政府機関が警告 : 国家レベルのアクターが公開されている既知の脆弱性を悪用している (日本語)
ロシアと中国の支援を受けているアクターが、公開されている既知の脆弱性を攻撃に利用しています。利用されている脆弱性は共通で複数あり、どれもすでにパッチが利用可能なものです。
10 月 20 日付で NSA が詳細なセキュリティアドバイザリを発行し、中国政府の支援を受けている「サイバーアクター」が既知の脆弱性を悪用していることを発表しました。セキュリティ担当者にパッチの適用と被害の緩和に向けた対応を早急に行うことを促し、さらに、外部のウェブサービスやリモートアクセスツールなどインターネットとインターフェースがあるアセットが、今回の主な標的であることを指摘しています。
2 日後、CISA が FBI と共同のサイバーセキュリティアドバイザリを発行し、ロシアの国家支援のもとに APT のアクターが、5 つの公開されている脆弱性を攻撃に利用していることを発表しました。このうち、3 つの脆弱性は、NSA のアラートにも含まれていました。
NSA のアラートは、主に米国のセキュリティシステムに着目したものでしたが、最後に次のような広範囲な警告が記載されています。「本警告で言及している情報は、これらの業種外にあるさまざまなシステムやネットワークにも影響を与える可能性があるので、NSAとしては、上記のCVEを優先して行動をとることをすべてのネットワークの防御担当者に推奨する」
これらのアドバイザリで言及されている脆弱性は、ここ 1 年間でCISA が発表した同様のアラートの内容と一致し、そのすべてに利用可能なパッチがあります。
今までのアドバイザリ
今年になって、政府機関は、脅威アクターがパッチが利用可能な既知脆弱性を悪用しているという内容のアラートを数多く発表しています。今回のアラートがその最新のものです。警告に含まれている脆弱性のうち、2 つは、NSA の CVE-2020-19781 と CVE-2019-11510 で報告され、CISA の もっとも定常的に悪用されている脆弱性のトップ 10 件に関する警告で 2020 年で最も悪用されている脆弱性として特定されました。それ以前、10 月には、CISA は FBI と協力して、APT 活動に関する共同アドバイザリを発行し、CVE-2020-1472 「Zerologon」を含む数個の脆弱性の悪用について警告しました。この共同アドバイザリに記載されている脆弱性の内、数個が今回の NSA アラートにも含まれています。
パッチと緩和策
NSA のアラートには、一般的な緩和手段として、6 つのステップが記載されています。筆頭は、タイムリーなパッチ適用とアップデートです。
- システムと製品を最新のバージョンで維持し、パッチがリリースされた時にはなるべく早く適用する
- パッチ適用以前に盗まれたり改ざんされたりしたデータ (資格情報、アカウント、ソフトウェアなど) はパッチによって修復されないので、パスワードの変更、アカウントのリビューの徹底などが良いプラクティスである
- 外部からの管理ができないようにし、帯域外の管理ネットワークを設定する
- ネットワークの端にある、陳腐化したプロトコルや不使用なプロトコルをブロックして、デバイス構成で無効にする
- ネットワーク内のサービスでインターネットと接続するものを遮断して DMZ に入れ、ネットワーク内部の露呈を削減する
- インターネットに接続するサービスのロギングを徹底的に実行し、記録から侵害の兆候などを監視する
政府機関がこのように一連の警告を発表していることは、これらの脆弱性に対するパッチを迅速に完全に適用することの重要性を十二分に示唆しています。さまざまなレベルのスキルのある脅威アクターは、これらの脆弱性をさまざまな標的にむけた攻撃に活発に利用しています。対象となるデバイスのパッチが適用されない限り、これらの標的は攻撃の対象から外されません。
Tenable のカバレッジ
Tenable の製品は、NSA と CISA/FBI のアラートに含まれている脆弱性 27 件、全部に対してカバレッジがあります。下に、各脆弱性に関連したプラグインと、Tenable Research の分析情報を表にまとめました。
| CVE | 製品 | 公開された日 | プラグインとその他の情報 |
|---|---|---|---|
| CVE-2015-4852 | Oracle WebLogic Server | 2015/11 | プラグイン |
| CVE-2017-6327 | Symantec Messaging Gateway | 2017/8 | プラグイン |
| CVE-2018-6789 | Exim Message Transfer Agent | 2018/2 | プラグイン |
| CVE-2018-4939 | Adobe ColdFusion | 2018/5 | プラグイン |
| CVE-2019-3396 | Atlassian Confluence | 2019/3 | プラグイン | ブログ |
| CVE-2019-0708 | Windows リモートデスクトッププロトコル | 2019/4 | プラグイン | ブログ 1、2、3 |
| CVE-2019-0803 | Windows Win32k | 2019/4 | プラグイン |
| CVE-2019-11510 | Pulse Connect Secure | 2019/4 | プラグイン | ブログ 1、2、3、4 |
| CVE-2019-11580 | Atlassian Crowd | 2019/6 | プラグイン | ブログ |
| CVE-2019-1040 | Windows NTLM | 2019/6 | プラグイン |
| CVE-2019-18935 | ASP.NET 用 Telerik UI | 2019/12 | プラグイン | ブログ |
| CVE-2019-19781 | Citrix Application Delivery Controller (ADC)、Gateway および SDWAN WAN-OP | 2019/12 | プラグイン | ブログ1、2、3、4、5、6 |
| CVE-2020-0601 | Windows CryptoAPI | 2020/1 | プラグイン | ブログ 1、2 |
| CVE-2020-2555 | Oracle Coherence | 2020/1 | プラグイン | ブログ |
| CVE-2020-3118 | Cisco Discovery Protocol | 2020/2 | プラグイン | ブログ |
| CVE-2020-0688 | Microsoft Exchange Server | 2020/2 | プラグイン | ブログ 1、2、3 |
| CVE-2020-8515 | DrayTek Vigor | 2020/2 | プラグイン |
| CVE-2020-10189 | Zoho ManageEngine | 2020/3 | プラグイン | ブログ |
| CVE-2020-5902 | F5 BIG-IP | 2020/7 | プラグイン | ブログ 1、2、3 |
| CVE-2020-15505 | MobileIron MDM | 2020/7 | プラグイン | ブログ |
| CVE-2020-1350 | Windows DNS Server | 2020/7 | プラグイン | ブログ |
| CVE-2020-8193 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-8195 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-8196 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-1472 | Microsoft Netlogon | 2020/8 | プrグイン | ブログ 1 、2、3 |
| CISA/FBI アラート (AA20-296A) に記載された脆弱性 | |||
| CVE-2018-13379 | Fortinet VPN | 2019/5 | プラグイン | ブログ 1、2、3 |
| CVE-2019-10149 | Exim | 2019/6 | プラグイン | ブログ |
詳細情報
- 10/29 に米国時間帯にウェビナーが開催されます。最新の国家支援攻撃に万全の処置を取る(Ramp-Up Your Response to Latest State Sponsored Attacks) 2020/10/29 (木) 東部標準時午後2時
- NSA アラート: Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities (中国政府支援のアクターが既知脆弱性を悪用)
- CISA/FBI アラート (AA20-296A): ロシアの国家支援を受けた高度な持続型脅威アクターが米国を侵害政府機関の標的を侵害)
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
Tenable セキュリティ リスポンスチーム
Tenable セキュリティ リスポンスチーム
Tenable Security Response Team (SRT) は、脅威と脆弱性のインテリジェンスフィードを追跡し、当社のリサーチチームがセンサーカバレッジを一刻も早く製品に提供できるようにしています。SRT はまた、技術的な詳細の分析と評価にも取り組んでおり、ホワイトペーパー、ブログ、その他の文章を書いて、確実にステークホルダーが最新のリスクと脅威を十分に把握できるようにしています。Tenable ブログでは、最新の脆弱性について概要を提供しています。関連記事
Cybersecurity Snapshot: CISA Analyzes Malware Used in SharePoint Attacks, as U.K. Boosts Cyber Assessment Framework
Check out what CISA found after it dissected malware from the latest SharePoint hacks. Plus, the U.K.’s cyber agency is overhauling its cyber framework to keep pace as threats escalate. In addition, CISA is sounding the alarm on a high-severity vulnerability impacting hybrid Exchange environments. A...
Act Now: $100M in FY25 Cyber Grants for SLTTs Available Before August 15
With over $100 million on the table in FY25 cybersecurity grants, state, local and tribal governments have until August 15, 2025 to apply to secure critical cyber funding to strengthen their defenses....
Cybersecurity Snapshot: AI Security Trails AI Usage, Putting Data at Risk, IBM Warns, as OWASP Tackles Agentic AI App Security
Check out fresh insights on AI data security from IBM’s “Cost of a Data Breach Report 2025.” Plus, OWASP issues guide on securing Agentic AI apps. In addition, find out how to protect your org against the Scattered Spider cyber crime group. And get the latest on zero-trust microsegmentation; contain...
- Federal
- Government
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning