ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始

今回は「ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Palo Alto Networksによると、それまで非公表だったゼロデイ脆弱性が公表されてから攻撃者がその脆弱性を悪用し始めるまでの時間が短くなっているという。

　Palo Alto Networksは、インシデント対応（IR）事例600件以上を取り上げた2022年のレポートの中で、攻撃者は通常、CVEが公表されてから15分以内に脆弱性のスキャンを開始すると警告している。

　これらの事例で悪用された脆弱性には、「Microsoft Exchange Server」の「ProxyShell」および「ProxyLogon」の脆弱性や、悪用が続く「Apache Log4j」の脆弱性「Log4Shell」、「SonicWall」のゼロデイ脆弱性、Zohoの「ManageEngine ADSelfService Plus」の脆弱性など、2021年に報告された極めて重大な脆弱性が含まれている。

　Palo Alto Networksは、「2022 Incident Response Report」で次のように述べている。「新たな脆弱性が公開されるたび、当社の脅威インテリジェンスチームは、脆弱なシステムのスキャンが広く行われる様子を観測している」

　影響を受けるデバイスを探し出そうとして、公表後すぐに攻撃者がインターネットをスキャンした脆弱性の例として、同社はF5 Networksのソフトウェア「Big-IP」に存在する重大な脆弱性を挙げた。この脆弱性については、米サイバーセキュリティ・インフラセキュリティ庁（CISA）が5月に、増える一方の「Known Exploited Vulnerabilities Catalog」（既知の悪用された脆弱性カタログ）に追加した。Palo Alto Networksは、この脆弱性のシグネチャーが公表されてから10時間以内に2552件のスキャンを確認したという。

　フィッシングは依然として、初期アクセスに用いられる最大の手法であり、IR事例の37％を占めるが、それに対してソフトウェアの脆弱性は31％、総当たりによるクレデンシャル攻撃（パスワードスプレー攻撃など）は9％だった。より事例が少ないカテゴリーには、以前に流出した認証情報（6%）、内部脅威（5％）、ソーシャルエンジニアリング（5％）、信頼関係の悪用・信頼されたツールの悪用（4％）などがある。

　初期アクセスのソースであることが確認された脆弱性の87％以上は、6つのCVEカテゴリーのいずれかに分類された。

　初期アクセスに最も多く悪用された脆弱性は、Exchange ServerのProxyShellの脆弱性で、対応事例の55％を占めた。Microsoftは2021年初め、ProxyShellおよびそれに関連するProxyLogonの脆弱性に対するパッチを急いで公開したが、ランサムウェア「Hive」を使うハッカーなど、いくつかの脅威アクターの主要な標的になった。

　Log4jだけでPalo Alto Networksの対応事例の14％を占め、SonicWallの脆弱性（7％）、ProxyLogon（5％）、ZohoのManageEngine（4％）、「FortiNet」（3％）がそれに続いた。その他の脆弱性が残りの13％を占めている。

　ランサムウェアが絡むIR事例だけを見ると、22％が、情報をリークすることが多い「Conti」グループで、「LockBit 2.0」（14％）がそれに続いた。残りのランサムウェアグループは、それぞれ事例の10％未満で、Hive、「Dharma」「PYSA」「Phobos」「ALPHV/BlackCat」「REvil」「BlackMatter」などがある。