米CISAとNISTの研究者ら、脆弱性の悪用確率指標を新たに提案

nosa

2025.05.21

5月21日：サイバーセキュリティ関連ニュース

米CISAとNISTの研究者ら、脆弱性の悪用確率指標を新たに提案

SecurityWeek – May 20, 2025

米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）と米国標準技術研究所（NIST）の研究者により、脆弱性が実際に悪用される可能性を計算する新たなサイバーセキュリティ指標「Likely Exploited Vulnerabilities（LEV）」が提案された。

ソフトウェアとハードウェアにおける脆弱性は年間数千件が発見されているものの、実際に悪用されるのはごく一部に過ぎず、組織がパッチ適用の優先順位付けを行う際には、どの脆弱性が悪用されたのかを把握する、あるいは悪用される可能性が高いのかを予測することが重要とされている。これまで活用されてきたCISAのKEV（悪用が確認済みの脆弱性）カタログや、データに基づいて脆弱性が悪用される確率を推測するExploit Prediction Scoring System（EPSS）も非常に有用とはいえ、前者は完全性に、後者は正確性に課題を残していた。

LEVはKEVカタログとEPSSに代わるものではなく、これらを強化することを目的としている。今回の論文には計算式も解説され、特定の脆弱性に対するEPSSスコアが利用可能になった最初の日付や、KEVカタログの最新の更新日、同カタログへの追加、特定の日のEPSSスコア（複数日にわたって測定）などの変数を考慮して算出すると説明された。

LEV確率は脅威アクターが悪用した脆弱性の予想数と割合の測定、KEVカタログの網羅性の推定、同カタログおよびEPSSに基づく脆弱性修正の優先順位付けを支援すると考えられるなど、非常に有用なツールとなる可能性が高い。それでも研究者らは関係各機関の協力が必要だと指摘し、NISTも「LEV確率の性能を経験的に測定するための関連データセットを持つ」業界パートナーを探しているという。

中国系APTのUnsolicitedBooker、近年の攻撃で新たなバックドア「MarsSnake」を使用

Security Affairs – May 20, 2025

中国系APTのUnsolicitedBookerが新たなバックドア「MarsSnake」を使い、サウジアラビアのある国際組織を攻撃していたことが明らかになった。

ESETの研究者チームが発表したレポートによると、UnsolicitedBookerは2023年3月、2024年3月、そして2025年1月の計3回にわたり、偽の航空券をおとりにしたスピアフィッシングメールを用いてシステムに侵入したという。このグループはアジアやアフリカ、中東の政府機関を標的にしており、マルウェアの拡散にスピアフィッシングメールを利用。使用するツールキットには、中国関連グループが多用・共有しているChinoxy、DeedRAT、Poison Ivy、BeRATなどのバックドアが含まれると報告された。

さらにUnsolicitedBookerがカスタムスティーラーを使用していたことから、ESETは同グループの動機をスパイ活動とデータ窃取だと考えている。また、中国のハッカーグループとされるSpace Piratesや、Zardoorバックドアを使う名称不明の脅威アクターとの共通点も見つかっているようだ。

「2023年、2024年、2025年にこの組織への侵入を試みたことは、UnsolicitedBookerがこの特定の標的に強い関心を示していることを示唆する」とESETは結論づけている。