Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

2021 年マルウェア上位リストに関連する脆弱性の分析

2021 年マルウェア上位リストに関連する脆弱性の分析

国際的なサイバーセキュリティ機関は、2021 年に観測された上位のマルウェアの種類について説明する共同サイバーセキュリティアドバイザリ (CSA) を発表しました。本記事では、関連する脆弱性について解説します。

背景

8 月 4 日、アメリカ合衆国サイバーセキュリティ社会基盤安全保障庁 (CISA) と豪州サイバーセキュリティセンター(ACSC) は、2021 年に観測された上位のマルウェアの詳細について説明する共同サイバーセキュリティアドバイザリ (CSA) を発表しました。この勧告によると、上位のマルウェア種のほとんどは、5 年以上にわたって悪用されており、それぞれ複数のバリエーションに進化しています。

マルウェアはさまざまな目的で悪用されますが、政府機関はランサムウェアが主な使用例であると指摘しています。

分析

一般的にマルウェアは、フィッシングメッセージ、悪意のあるドキュメントや ウェブサイトで配布されます。多くの場合、まだパッチが適用されていない脆弱性を突いて権限を昇格させ、ターゲット環境を探索してコードを実行します。Tenable では、各種のマルウェアに関するレポートを分析し、それらに関連する脆弱性を特定しました。マルウェアにより悪用される脆弱性の完全なリストではありませんが、最も一般的なマルウェアの種類による攻撃経路を遮断する第一歩ために役立ちます。

また、このリストに基づき、マルウェアで悪用される脆弱性に関するいくつかの重要事項を特定しました。

CVE 説明 CVSSv3 VPR*
CVE-2015-5122 Adobe Flash Player 解放済みメモリ使用 (use-after-free) の脆弱性 v2 10.0 9.7
CVE-2016-0189 スクリプトエンジンのメモリ破損の脆弱性 7.5 9.8
CVE-2016-4171 Adobe Flash Player 任意のコード実行 (apsa16-03) の脆弱性 9.8 8.9
CVE-2017-0144 Windows SMB リモートコード実行 (EternalBlue) の脆弱性 8.1 9.6
CVE-2017-0199 Microsoft Office/WordPad リモートコード実行の脆弱性 7.8 9.8
CVE-2017-11882 Microsoft Office メモリ破損の脆弱性 7.8 9.9
CVE-2017-8570 Microsoft Office リモートコード実行の脆弱性 7.8 9.8
CVE-2017-8750 Microsoft Browser メモリ破損の脆弱性 7.5 8.9
CVE-2017-8759 .NET Framework リモートコード実行の脆弱性 7.8 9.8
CVE-2018-0798 Microsoft Office メモリ破損の脆弱性 8.8 9.8
CVE-2018-0802 Microsoft Office メモリ破損の脆弱性 7.8 9.8
CVE-2018-14847 MikroTik RouterOS リモートコード実行の脆弱性 9.1 8.8
CVE-2020-0787 Windows Background Intelligent Transfer Service 権限昇格の脆弱性 7.8 9.8
CVE-2021-34527 Windows Print Spooler リモートコード実行 (PrintNightmare) の脆弱性 8.8 9.8
CVE-2021-40444 Microsoft MSHTML リモートコード実行の脆弱性 7.8 9.8
CVE-2021-43890 Windows AppX installer なりすましの脆弱性 7.1 9.2
CVE-2022-30190 Microsoft Windows Support Diagnostic Tool リモートコード実行 (Follina) の脆弱性 7.8 9.8

*注: Tenable の Vulnerability Priority Rating (VPR) スコアは毎晩計算されます。VPR は、本ブログ記事公開時 (8 月 4 日) のスコアです。

出典:Tenable リサーチ、2022/8

最も注目すべき点は、発見された 17 件の脆弱性のうち 14 件がマイクロソフト製品に含まれていることです。脆弱性のうち 9 件はコード実行の脆弱性で、5 件はメモリ破損の脆弱性です。他の攻撃に悪用される脆弱性の種類の多さと比べて、権限昇格の脆弱性が 1 件しかないことは興味深いことです。

Microsoft Office におけるメモリ破損によるリモートコード実行の脆弱性、CVE-2017-11882 は、興味深いケースです。この脆弱性はマルウェア (本勧告に記載されている 11 種のうちの 6 種と Emotet を含む) によって広く悪用されていることが確認されています。CVE-2017-11882 は、マルウェア拡散に使われる最も一般的な配信方法として Cofense が 2019 年に特定したもので、さらに、2020 年と 2021 年には複数の政府のサイバーセキュリティ機関により、日常的に悪用される脆弱性として特定されています。

CVE-2017-11882 は、Trickbot や Qakbot などのさまざまなマルウェアで悪用されていることが頻繁に確認されています。この 2 つは第 1 段階のマルウェアで、さまざまなランサムウェアを含む可能性のある二次および三次マルウェアをダウンロードします。つまり、CVE-2017-11882、CVE-2017-0199、CVE-2021-40444 などの脆弱性は、攻撃者が標的のネットワークへの初期アクセスを取得する手段にすぎません。

ランサムウェアのアフィリエイトや IAB が使用する脆弱性

この共同勧告と関連のあるいくつかの脆弱性は、初期アクセスブローカー (IAB) やランサムウェアアフィリエイトなどのランサムウェアエコシステムの主要なプレーヤーによって悪用されており、ランサムウェアをデプロイするための第 1 段階のマルウェアの一部としても悪用されています。

Microsoft Windows Background Intelligent Transfer Service の権限昇格の脆弱性である CVE-2020-0787 は、LockBit ランサムウェアグループやアフィリエイトにより悪用されていることが確認されています。CVE-2021-34527 は、PrintNightmare と呼ばれる Windows Print Spooler サービスの権限昇格の脆弱性で、Vice Society、Conti、Magniber、Black Basta などの複数のランサムウェアグループが悪用しています。一旦、攻撃者が限られた権限で脆弱なシステムにアクセスしてしまうと、権限昇格の脆弱性はその後の悪意のある活動の重要なツールとしての役割があります。

Microsoft MSHTML のリモートコード実行の脆弱性である CVE-2021-40444 は、Conti ランサムウェアグループと直接連携する IAB である EXOTIC LILY によって悪用されました。IAB は、企業環境への初期アクセスを取得し、ランサムウェアアフィリエイトを含むさまざまな攻撃者にアクセスを販売することを専門としており、頻繁ではありませんが Conti などのランサムウェアグループと直接提携することもあります。ランサムウェアエコシステムレポートには、IAB、アフィリエイト、ランサムウェアグループについて詳しい解説があり、また、悪用されている既知の脆弱性リストも記載されています。

CVE-2022-30190 (Follina) の悪用

特定された脆弱性の大半は少なくとも 2 年前のものであり、実績のあるものを使い続けるという、攻撃者の攻撃テクニックに対するアプローチを表しています。7 年前から知られている脆弱性がまだ悪用可能なら、あえて新しい脆弱性を突いた攻撃を試してみる必要はありません。

この傾向と異なるのは、4 月に実際の攻撃に使用され、5 月にゼロデイ脆弱性として公開された、Follina (CVE-2022-30190) で、公開するやいなや、マルウェア (特に Qakbot と Remco) で悪用されています。サイバー犯罪者は、CVE-2017-11882 などの以前から使い慣れている脆弱性を頼りにしますが、特に公開されている概念実証コードがある場合は、新しい脆弱性を悪用することもあります。

上位のマルウェアは、2021 年に悪用された上位の脆弱性を悪用する

4 月に、アメリカ合衆国サイバーセキュリティ社会基盤安全保障庁 (CISA)、国家安全保障局 (NSA)、連邦捜査局 (FBI)、豪州サイバーセキュリティセンター (ACSC)、カナダ・サイバーセキュリティセンター、ニュージーランド国家サイバーセキュリティセンター、および英国国家サイバーセキュリティセンターが共同で、2021 年に日常的に悪用された脆弱性を公表しました。この報告では、攻撃者により日常的に悪用される 36 件の脆弱性が強調されています。そのうちの 4 件は、上述の最新の勧告に関連するマルウェアにも含まれ、そのうちの 2 件は、勧告の対象期間後に公表されたものでした。

また、両方のリストに記載されている 2 件の脆弱性、CVE-2021-34527 (PrintNightmare)CVE-2021-40444 は、Tenable の Threat Landscape Retrospectiveで 2021 年の上位 5 の脆弱性に含まれていました。これらの脆弱性は公開されて以来、さまざまな攻撃者により継続的に悪用されています。攻撃者が悪用を継続しているということは、企業がこれらの脆弱性を修正せずに放置していることを示しています。PrintNightmare が発見されてから 1 年の間に Microsoft が Print Spooler の弱点に対するパッチを非常に多数発行したことを考えると、これは特に懸念すべきことです。

優先順位を決定する際には、常に複数のデータポイントを考慮することが重要です。このマルウェアに関する勧告に関連する脆弱性の大半は、2021 年に最も頻繁に悪用された脆弱性ではありませんが、これらを修正することは既知の侵入経路を削減し、セキュリティリスクを軽減する重要な手段です。

影響を受けているシステムの特定

これらの脆弱性を識別する Tenable プラグインのリストはこちらからご覧ください。このリンクは検索フィルターを使用して、本ブログ記事で参照されている脆弱性に一致するすべてのプラグインを表示します。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

Promotional pricing extended until December 31st.
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加