悪用された脆弱性の傾向分析
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
はじめに
近年、脆弱性の件数は右肩上がりに増加しており、直近10年間で見ると共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)発行件数は2015年が6,472件であったのに対して、2024年には34,553件と5倍以上に増加しています。対応すべき脆弱性が多すぎる故に既存の脆弱性管理プロセスでは運用が回らないケースが増えており、各組織では脆弱性管理プロセスにおける判断基準の見直しを行うケースが増えています。本稿では、脆弱性管理プロセスにおける判断基準として新たに活用できる指標がないかを探るため、直近2年間でCVEが発行された脆弱性のうち、実際に悪用が確認された脆弱性に対して一定の傾向が存在しないか分析を行った結果について解説します。
分析における前提条件
分析の対象は以下のとおり設定しています。
- 2023年1月~2025年1月の間にMITRE CVE Websiteに登録が行われた脆弱性であること
- 米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)が提供するKEV(Known Exploited Vulnerabilities Catalog)に掲載された脆弱性またはPwCが独自に悪用を観測した脆弱性であること
本分析では、上記の条件に合致する脆弱性568件(KEV:480件、PwC独自観測:88件)を対象としています。
分析における仮説
本分析を行うにあたり、下記の4つの観点に対して仮説検証を行っています。
- 悪用されやすいソフトウェアの種類が存在する
- 悪用される脆弱性の共通脆弱性評価システム(Common Vulnerability Scoring System: CVSS)の基本評価基準には一定の傾向が存在する
- 悪用されやすい脆弱性の攻撃手法(Exploitation Technique※)が存在する
※Exploitation Techniqueについては後述 - 悪用されやすい脆弱性の種別(CWE:Common Weakness Enumeration)が存在する
次節以降で観点ごとに分析を実施した結果について解説します。
分析観点1.ソフトウェア種別の傾向
最初に脆弱性が悪用されたソフトウェアをその性質に応じて独自の観点で約50種別に分類を行い、ソフトウェアの種別に傾向があるかを確認しました。分析結果は図表1のとおりとなります。なお、以下のグラフでは上位10種別までを記載し、それ以外はその他として分類を行っています。
図表1:悪用されたソフトウェアの分類
分類の結果、最も悪用されたソフトウェア種別は、VPN機器やファイアウォールなど、ネットワーク機器のOSでした。これは主にネットワーク機器がその性質上インターネットへの公開が必要なことから、ランサムウェアの感染経路として最も利用されやすいものであり、攻撃者が積極的に脆弱性の悪用にリソースを費やしているためと考えられます。総務省が2022年に公表した「サイバーセキュリティ戦略に基づく総務省の取組」や警察庁が2023年に公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」においても、ランサムウェアの感染経路としてVPN機器が最も利用されたと報告されています。
次いで、悪用が行われたソフトウェア種別はクライアントやサーバーのOSです。これらのOSは世界的に普及が進んでいること、また定期的に脆弱性の悪用可能性を証明するためのPoC(Proof of Concept)コードが公開されており悪用を試みやすいことが要因として考えられます。
また、ファイル共有ソフトウェアも悪用が多く確認されています。White Austaras(通称:TA505)と呼ばれる脅威アクターグループが利用すると考えられるCl0pというランサムウェアが、2023年頃から複数のファイル転送サービスの脆弱性を悪用していたことが要因と考えられます。
上記のとおり、今回の分析では上位10%のソフトウェア種別が悪用された脆弱性の約半数を占めるという結果が得られました。
分析観点2.CVSS基本評価基準の傾向
次に悪用された脆弱性のCVSSv3の基本評価基準の傾向について、米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNVD(National Vulnerability Database)で公表されているスコアを基に分析を行いました。ただし、悪用された脆弱性568件のうち、4件についてはNVD上でスコアのデータが存在していなかったため、564件を対象に分析を行っています。
基本評価基準の各項目における値は図表2のとおりでした。
図表2:基本評価基準別の脆弱性件数
全体的な傾向としては、ネットワーク経由で攻撃が可能かつ、攻撃元条件の複雑さや必要な特権レベルが低いものなど、攻撃者から見て攻撃が実行しやすいものかつ、機密性・完全性・可用性への影響が大きいものが多く悪用されていることが分かります。これは、図にも示したとおりCVSSスコアに対する影響があり、CVSSスコアが高く評価されます。このことから、悪用される脆弱性については比較的CVSSスコアが高くなる傾向にあり、悪用されやすさの指標としてCVSSスコアは有効であると言えます。
実際に今回の分析では、CVSSのSeverityがHigh以上の脆弱性が全体の約90%を占めています(図表3)。
ただし、Medium以下の脆弱性についても一定数悪用が確認されていることから、悪用される可能性が全くないとは言い切れない点には注意が必要です。
図表3:悪用された脆弱性のCVSSスコア内訳
分析観点3.脆弱性の攻撃手法の傾向
次に悪用された脆弱性で利用された攻撃方法を、攻撃者の行動を理解するためのフレームワークであるMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)に基づいて分類し、どのTacticsが最も利用されているかについて分析を行いました。注意点として、一つの脆弱性が複数の攻撃手法に関連する場合がありますが、本分析ではMITRE社が2025年2月に公開した脆弱性と攻撃手法を紐づけるための方法論であるPKEV(Prioritize Known Exploited Vulnerabilities)の考え方を参考にし、脆弱性そのものが直接的に引き起こす悪用手法(Exploitation Technique)として、どの攻撃手法が利用されたかを分析しています(図表4)。
図表4:PKEVのTacticsマッピング手法
分類にあたっては、PKEVで既に分類が行われている脆弱性についてはPKEVのデータを参照し、PKEVで分類が行われていない脆弱性についてはPwCで独自に分類を行っています。また、PwCが分類した脆弱性における注意点として、Exploitation Techniqueに該当する攻撃手法が複数にまたがる場合は、後半のTacticsを採用しています。例えば、ブラウザの脆弱性を利用(Initial Access:Drive-by Compromise)して、クライアント上で任意のコードを実行(Execution:Exploitation for Client Execution)する場合は、Executionとして分類しています。なお、PKEVの場合は厳密なルールが定まっていないように見受けられ、同様のケースを見たところ、両方の分類が存在していることを確認しています。
分類結果は図表5のとおりです。
図表5:悪用された脆弱性のTactics内訳
PKEVの評価結果、 PKEVの評価分を除くPwCの評価結果いずれにおいても、Initial Access、Execution、 Privilege Escalationが利用された攻撃手法の多くを占めていることが分かります。つまり、悪用される脆弱性の多くは端末への侵入・マルウェア感染や、特権を奪取するなどの攻撃の最初のステップとして利用されていると言えます。
上記のように、脆弱性がどのような攻撃手法であるかを分類することで、悪用されやすい脆弱性であるかを判断できる可能性があります。
分析観点4.脆弱性種別(CWE)の傾向
最後に、NVDにデータが存在する脆弱性654件について、各CVEに紐づけられた脆弱性種別(CWE)に特定の傾向があるかについて分析を行いました。CWEはCVEと1対1の関係ではなく、CWEが紐づいていないケースや複数のCWEが紐づいているケースが存在します。今回の分析対象においては、CWEが紐づいているCVEは564件中541件であり、またそのうちの90件については、1つのCVEに2つのCWEが紐づけられていました。
CWEの分類結果は図表6のとおりとなります。
図表6:CWE別の脆弱性件数内訳
CWE641件に対して、CWEは全体で97種出現しており、また特定のCWEに偏るという傾向は見られませんでした。従って、本分析では悪用された脆弱性とCWEの関連性は低いと言えます。
まとめ
今回は4つの観点に基づき悪用された脆弱性の傾向分析を行いました。そのうち、以下の3つの観点において悪用された脆弱性には傾向が見えています。
- 脆弱性が悪用されやすいソフトウェアの種別が存在する
- 悪用された脆弱性のCVSSは比較的高い傾向にある
- 悪用される脆弱性の多くは端末への侵入(Initial Access)・実行(Execution)、特権の奪取(Privilege Escaration)など、攻撃の最初のステップとして利用されている
以下は、分析対象の脆弱性を上記の分析観点に基づいて分類した結果となります。表のとおり、条件が一致する脆弱性に件数が多く集中していることが分かります。
組織の脆弱性判断において、KEV等を用いて悪用されている脆弱性を優先的に対処するという考え方は近年増加傾向にありますが、悪用が確認されていない脆弱性については依然としてCVSSスコアをベースとした判断を行っている組織も多く見られます。増え続ける脆弱性に対してリソース不足が課題となる中、本分析で示した指標等を脆弱性判断の一つの要素として活用することで、よりリスクの高い脆弱性に対して効率的に対処することが期待されます。
SSVCおよびCVEの併用による脆弱性管理プロセス高度化の可能性
8 results
Loading...
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
KEVを用いたEPSSの効果検証
FIRST が開発したEPSSの有効性を測るために、CISAが提供するKEVに掲載された脆弱性のEPSSのスコアが掲載の過去30日から掲載日までの間で実際にどのように変化したかを検証した結果について解説します。
EPSS(Exploit Prediction Scoring System)を活用した脆弱性管理
EPSSは、脆弱性対応の優先度を判断するために、今後30日以内に脆弱性が悪用される蓋然性を一定の計算式によって算出する仕組みです。本稿では2022年2月に公開されたEPSS v2について、その仕組みや活用方法を解説します。
Loading...
インサイト/ニュース
20 results
Loading...
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
米国国防総省のサプライチェーンに求められるセキュリティ認定CMMC2.0について知っておくべきこと
サイバーセキュリティの成熟度モデル認定CMMC(The Cybersecurity Maturity Model Certification )は、米国国防総省が防衛産業基盤企業への認定として2020年から適用を開始し、2021年12月に改訂版であるCMMC2.0が発表されました。その主な変更点と今後の変更マイルストーンについてまとめます。
Loading...
