Stopwatch

脅威行為者は、利用可能な概念実証(PoC)エクスプロイトを実際の攻撃で武器化するのが早く、時にはエクスプロイトが公開されてから22分という速さで武器化することもある。

これは、2023年5月から2024年3月までの活動をカバーし、新たな脅威の傾向を明らかにしたCloudflareの2024年アプリケーションセキュリティレポートによるものです。

現在、毎秒平均5,700万件のHTTPリクエストを処理しているCloudflareでは、公開されたCVEに対するスキャン活動が引き続き活発化しており、次いでコマンドインジェクションや利用可能なPoCを武器化しようとする試みが続いています。

調査期間中、最も標的となった欠陥は、Apache製品のCVE-2023-50164とCVE-2022-33891、ColdfusionのCVE-2023-29298、CVE-2023-38203、CVE-2023-26360、MobileIronのCVE-2023-35082でした。

武器化のスピードが上がっている特徴的な例は、JetBrains TeamCityの認証バイパス欠陥であるCVE-2024-27198だ。

Cloudflareは、攻撃者がPoCベースのエクスプロイトを公開から22分後に展開したケースを観測しており、防御側には実質的に修復の機会が残されていない。

CVE exploitation speed
CVE exploitation speed
ソースはこちら:クラウドフレア

インターネット企業は、このスピードに対抗する唯一の方法は、効果的な検出ルールを迅速に開発するためにAIの支援を採用することだと述べている。

「開示されたCVEの悪用のスピードは、人間がWAFのルールを作成したり、攻撃を緩和するためのパッチを作成して展開したりするスピードよりも速いことが多い」と、Cloudflareはレポートの中で説明している。

「このことは、WAF Managed Rulesetを管理する社内のセキュリティ・アナリスト・チームにも当てはまり、誤検知の少なさと対応スピードの最適なバランスを実現するために、人間が作成したシグネチャとMLベースのアプローチを組み合わせることになりました。

Cloudflareによると、これは部分的には、特定のCVEカテゴリや製品に特化した特定の脅威アクターが、新しい脆弱性の開示を素早く利用する方法について深く理解した結果だという。

RCE exploitation attempts focusing on specific products
特定の製品に特化した RCE 搾取の試み
Source:クラウドフレア

全インターネットトラフィックの6.8%がDDoS

Cloudflareのレポートにおけるもう1つの驚異的なハイライトは、1日の全インターネットトラフィックの6.8%が、オンラインアプリやサービスを正規ユーザーが利用できないようにすることを目的とした分散型サービス拒否(DDoS)トラフィックであるということです。

Percentage of mitigated HTTP traffic
軽減された HTTP トラフィックの割合
出典:クラウドフレア

これは、前12カ月間(2022~2023年)に記録された6%と比較して顕著な増加であり、DDoS攻撃の全体量が増加していることを示している。

Cloudflareによると、大規模な世界的攻撃イベント時には、悪意のあるトラフィックがHTTPトラフィック全体の12%にも達する可能性があるという。

「HTTPリクエストのみに焦点を当てると、2024年第1四半期にクラウドフレアがブロックしたサイバー脅威は1日平均2090億件(前年同期比86.6%増)であった。

クラウドフレアのPDFレポートはこちらからダウンロードできます