2021 年マルウェア上位リストに関連する脆弱性の分析

国際的なサイバーセキュリティ機関は、2021 年に観測された上位のマルウェアの種類について説明する共同サイバーセキュリティアドバイザリ (CSA) を発表しました。本記事では、関連する脆弱性について解説します。

背景

8 月 4 日、アメリカ合衆国サイバーセキュリティ社会基盤安全保障庁 (CISA) と豪州サイバーセキュリティセンター(ACSC) は、2021 年に観測された上位のマルウェアの詳細について説明する共同サイバーセキュリティアドバイザリ (CSA) を発表しました。この勧告によると、上位のマルウェア種のほとんどは、5 年以上にわたって悪用されており、それぞれ複数のバリエーションに進化しています。

マルウェアはさまざまな目的で悪用されますが、政府機関はランサムウェアが主な使用例であると指摘しています。

分析

一般的にマルウェアは、フィッシングメッセージ、悪意のあるドキュメントや ウェブサイトで配布されます。多くの場合、まだパッチが適用されていない脆弱性を突いて権限を昇格させ、ターゲット環境を探索してコードを実行します。Tenable では、各種のマルウェアに関するレポートを分析し、それらに関連する脆弱性を特定しました。マルウェアにより悪用される脆弱性の完全なリストではありませんが、最も一般的なマルウェアの種類による攻撃経路を遮断する第一歩ために役立ちます。

また、このリストに基づき、マルウェアで悪用される脆弱性に関するいくつかの重要事項を特定しました。

*注: Tenable の Vulnerability Priority Rating (VPR) スコアは毎晩計算されます。VPR は、本ブログ記事公開時 (8 月 4 日) のスコアです。

出典:Tenable リサーチ、2022/8

最も注目すべき点は、発見された 17 件の脆弱性のうち 14 件がマイクロソフト製品に含まれていることです。脆弱性のうち 9 件はコード実行の脆弱性で、5 件はメモリ破損の脆弱性です。他の攻撃に悪用される脆弱性の種類の多さと比べて、権限昇格の脆弱性が 1 件しかないことは興味深いことです。

Microsoft Office におけるメモリ破損によるリモートコード実行の脆弱性、CVE-2017-11882 は、興味深いケースです。この脆弱性はマルウェア (本勧告に記載されている 11 種のうちの 6 種と Emotet を含む) によって広く悪用されていることが確認されています。CVE-2017-11882 は、マルウェア拡散に使われる最も一般的な配信方法として Cofense が 2019 年に特定したもので、さらに、2020 年と 2021 年には複数の政府のサイバーセキュリティ機関により、日常的に悪用される脆弱性として特定されています。

CVE-2017-11882 は、Trickbot や Qakbot などのさまざまなマルウェアで悪用されていることが頻繁に確認されています。この 2 つは第 1 段階のマルウェアで、さまざまなランサムウェアを含む可能性のある二次および三次マルウェアをダウンロードします。つまり、CVE-2017-11882、CVE-2017-0199、CVE-2021-40444 などの脆弱性は、攻撃者が標的のネットワークへの初期アクセスを取得する手段にすぎません。

ランサムウェアのアフィリエイトや IAB が使用する脆弱性

この共同勧告と関連のあるいくつかの脆弱性は、初期アクセスブローカー (IAB) やランサムウェアアフィリエイトなどのランサムウェアエコシステムの主要なプレーヤーによって悪用されており、ランサムウェアをデプロイするための第 1 段階のマルウェアの一部としても悪用されています。

Microsoft Windows Background Intelligent Transfer Service の権限昇格の脆弱性である CVE-2020-0787 は、LockBit ランサムウェアグループやアフィリエイトにより悪用されていることが確認されています。CVE-2021-34527 は、PrintNightmare と呼ばれる Windows Print Spooler サービスの権限昇格の脆弱性で、Vice Society、Conti、Magniber、Black Basta などの複数のランサムウェアグループが悪用しています。一旦、攻撃者が限られた権限で脆弱なシステムにアクセスしてしまうと、権限昇格の脆弱性はその後の悪意のある活動の重要なツールとしての役割があります。

Microsoft MSHTML のリモートコード実行の脆弱性である CVE-2021-40444 は、Conti ランサムウェアグループと直接連携する IAB である EXOTIC LILY によって悪用されました。IAB は、企業環境への初期アクセスを取得し、ランサムウェアアフィリエイトを含むさまざまな攻撃者にアクセスを販売することを専門としており、頻繁ではありませんが Conti などのランサムウェアグループと直接提携することもあります。ランサムウェアエコシステムレポートには、IAB、アフィリエイト、ランサムウェアグループについて詳しい解説があり、また、悪用されている既知の脆弱性リストも記載されています。

CVE-2022-30190 (Follina) の悪用

特定された脆弱性の大半は少なくとも 2 年前のものであり、実績のあるものを使い続けるという、攻撃者の攻撃テクニックに対するアプローチを表しています。7 年前から知られている脆弱性がまだ悪用可能なら、あえて新しい脆弱性を突いた攻撃を試してみる必要はありません。

この傾向と異なるのは、4 月に実際の攻撃に使用され、5 月にゼロデイ脆弱性として公開された、Follina (CVE-2022-30190) で、公開するやいなや、マルウェア (特に Qakbot と Remco) で悪用されています。サイバー犯罪者は、CVE-2017-11882 などの以前から使い慣れている脆弱性を頼りにしますが、特に公開されている概念実証コードがある場合は、新しい脆弱性を悪用することもあります。

上位のマルウェアは、2021 年に悪用された上位の脆弱性を悪用する

4 月に、アメリカ合衆国サイバーセキュリティ社会基盤安全保障庁 (CISA)、国家安全保障局 (NSA)、連邦捜査局 (FBI)、豪州サイバーセキュリティセンター (ACSC)、カナダ・サイバーセキュリティセンター、ニュージーランド国家サイバーセキュリティセンター、および英国国家サイバーセキュリティセンターが共同で、2021 年に日常的に悪用された脆弱性を公表しました。この報告では、攻撃者により日常的に悪用される 36 件の脆弱性が強調されています。そのうちの 4 件は、上述の最新の勧告に関連するマルウェアにも含まれ、そのうちの 2 件は、勧告の対象期間後に公表されたものでした。

また、両方のリストに記載されている 2 件の脆弱性、CVE-2021-34527 (PrintNightmare) と CVE-2021-40444 は、Tenable の Threat Landscape Retrospectiveで 2021 年の上位 5 の脆弱性に含まれていました。これらの脆弱性は公開されて以来、さまざまな攻撃者により継続的に悪用されています。攻撃者が悪用を継続しているということは、企業がこれらの脆弱性を修正せずに放置していることを示しています。PrintNightmare が発見されてから 1 年の間に Microsoft が Print Spooler の弱点に対するパッチを非常に多数発行したことを考えると、これは特に懸念すべきことです。

優先順位を決定する際には、常に複数のデータポイントを考慮することが重要です。このマルウェアに関する勧告に関連する脆弱性の大半は、2021 年に最も頻繁に悪用された脆弱性ではありませんが、これらを修正することは既知の侵入経路を削減し、セキュリティリスクを軽減する重要な手段です。

影響を受けているシステムの特定

これらの脆弱性を識別する Tenable プラグインのリストはこちらからご覧ください。このリンクは検索フィルターを使用して、本ブログ記事で参照されている脆弱性に一致するすべてのプラグインを表示します。

詳細情報

• 共同サイバーセキュリティアドバイザリ A22-216A
• AA22-117A: 2021 年に日常的に悪用された上位の脆弱性 (2021 Top Routinely Exploited Vulnerabilities)
• Tenable のランサムウェアエコシステムのレポート

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。