FBI、過去2年間の標的型脆弱性の上位を公開

米国、英国、オーストラリアの複数のサイバーセキュリティ機関が発表した共同セキュリティアドバイザリでは、過去2年間で最も標的にされたセキュリティ脆弱性のトップ30が明らかにされています。

Top Routinely Exploited Vulnerabilities | CISA

www.cisa.gov

また、CISA、オーストラリアのサイバーセキュリティセンター（ACSC）、英国の国家サイバーセキュリティセンター（NCSC）、米国連邦捜査局（FBI）は、民間企業や公的機関がこれらの脆弱性に対処するための対応策も公開しています。

CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは「ACSC、NCSC、FBIと協力して、公的機関や民間企業が優先的にパッチを適用するべき脆弱性に焦点を当て、攻撃者に悪用されるリスクを最小限に抑えることができます」と述べています。

2021年の傾向：リモートワーク、VPN、クラウド技術に焦点を当てた攻撃を展開

米国政府が収集したデータによると、昨年の標的型バグの上位はほとんどが2020年に入ってから開示されたものであり、この傾向はCOVID-19パンデミックが始まってからの最近のリモートワークへの移行に起因しているといいます

CISAは、「仮想プライベートネットワーク（VPN）やクラウドベースの環境など、リモートワークの選択肢が急速に変化して利用が増えたことで、日常的なソフトウェアのパッチ適用を維持・継続するのに苦労しているセキュリティ担当者にさらなる負担がかかったと考えられます」と説明しています。

攻撃者がリモートワークへの移行を利用していることから、2020年に最も日常的に狙われた脆弱性のうち4つが、在宅勤務（WFH）、VPN、クラウドベースの技術に影響を与えていることが、以下の表でわかります。

2021年攻撃者は、引き続き境界型デバイスの脆弱性を狙っています。2021年に高度に悪用されたものとしては、Microsoft、Pulse、Accellion、VMware、Fortinetの脆弱性が挙げられます」とCISAは付け加えています。

この対応策では、攻撃者は様々な産業分野の幅広いターゲットに影響を与える、一般に知られたセキュリティの脆弱性を悪用し続けていることが示されています。

システムにパッチを当てることを推奨

CISA、ACSC、NCSC、FBIは、世界中の公的機関や民間企業に対し、できるだけ早くシステムにパッチを当てて更新し、攻撃対象を減少させるようアドバイスしています。

「企業は利用可能なパッチをシステムに適用し、集中的なパッチ管理システムを導入することで、このレポートに記載されている脆弱性を軽減することができます」

また、すぐにパッチを適用できない場合やすぐに適用する予定がない場合は、侵害の兆候を確認し、インシデント対応および復旧計画を直ちに開始する必要があります。

過去2年間の攻撃で日常的に悪用されている共通脆弱性とCVEのリストは、発表された共同勧告に掲載されています。

また、4つの機関は、勧告に記載されている各脆弱性について、侵害の指標、推奨される緩和策、検知方法、パッチへのリンクを公開しています。

NCSCのオペレーション・ディレクターであるPaul Chichesterは、「公開されたアドバイザリは、VPNゲートウェイ機器の未パッチ化など、最も一般的な脆弱性を修正する方向性を組織に与えるものです。我々は、国際的なパートナーと協力して、被害を与えようとする者たちがもたらす脅威に対する認識を高めていきます」と述べています。

先週、MITREは、過去2年間にソフトウェアを悩ませた最も一般的で危険な弱点の今年のトップ25リストも発表しています。

CWE - 2021 CWE Top 25 Most Dangerous Software Weaknesses

Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.

cwe.mitre.org