スピードを増す脆弱性への攻撃 ~中小企業がなすべき対処は?~

2022年夏、米国のセキュリティ企業から、ランサムウェア攻撃のほぼ半数は、企業ネットワークに侵入する起点としてソフトウェアの脆弱性を狙うこと、そして新しい脆弱性が公表されると、攻撃者は概ね15分以内に脆弱性の詳細と、悪用できそうな機器の調査を始めるという内容のレポートが発表されました。

その後、国内の警察庁やIPA(情報処理推進機構)などの省庁、業界団体が発表する調査結果も見る限り、ランサムウェア攻撃の発端として、脆弱性が悪用されるケースが多い点に変化はありません。その一方、攻撃の高速化に関しては、15分程度とされた調査開始までの時間に加えて、実際に攻撃が観測されるまでの時間も短縮されてきたようです。

脆弱性の管理は、セキュリティ対策の基本行動の一つですが、企業の規模、システムの形態、組織における管理者の役割などによって、いろいろな視点と実践方法があります。今回は中小企業の担当者を主な対象として、攻撃手法の変化も意識した対策を考えてみましょう。

まず脆弱性管理の現状を簡単に復習しておきます。

世界各国から日々報告が上がる脆弱性は、データベースで一元管理されています。よく知られているのは「CVE」という共通脆弱性識別子と、米国の「NVD」、国内ではJPCERT/CCとIPAが共同で運営する「JVM」。

JPCERT/CCなどの管理組織では、CVEの共通の識別子を元に、それぞれの脆弱性に対する評価を行って情報発信しています。なお、JPCERT/CCは、国内で報告された脆弱性にCVEを割り振る認定を得ていますが、必ずしもすべての脆弱性にCVEが付くわけではありません。

-CVE(Common Vulnerabilities and Exposures)
-NVD(National Vulnerability Database)
-JVM(Japan Vulnerability Notes)
-JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)

脆弱性に対する攻撃がスピードアップした話に戻ると、理由の一つとして情報源の存在と活用方法が攻撃側にも浸透した点が挙げられます。もちろん、攻撃者は脆弱性DBを熟知していますが、ここ数年、ランサムウェアに代表されるサイバー攻撃の影響が社会に周知されるに伴い、大量の“新規参入”を産み出しました。

現在はサイバー攻撃の初心者でも、実行に移すための知識の会得には困りません。“攻撃キットの商用化”も進み、ダークウェブにアクセスすれば、脆弱性DBの活用法をはじめ、脆弱性が残るサイトのリスト、攻撃コードの作り方、そして攻撃ツールの完成品も入手できるのです。

一般のビジネス社会と同様、攻撃側の情報活用の技術も進歩し、攻撃者のすそ野も拡がりました。総体的な攻撃力のレベルアップを体現した側面の一つとして、脆弱性情報の入手から行動に移すまでの時間の短縮があると考えていいでしょう。

時間短縮を示す一例として、米国製ネットワーク製品の脆弱性公表に伴う動きがあります。

2024年4月、米国時間の金曜日に脆弱性がNVDに登録され、JPCERT/CCでは日本時間の土曜のうちに注意喚起を出しました。日本企業は週明けの対応では間に合わないリスクがあったためですが、実際にNVDに登録された翌々日には国内でも複数の攻撃が観測されています。

脆弱性が発表されても、攻撃が広範囲に及ぶケースは少ないため、通常はもう少し状況を観測してから注意喚起が行われます。この一件のようなタイミングは稀ですが、過去に注意喚起の遅れで被害が拡がった実例があったことに加えて、攻撃までの時間が年々短縮している傾向も加味したとされています。

2024年4月の一件はレアケースとしても、脆弱性は日々報告され、攻撃者はすぐにスキャンを始めるという現実があります。攻撃側から見ると、企業の国や拠点、規模、業種は関係ありません。パッチ(修正プログラム)の適用をせずに脆弱性を放置している企業は、高い確率で攻撃者の視界に入ると考えた方がいいでしょう。

日本企業のパッチ適用率は、先進諸国の中でも低いことが複数の調査で指摘されています。特に中小企業の場合、脆弱性情報を把握する体制の不備、管理する人員の不足、システムの安定稼働を優先する傾向が強いなどの要因が挙げられていますが、近年の攻撃の変化を加味すると、管理体制を強化していく必要があるのです。

中小企業にとって、最初の関門は脆弱性の数でしょう。米国のNVDに報告される脆弱性は年々増加を続け2023年は約28,000件。2024年は30,000件に届くと見込まれます。日本のJVNの場合、調査期間によって差はありますが、平年すると毎日数十件の新規登録があり、近年は年間6,000~8,000件程度の規模で推移しています。

これだけの報告が上がる中ですが、人手不足の中小企業は脆弱性管理だけにリソースを割くわけにはいきません。効率化のステップはまず脆弱性の見極めです。判別する指針として、危険度を0~10.0のレベルで示す「CVSS」がよく知られていますので、まずはこれをベースにするといいでしょう。


-CVSS(Common Vulnerability Scoring System)

危険度を示すCVSSのランクですが、実は攻撃の頻度とは必ずしも一致しません。危険度は高くとも攻撃者によっては難易度が高い脆弱性もあり、企業が優先的にガードを固めるハイリスクの脆弱性は避け、ワンランク下の危険度や既知でも対応が遅れがちな脆弱性を狙うような動きもしてくるからです。

そこでCVSSだけに頼らず、実際に被害が発生している脆弱性のリストを開示する「KEV」というDBの参照も推奨されています。

-KVE(Known Exploited Vulnerabilities:米国のCISAという組織が運営する脆弱性DB)

CVSSやKVEを参照してパッチ適用を進める段階でも、優先順位を決めることが効率化のポイントです。自社のIT資産と危険度を照合し、優先的に対応する脆弱性以外は、“定期的なメンテナンス時に対応”、“危険度が上がった時点で考慮”などの判断をします。

IT資産の中で、特に見落としてはならないのは、ランサムウェアの侵入経路の半数程度を占めるVPNの脆弱性です。また組織内のアカウント情報を一元管理するActive Directoryは、脆弱性の報告は少ないのですが、ADと連動する通信ソフトなどに脆弱性がときどき見つかります。悪用されると管理者IDを乗っ取られる可用性もゼロではないので、導入企業はADに関連する情報もチェックリストに加えた方がいいでしょう。

サイバー攻撃で実害を受けた経験がない中小企業の場合、脆弱性が見つかってもシステムの運用に影響がなければ、対応は後回しになりがちですが、放置された脆弱性は高い確率で攻撃者のスキャンにかかってしまいます。攻撃がスピードアップしている現実も加味し、特に危険度が高いIT資産を見極める力と、早期にパッチ適用する手順を点検・整備してください。