、企業のクラウド環境およびオンプレミス環境の両方で広く使用されているものです。アドバイザリは、オンプレミス環境を利用する顧客に対して2つの脆弱性について警告する内容で、うち1つについては、のちに深刻度評価で満点の基準スコアを付けられました。この脆弱性はかなり容易に悪用できるものであったため、この時までに大規模な悪用が始まっていました。

図1:ScreenConnectの脆弱性に関する注釈付きのタイムライン
ConnectWiseはその後すぐに脆弱性を緩和するためのアップデートをリリースし、最新バージョンを実行していないインスタンスを一時停止するという措置まで講じましたが、被害はすでに出た後でした。脆弱性が開示されてからわずか3日以内に、数千もの脆弱なScreenConnectインスタンスが標的にされ、実際の攻撃で悪用されていたことが観測されたのです。この機に乗じた攻撃者らは、ランサムウェアだけでなく、情報窃取型マルウェア(インフォスティーラー)やリモートアクセス型トロイの木馬(RAT)、またCobalt Strikeペイロードを投下しました。さらにいくつかのセキュリティベンダーは、脅威アクターがSimple HelpやChrome Remote Desktopなどの正規のリモートアクセスツールを展開して永続性を確保しようとしていたのが観測されたことについても、詳細に報告しています。
IoCやTTP(戦術・技術・手順)が発見され、組織間で共有されるにつれて、セキュリティチームがその後数週間にわたって事態を注視し続けなければならないことが明白になりました。
Log4Shell
サードパーティ製のソフトウェアに存在する重大な脆弱性も紛れもなく危険ですが、間違いなくより壊滅的なシナリオに繋がるのは、基盤となるソフトウェアライブラリ自体に潜む脆弱性です。そして3年前、まさにこれに該当するインシデントが発生しました。
12月のホリデーシーズンを控えて企業の事業活動がスローダウンし始めた頃、悪意あるアクターたちは一足早くクリスマスプレゼントを受け取っていました。そのプレゼントというのが、Javaアプリケーションで使用されるApacheのロギングライブラリLog4jにおける最大深刻度の脆弱性でした。当該脆弱性はリモートコード実行を可能にするものであったことから、情報セキュリティコミュニティはすぐさま、ホリデーシーズンが期待したほど静かなものにはならないことを悟りました。数々の勧告や警告が発表されましたが、ここでまた新たな問題が表面化します。なんと、上記のものとは別のLog4jの脆弱性が発見され、さらにもう1つ見つかったのです。そして、大規模な悪用もすでに始まっていました。
Tenableは、すべての情報資産のうち10%がLog4Shell(問題の脆弱性に付けられた名前)に対して脆弱であるというデータを発表し、2017年にWannaCryランサムウェアを展開するために悪用された脆弱性「EternalBlue」よりも大きな影響が及ぼされる可能性があると警告しました。
Apacheからは比較的速くパッチがリリースされたにもかかわらず、組織にとって脆弱なバージョンのLog4jを特定するのは困難なことでした。というのも、そのためにはサードパーティベンダーの基盤となるライブラリを理解しておく必要があったためです。さらに当のサードパーティ企業自身も自社と関連性のある別のサードパーティから派生するリスクにさらされることになり、軽減するのが難しいリスクの連鎖が生み出されて行きます。
数週間が過ぎ、クリスマス休暇を経て1月に入ってからも、ブルーチームに所属する人々は、関係者全員に災いをもたらす恐ろしい通知をベンダーから受け取らないことを祈るしかない状況でした。
数年経った今日でも、Log4Shellは悪用されています。Cato Networksは、Log4Shellは2024年に最も頻繁に悪用の試みがなされたエクスプロイトの1つであると主張しており、2023年末のレポートでは、世の中のアプリケーションの3分の1がまだLog4jの脆弱なインスタンスを使用している旨が伝えられています。
Follina
2022年5月27日、Twitterユーザーの「@nao_sec」が、Microsoft Office製品のあるゼロデイ脆弱性を開示しました。「Follina」と名付けられたこの深刻度の高い脆弱性は、さほど複雑でない手順によってリモートコード実行攻撃を実現させ得るものでした。マイクロソフトのサポート診断ツールサービスを悪用することで、攻撃者はOfficeアプリケーションに強制的にコマンドを実行させることができます。また場合によっては、最初のフィッシングに成功した後、ユーザーに何の操作もさせることなくコマンド実行を達成することも可能でした。
この脆弱性が開示されたのは5月でしたが、悪用はその数か月前から始まっていたことが研究者らにより発見されました。そしてこの悪用活動は、国家型アクターと日和見主義的な攻撃者の両方によるものだろうと考えられています。
紛れもなく非常に重要なビジネス機能であるMicrosoft Officeは、何百万もの企業環境で世界的に使用されています。つまり、こういった製品に深刻な脆弱性が発生した場合の影響は甚大です。Log4Shellと同様、Follinaは、私たちが普段安全性を疑いもしないような基盤のソフトウェアやライブラリでさえ壊滅的な攻撃に繋がり得るのだという事実を思い起こさせるものでした。
優先順位付けにおけるジレンマ
上記のCVEは、過去5年間で特に影響の大きかった多様な脆弱性の中のほんの一部です。考えてみると、CVSSスコアが最大値の重大な脆弱性は深刻な影響を及ぼす可能性が極めて高いものですが、そのような脆弱性に優先的に対応することはそれほど複雑なタスクではないかもしれません。深刻度が最大で、かつ自社環境で適用可能なのであれば、「直ちにパッチを当てよう」という結論に至るはずですよね。
しかし、世の脆弱性管理チームはCVSSシステムのさまざまな欠点をよく認識しています。脆弱性には想定と矛盾したスコアが付与される可能性がありますし、エクスプロイトをめぐっては誤解が生じる恐れがあります。また、企業の内部事情によって公正で正確なスコアリング手法が無下にされることもあり得ます。
例えば最近のケースでいうと、2024年7月初めに、さまざまなCisco Nexus製品内でコマンドインジェクションのゼロデイ脆弱性が発見されました。この脆弱性はCVSSスコアが6.0で深刻度が中程度であると評価されましたが、中国の国家型アクターによって、Cisco NexusデバイスのOS上でコマンドやマルウェアを実行するために悪用されていました。このように、優先順位を決定する上でCVSSスコアの高低だけを頼るのが得策でないことは明らかです。
こういった問題の存在がゆえに、脆弱性の優先順位決定プロセスには複雑な面が生じる可能性があります。だからこそ、さまざまなベンダーが付与したそれぞれ異なるスコアを、タイムリーな関連情報とともに一元的に保管できる場所が欠かせなくなってきます。
以上が、脆弱性の管理と優先順位付けに関して考慮すべき事項についての簡単な説明でした。では次に、この領域においてSilobreakerがどのように役立つのかを詳しく見ていきましょう。
ケーススタディ①:脆弱性モニタリング
Silobreakerには技術スタックを絞り込む機能があり、これを活用すると、自組織に影響のある製品やソフトウェア、また関連する脆弱性を追跡できます。これにより、組織内の脆弱性管理機能を強化することが可能です。

図2:Google製品内のCVE
脆弱性インテリジェンスの種々多様なソースをSilobreakerという1つのプラットフォームに集約できるため、お客様それぞれの基準で選ばれた信頼できるソースに基づき、脆弱性に関して十分な情報を踏まえた上で意思決定を行うことができます。また深刻度スコアが確認できるだけでなく、何百万ものOSINTデータソースやプレミアムデータセットの中から、特定の脆弱性(CVE番号または俗称により絞り込み可能)に関する議論を追跡することも可能です。
もう少し具体的には、自社の環境に関連するCVEを一箇所で追跡・モニタリングし、すでに出回っているエクスプロイトに関する言及の増加、勧告や速報、スコアの更新などの情報をアラートで受け取ることができるということです。

図3:スコアや関連するエンティティが表示された脆弱性ページ
上記のスクリーンショットは、脆弱性に関するさまざまなデータベースから集められた関連スコアが1つのCVEカードに掲載されている様子を写したものです。各プロパティ(攻撃条件の複雑さ、完全性への影響、スコープなど)は、必要に応じてさらなるフィルタリングや優先順位決定のためにクエリ内で使用することができます。
上記のスクリーンショットが示すように、脆弱性ページからは、ニュース記事やブログなどさまざまな媒体における脆弱性への言及を把握することができます。また、この2016年の脆弱性が2024年になってもなお議論の対象となっていることもわかります。
ケーススタディ②:高度なパッチ管理
成熟度の高いチームの場合、対処済みの脆弱性をトリアージ・管理するためのシステムが必要になることもあるかもしれません。そのようなケースでは、プラットフォーム内の「コレクション」と「リスト」が便利です。私たちが「ワークベンチ・ダッシュボード」と呼んでいる機能を使えば、チームはリアルタイムで協力して脆弱性のタグ付け、トリアージ、管理を行うことができます。

図4:脆弱性のワークベンチ・ダッシュボード
これらのダッシュボードは、必要に応じてさらにカスタマイズすることができます。例えば、トリアージが完了し、Eメールアラートまたはカスタムレポートで脆弱性管理チームに送信する準備が整ったCVEのみが表示されるように設定を変えることなどが可能です。またダッシュボードのアラートオプションを使用すれば、インテリジェンスチームによって脆弱性が追加されたらその都度、関連するチームや利害関係者へアラートが届くようにすることもできます。
最後に
これらの機能を組み合わせることで、脆弱性管理を強化し、特定の組織環境に関連する脆弱性の追跡および優先順位付けのための中央集中型システムが実現します。真に役立つ情報源が複数あることにより、「Critical」評価かどうかにかかわらずCVEを分析し、利害関係者に正確な情報を提供する能力をより確固たるものにすることができます。Silobreakerがお客様の組織の脆弱性監視にどのように役立つかについてさらに詳しく知りたい場合は、こちらからお問い合わせください。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
寄稿者
- Keaton Fisher, Customer Success at Silobreaker
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。