ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始

今回は「ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Palo Alto Networksによると、それまで非公表だったゼロデイ脆弱性が公表されてから攻撃者がその脆弱性を悪用し始めるまでの時間が短くなっているという。

 Palo Alto Networksは、インシデント対応(IR)事例600件以上を取り上げた2022年のレポートの中で、攻撃者は通常、CVEが公表されてから15分以内に脆弱性のスキャンを開始すると警告している。

 これらの事例で悪用された脆弱性には、「Microsoft Exchange Server」の「ProxyShell」および「ProxyLogon」の脆弱性や、悪用が続く「Apache Log4j」の脆弱性「Log4Shell」、「SonicWall」のゼロデイ脆弱性、Zohoの「ManageEngine ADSelfService Plus」の脆弱性など、2021年に報告された極めて重大な脆弱性が含まれている。

 Palo Alto Networksは、「2022 Incident Response Report」で次のように述べている。「新たな脆弱性が公開されるたび、当社の脅威インテリジェンスチームは、脆弱なシステムのスキャンが広く行われる様子を観測している」

 影響を受けるデバイスを探し出そうとして、公表後すぐに攻撃者がインターネットをスキャンした脆弱性の例として、同社はF5 Networksのソフトウェア「Big-IP」に存在する重大な脆弱性を挙げた。この脆弱性については、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が5月に、増える一方の「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)に追加した。Palo Alto Networksは、この脆弱性のシグネチャーが公表されてから10時間以内に2552件のスキャンを確認したという。

 フィッシングは依然として、初期アクセスに用いられる最大の手法であり、IR事例の37%を占めるが、それに対してソフトウェアの脆弱性は31%、総当たりによるクレデンシャル攻撃(パスワードスプレー攻撃など)は9%だった。より事例が少ないカテゴリーには、以前に流出した認証情報(6%)、内部脅威(5%)、ソーシャルエンジニアリング(5%)、信頼関係の悪用・信頼されたツールの悪用(4%)などがある。

 初期アクセスのソースであることが確認された脆弱性の87%以上は、6つのCVEカテゴリーのいずれかに分類された。

 初期アクセスに最も多く悪用された脆弱性は、Exchange ServerのProxyShellの脆弱性で、対応事例の55%を占めた。Microsoftは2021年初め、ProxyShellおよびそれに関連するProxyLogonの脆弱性に対するパッチを急いで公開したが、ランサムウェア「Hive」を使うハッカーなど、いくつかの脅威アクターの主要な標的になった。

 Log4jだけでPalo Alto Networksの対応事例の14%を占め、SonicWallの脆弱性(7%)、ProxyLogon(5%)、ZohoのManageEngine(4%)、「FortiNet」(3%)がそれに続いた。その他の脆弱性が残りの13%を占めている。

 ランサムウェアが絡むIR事例だけを見ると、22%が、情報をリークすることが多い「Conti」グループで、「LockBit 2.0」(14%)がそれに続いた。残りのランサムウェアグループは、それぞれ事例の10%未満で、Hive、「Dharma」「PYSA」「Phobos」「ALPHV/BlackCat」「REvil」「BlackMatter」などがある。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Apple M1搭載新24インチiMacは8コアCPU/7コアGPU版が15万4800円、8コアCPU/8コアGPU版が17万7800円
ハードウェア
2021-04-22 10:23
FTC、「修理する権利」制限に対する法的処置強化の政策声明
企業・業界動向
2021-07-23 16:27
ROXXの月額制リファレンスチェックサービス「back check」が新機能コンプライアンスチェックを提供開始
HRテック
2021-08-05 19:51
M1搭載の薄い「iMac」登場 Touch ID付きMagic Keyboardも
企業・業界動向
2021-04-22 18:29
Oculus Questストア、サブスクリプション制を導入
アプリ・Web
2021-04-17 19:26
あと払いサービスのPaidy、脆弱性管理ツール「Snyk」導入–脆弱性の平均修理時間73%減
IT関連
2022-03-23 23:47
GitHub、プロフィール欄に「Achievements」(実績)を示す各種バッジの表示をスタート
GitHub
2022-06-14 09:20
クラウドインフラ支出、2021年第3四半期は6.6%増–IDC
IT関連
2022-01-25 05:27
クリエイターの収益化を可能にする「リンクインバイオ」ホームページビルダーのBeaconsが6.5億円調達
ネットサービス
2021-05-26 20:10
今そこにある 分業制「サイバー脅迫エコノミー」 企業を狙うマルウェア、脆弱性の放置は格好の標的に :この頃、セキュリティ界隈で
セキュリティ
2021-06-08 07:37
マイクロソフト、組織再編で1.5万人規模の"デジタル変革プラットフォーム"部門立ち上げか
IT関連
2021-03-22 18:44
アドビやfreeeが「クラウド型電子署名」の業界団体 デジタル庁とも連携
企業・業界動向
2021-08-17 13:19
「動物のお医者さん」など電子版コミックが半額に 白泉社「愛蔵版フェア」
くらテク
2021-08-13 08:11
楽天モバイル、回線エリアの人口カバー率90%を達成も目標未達 理由は半導体不足
企業・業界動向
2021-08-12 00:33