Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

2021 年の最も注目すべき脆弱性と上位に入らなかった脆弱性

Tenable が編纂した「脅威状況のまとめ (2021 年)」では、2021 年に発見された最も注目すべき脆弱性 5 件が詳しく解説されています。本稿では、そこで取り上げられなかった他の影響度の高い脆弱性について詳細を探ります。

「脅威状況のまとめ (2021年)」では、数多くの脅威の中からセキュリティレスポンスチームが 2021 年の脆弱性トップ 5 を選出しました。

このブログ記事では、選出プロセスについて見ていきます。また、選択基準やトップ 5 に入らなかった影響度の高い脆弱性についても解説します。

本記事は、サイバーセキュリティ専門家が脅威状況を継続的に分析できるよう支援する Tenable の「脅威状況のまとめ (2021)」(以下、TLR2021) を補完するものです。TLR2021 には、深刻度の高い脆弱性や注目度の高いセキュリティインシデントに対する政府、ベンダー、研究者によるアドバイスが含まれています。

2021 年脆弱性トップ 5 の選出方法

「脅威状況のまとめ (2020 年)」を編纂したときには、脆弱性トップ 5 の個別の CVE を選出することが比較的簡単でした。実際、2020 年のトップ 5 の CVE の大半は、2021 年でも引き続き企業に影響を与えており、その内の 1 つである CVE-2020-1472 (Zerologon) は、 2021 年でも引き続きトップ 5 に入っています。

一方、2021 年では、一連の脆弱性が集まってクラスタとしてセキュリティ脅威を形成しています。そのため、クラスタから「代表的な」CVE を選択しました。これらは、2021 年に頻繁に攻撃対象となった種類の脆弱性や特定の製品で発見された脆弱性です。たとえば、TLR2021 では Microsoft Exchange Server の 8 件の脆弱性が記載されていますが、ProxyLogon と名付けられた CVE-2021-26855 は、広範なエクスプロイトを可能にした最初の脆弱性であり、現在でも悪用されています。

次に脆弱性トップ 5 の重要な選出基準である長期的影響について見ていきます。お気づきかもしれませんが、CVE-2021-44228 (Log4Shell) はトップ 5 に入っていません。これは、Log4j 2.0 の脆弱性の長期的な影響がまだ明らかになっていないからです。今後、これらの脆弱性は引き続き悪用されるかもしれませんが、TLR2021 発行時では長期的な影響が不明でした。私たちの分析では、長期的な脆弱性が企業にとって最大のリスクであることが確認されています。

ゼロデイ脆弱性は、一般的に開示されてレガシーのステータスに移行した後に問題となる傾向があります。

脆弱性トップ 5 の重要な選出基準をまとめると、次のとおりです。

  1. 頻繁に攻撃者から標的にされた製品における代表的な脆弱性
  2. 継続的で広範囲な攻撃につながる脆弱性
  3. 価値の高い資産を標的とした攻撃チェーンを可能にする脆弱性
  4. 汎用性の製品やプロトコルを攻撃する脆弱性

次に、トップ 5 に入らなかった脆弱性をこれらの基準に照らして確認してみましょう。

CVE 説明 CVSSv3 スコア Tenable VPR*
CVE-2021-26855 Microsoft Exchange Server のリモートコード実行可能な脆弱性 9.8 9.9
CVE-2021-34527 Windows Print Spooler のリモートコード実行可能な脆弱性 8.8 9.8
CVE-2021-21985 VMware Vsphere のリモートコード実行可能な脆弱性 9.8 9.4
CVE-2021-22893 Pulse Connect Secure の認証バイパスの脆弱性 10 10.0
CVE-2020-1472 Windows Netlogon のプロトコルの実装における権限昇格の脆弱性 10 10.0
CVE-2021-20016 SonicWall SMA の SQL インジェクション 9.8 9.7
CVE-2021-40444 Windows MSHTML のリモートコード実行可能な脆弱性 7.8 9.9
CVE-2021-30116 Kaseya VSA のクレデンシャルエクスポージャー 9.8 9.7
CVE-2021-36942 Windows LSA のなりすましの脆弱性 5.3 5.0
CVE-2021-27101 Accellion FTA の SQL インジェクション 9.8 9.0

*なお、Tenable の VPR スコアは、毎日、夜間に計算されます。VPR は、本記事公開時 (2022 年 3 月 13 日) の時点のスコアを反映しています。

CVE-2021-20016: SonicWall SMA のゼロデイ脆弱性

2021 年 1 月、SonicWall は、内部システムが攻撃者により侵害されたことを公表し、2 月には、Secure Mobile Access (SMA) SSL VPN のゼロデイ脆弱性である CVE-2021-20016 について勧告しました。NCC Group により発見された CVE-2021-20016 は、SQL インジェクションの脆弱性であり、この脆弱性を悪用すると認証されていないリモートの攻撃者はログイン資格情報とセッション情報にアクセスできるようになります。

CVE-2021-20016 を悪用する攻撃は、Mandiant によると FiveHands と呼ばれるランサムウェアに関連付けられていますが、NCC Group は、SonicWall の最初の公表直後、パッチが利用可能になる前に「無差別の悪用の兆候」も確認しています。NCC Group は、新たな攻撃に悪用されるリスクを抑えるために CVE-2021-20016 に関する重要な詳細や概念実証 (PoC) をリリースしていません。

トップ 5 に選出されなかった理由

CVE-2021-20016 は、選出基準の多くを満たしますが、トップ 5 の脆弱性と比べて影響度が低かったため、トップ 5 に入りませんでした。おそらく、PoC が公開されていないため、ProxyLogon、PrintNightmare、SSL VPN の他の脆弱性などのような大規模な攻撃はなく、そのため、Pulse Connect Secure の脆弱性が、VPN 製品に対するリスクを代表していると見なされました。CVE-2021-22893 がすでにトップ 5 に含まれているので、脅威状況を完全に把握するために、他の種類の事例に関連した脆弱性を入れる必要があると考えました。

CVE-2021-40444: Microsoft MSHTML のゼロデイ脆弱性

CVE-2021-40444 は、MSHTML (Trident) プラットフォームにおけるリモートコード実行の脆弱性です。マイクロソフトは、確認された攻撃に対応して 2021 年 9 月 7 日にこの脆弱性に関する情報を公表しましたが、1 週間後に月例セキュリティ更新プログラムが公開されるまで修正はリリースされず、その間、20 個以上の PoC リポジトリが GitHub で公開されました。この脆弱性を悪用するには、攻撃者はフィッシングなどのソーシャルエンジニアリングを使用して、悪意のある Microsoft Office ドキュメントを開くようにターゲットとなる人をそそのかします。

CVE-2021-40444 は、限定された標的型攻撃で悪用されているゼロデイ脆弱性です。特に、持続的標的型攻撃グループによる標的型サイバースパイ攻撃で引き続き悪用されています。完全なアドバイザリの公開後、マイクロソフトは、「サービスとしてのランサムウェア関連会社を含む複数の攻撃者」が CVE-2021-40444 を悪用していることを確認しました。

RiskIQ は、CVE-2021-40444 を悪用する最初の攻撃が、Ryuk ランサムウェアファミリと共通のインフラを共有していることを発見しましたが、完全に一致していないことが研究者によって指摘されています。

トップ 5 に選出されなかった理由

CVE-2021-40444 を悪用するのはランサムウェアグループだけではありません。この脆弱性を悪用する主な攻撃は標的型で、ユーザーの操作を必要とする特別に調整されたフィッシングルアーを使用します。そのため、この脆弱性の影響範囲が制限され、進行中のフィッシング攻撃で使用されることが予想されますが、Microsoft Exchange の脆弱性と比べて影響度は低いと見なされました。

CVE-2021-30116、CVE-2021-30119、CVE-2021-30120: Kaseya VSA

サイバーセキュリティインシデントは祝日のある週末に発生することが多いと指摘されています。2021 年に発生した事象の中で最も重要なものとして、7 月5 日に Kaseya Limited はリモート監視および管理ソフトウェアである VSA の 3 件のゼロデイ脆弱性が大規模なランサムウェア攻撃で悪用されたことを発表しました。この攻撃は後日、REvil ランサムウェアグループによることが判明しました。

CVE 説明/対策 CVSSv3 Tenable VPR*
CVE-2021-30116 認証情報の不十分な保護に関する脆弱性 9.8 9.7
CVE-2021-30119 クロスサイトスクリプティング 5.4 5.7
CVE-2021-30120 不正な認証に関する脆弱性 7.5 5.1

7 月 4 日は米国独立記念日の祝日ですが、この事件の開示と調査は旋風を巻き起こしました。攻撃は 7 月 2 日に最初に報告され、パッチは 7 月 11 日にリリースされました。

7 月の事件以来、Kaseya 製品における脆弱性が数多く公開されていますが、これらの脆弱性を突いた攻撃は確認されていません。本記事の公開時点では、1 件の脆弱性 (CVE-2021-40386) しか修正されていません。

トップ 5 に選出されなかった理由

この一連の脆弱性は、大きな問題を引き起こしたゼロデイ脆弱性のサブカテゴリに分類されますが、トップ 5 の他の脆弱性で見られたような長期的な影響はありませんでした。Kaseya は、「影響を受けたお客様の割合はごくわずかで、現在、世界中で 40 未満と推定されている」と述べています。興味深いことに、国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁の既知の悪用された脆弱性カタログに追加されているのは CVE-2021-30116 だけです。だからといって、他の 2 つの脆弱性に悪用がないとは断言できませんが、トップ 5 内の他の脆弱性と違うので比較に使える情報です。

PetitPotam (CVE-2021-36942)

PetitPotam は、ここで取り上げられている他の脆弱性と比べて少し変わっています。これは、個別の脆弱性ではなく、NTLM(New Technology LAN Manager) のリレー攻撃です。Gilles Lionel により最初に開示された PetitPotam は、ドメインコントローラに攻撃者が制御するマシンの認証を強制する手法です。開示後まもなく、PoC は LockFile などのランサムウェアグループに悪用されました。当初、マイクロソフトはこの問題を修正せず、NTLM リレー攻撃から保護するために一般的な軽減策オプションを主に提供していました。

CVE-2021-36942 は、この攻撃に関連する脆弱性です。これは、CVSSv3 スコア 7.8 の Windows LSA のなりすましの脆弱性であり、8 月月例セキュリティ更新プログラムで修正されました。ただし、後日の報告では、このパッチが不完全であることが指摘されています。この件では、脆弱性自体がこの攻撃手法の真のリスクを表すものではないことに注意することが重要です。

トップ 5 に選出されなかった理由

PetitPotam は、攻撃者により Zerologon と同様に悪用されていますが、対象となるアタックサーフェスが小さく、悪用はあまりありません。また、PetitPotam に関連した脆弱性には、評価された脆弱性の内、最も低い CVSSv3 スコアが付けられていますが、選出には影響を与えませんでした。また、スコアが 5.3 の脆弱性が、トップ 10 に入ったことも注目に値します。

CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104: Accellion File Transfer Appliance

2020 年の年末から 2021 年の年始にかけて、多くの企業 (Tenable の調査では 40 社以上) が Accellion の File Transfer Appliance (FTA) に存在する 4 件のゼロデイ脆弱性を悪用した攻撃の被害を受けました。

CVE 説明/対策 CVSSv3 Tenable VPR*
CVE-2021-27101 SQL インジェクション 9.8 9.0
CVE-2021-27102 OS コマンドインジェクション 7.8 8.4
CVE-2021-27103 サーバーサイド リクエストフォージェリ 9.8 8.4
CVE-2021-27104 OS コマンドインジェクション 9.8 8.4

公表直後、これらの攻撃の一部は Clop/CL0P と呼ばれるランサムウェアグループとの関連が確認されました。Accellion FTA に関連する攻撃の公表は、2021 年の年始を通して発生し続け、これらのゼロデイ脆弱性は、2021 年前半で最も悪用された脆弱性の 1 つになりました。

トップ 5 に選出されなかった理由

これらの脆弱性は、攻撃を受けた企業には大きな影響を及ぼしましたが、影響は比較的すぐ収束しました。Accellion を悪用する攻撃は、2021 年 1 月にピークに達しましたが、トップ 5 に入った脆弱性のような長期的な影響は見られませんでした。

トップ 5 に入らなかった脆弱性に共通するテーマ

また、トップ 5 に入ったいくつかの脆弱性は、個別の CVE ではなく、脆弱性のクラスタ、またはチェーンの一部として悪用されていることも注目に値します。このような特徴はトップ 5 の選出基準ではありませんでしたが、判断するための重要な要素でした。また、企業に対する長期的なリスクとなる脆弱性だけでなく、独自性のある脆弱性も探しました。Microsoft Exchange Server と Print Spooler における脆弱性からトップ 5 を選出することもできましたが、多くの企業が導入する可能性のある、広範囲な製品に注目することにしました。

また、トップ 5 に入らなかった脆弱性はすべてゼロデイ脆弱性であったのに対し、トップ 5 では最後の 2 件だけがゼロデイ脆弱性でした。今年になってゼロデイ攻撃を悪用する攻撃の増加が見られました (TLR2021 で調査したゼロデイの 83% が実攻撃で確認) が、パッチが適用されていない既知の脆弱性は、引き続き攻撃者に最も頻繁に悪用されています。

被害を受けた企業にとってこれらの脆弱性の影響は深刻でしたが、脆弱性の影響範囲は広範ではありませんでした。攻撃者は、多数の脆弱性を悪用できますが、トップ 5 の脆弱性は、より多くの攻撃で悪用された脆弱性です。脆弱性の影響範囲にかかわらず、本記事に記載されている脆弱性が存在する場合は、直ちに影響を受ける資産を特定し、修正対策を計画する必要があります。

影響を受けているシステムの特定

Tenable は、Tenable.io、Tenable.sc、および Nessus Professional のスキャンテンプレートをリリースしました。これらのテンプレートは、本記事で解説されている脆弱性を迅速に検出できるように事前構成されています。また、Tenable.io のお客様には、新しいダッシュボードと新しいウィジェットがライブラリで提供されています。Tenable.sc のユーザーにも、「脅威状況のまとめ (2021)」の内容に沿った新しいダッシュボードが提供されています。

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

キャンペーン価格が 2 月 28 日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加