This post is also available in: English (英語)

概要

最近、2022年5月から7月にかけては、ネットワークセキュリティ動向や野生(in the wild)で利用されているエクスプロイトの観測から、新たに公開されたリモートコード実行脆弱性の悪用が続いていることがわかってきました。これらのネットワークセキュリティ動向の観測結果から、概念実証(PoC)の有無や影響にもとづいて、Unit 42のリサーチャーがいくつかの攻撃を厳選しました。以下では、とくに防御側が知っておくべき内容を紹介します。

また、防御に役立つ知見も共有します。

  • もっともよく使われる攻撃テクニックのランキング、攻撃者が最近好んでいる脆弱性の種別。例: 新たに公表された5,976件の脆弱性のなかでもクロスサイトスクリプティング(XSS)に関連した脆弱性が多い(約11.6%)
  • 3億4,000万件以上の攻撃セッションを評価して得た主な脆弱性にはリモートコード実行、トラバーサル、情報漏えいなどがあげられる
  • パロアルトネットワークスの次世代ファイアウォールから収集した実データに基づくこれら脆弱性の野生(in the wild)での悪用手法に関する洞察
  • 2022年5月~7月の主な動向
  • 最近公開された脆弱性の深刻度や攻撃起点の分布などの分析
  • 脆弱性の分類によるクロスサイト スクリプティングやDoS (サービス拒否) など異なる種類の脅威蔓延状況
  • 攻撃者にもっとも悪用されている脆弱性と各攻撃の深刻度、カテゴリー、攻撃起点

パロアルトネットワークスのお客様は、次世代ファイアウォールや脅威防御、WildFire、Advanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げる脆弱性からの保護を受けています。

本稿で取り上げる攻撃の種類と脆弱性の種別 クロスサイトスクリプティング、サービス拒否(DoS)、情報漏えい、バッファオーバーフロー、特権昇格、メモリ破壊、コード実行、SQLインジェクション、境界外読み取り、クロスサイトリクエストフォージェリ、ディレクトリトラバーサル、コマンドインジェクション、不適切な認証、セキュリティ機能のバイパス
関連する Unit 42 のトピック Network Security Trends, exploits in the wild, attack analysis

公開された脆弱性の分析(2022年5月~7月)

2022年5月から7月にかけては、合計で5,976件のCVE(Common Vulnerabilities and Exposures)番号が新たに登録されました。新しく公開されたこれらの脆弱性がネットワーク セキュリティに与える潜在的な影響についての理解を深めるため、深刻度、動作する概念実証(PoC)コードの有無、脆弱性カテゴリーにもとづいた見解を示します。

最新の脆弱性の深刻度

脆弱性の潜在的影響を見積もるには、その深刻度について検討し、攻撃者が容易に使える信頼性の高いPoCの有無を調査します。私たちがPoCを見つけるために利用している公開ソースは、Exploit-DB、GitHub、Metasploitなどです。深刻度のスコアが「中」以上に設定されている5,976件のCVEの分布は、以下の表の通りです。

深刻度 件数 比率 PoCの可用性 差分
緊急 (Critical) 1133 19.0% 5.5% -2.3%
高 (High) 2399 40.1% 3.8% -1.0%
中 (Medium) 2444 40.9% 3.4% -0.2%

表1 2022年5月~7月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

深刻度「中」: 40.9%、「高」: 40.1%、「緊急」: 19.0%
図 1. 2022年5月~7月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

この脆弱性分類はCVSS v3スコアに基づいています。脆弱性が「緊急」と評価されるには多くの条件を満たさねばならないのでこのレベルの脆弱性は非常に少なくなっています。ある脆弱性が「緊急」レベルと評価される一般要因の1つは動作するPoCが利用可能なことです。「緊急」の脆弱性は一般に、攻撃の複雑性が低く、その脆弱性を悪用するPoCを容易に作成できます。

今回の対象期間においては深刻度が「緊急」の比率が高まり、「高」「中」の緊急度の比率は若干下がっています。

脆弱性カテゴリーの分布

各脆弱性の種類とその影響の理解は非常に重要です。新たに公開されたCVEを分析すると、23.5%がローカルな脆弱性に分類され、侵害されたシステムへの事前のアクセスが必要となります。残りの76.5%はネットワーク経由で悪用されうるリモートの脆弱性です。つまり、新たに公開された脆弱性の大半は、世界のどこからでも脆弱な組織を攻撃できる可能性があるということです。

以下の図2は、最近公開された脆弱性に占める割合の高さの順で、もっともよく見られた脆弱性をカテゴリーごとにランキングしたものです。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。脆弱性のカテゴリ (もっとも蔓延しているものから順に): クロスサイトスクリプティング(XSS)、SQLインジェクション、情報漏えい、特権昇格、サービス拒否(DoS)、トラバーサル、コマンドインジェクション、コード実行、境界外書き込み、バッファオーバーフロー、Use-After-Free(メモリ解放後の使用)、不適切な認証
図 2. 2022年5月~7月に登録されたCVEの脆弱性カテゴリ分布

2022年5月~7月にかけて報告された脆弱性のなかで最も多かったのは依然としてクロスサイトスクリプティングです。同時に、今四半期はSQLインジェクションの脆弱性の悪用が拡大していました。このカテゴリの脆弱性の多くは「緊急」の評価を受けています。SQLインジェクションやクロスサイトスクリプティングの脆弱性がやや増加し、境界外の脆弱性が減少しています最近公表されたクロスサイトスクリプティングや情報漏えい攻撃の多くは、緊急(Critical)でなく「中」または「高」の深刻度です。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。脆弱性のカテゴリ (もっとも蔓延しているものから順に): クロスサイトスクリプティング(XSS)、SQLインジェクション、情報漏えい、特権昇格、サービス拒否(DoS)、トラバーサル、コマンドインジェクション、コード実行、境界外書き込み、バッファオーバーフロー、Use-After-Free(メモリ解放後の使用)
図 3. 脆弱性カテゴリーの分布、前四半期との比較

ネットワークセキュリティの動向: 野生のエクスプロイトの分析(2022年5月~7月)

データ収集

パロアルトネットワークスの次世代ファイアウォールを境界線上のセンサーとして活用することで、Unit 42のリサーチャーは2022年5月から7月にかけての悪意あるアクティビティを観測しました。識別された悪意のあるトラフィックは、IPアドレス、ポート番号、タイムスタンプなどの指標に基づいてさらに処理されます。これにより各攻撃セッションの一意性が担保され、潜在的なデータの偏りが排除されます。3億4,000万件の有効な悪意のあるセッションを分析し、精錬したデータをほかの属性と相関させて時系列での攻撃傾向を推測し、脅威の動向を把握しました。

野生でのエクスプロイトが確認された脆弱性の深刻度

私たちはスキャン攻撃やブルートフォース攻撃の検出に使用される低深刻度のシグネチャトリガーを除外し、これにくわえてリサーチ目的での内部的なトリガーも除外して、3億4,000万件の有効な悪意のあるセッションを得ました。したがってここで私たちは、深刻度の評価が「中」 (CVSS v3 スコアに基づく) 以上の悪用可能な脆弱性をもつもののみを確認済みの攻撃とみなしています。

ネットワークセキュリティ動向: 攻撃に利用された脆弱性の深刻度。深刻度「中」: 47.2%、「高」: 21.5%、「緊急」: 31.3%
図 4. 2022年5月~7月の攻撃の深刻度分布(「中」から「緊急」と評価された脆弱性のみ)

図4は、各脆弱性の深刻度別に分類した攻撃数の比率を示したものです。前四半期の深刻度分布と比較すると、今四半期は、深刻度が「緊急」と「高」の攻撃が減少し、「中」の攻撃が増加していることがわかります。ただしその潜在的影響の大きさから、私たちはやはり深刻度「緊急」の攻撃に最も焦点をあてて調査しています。公開された脆弱性の多くは「中」の深刻度ですが、攻撃者はより深刻度の高い脆弱性をエクスプロイトに利用することが多くなっています。したがって防御側は、深刻度が「高」、「緊急」のネットワーク攻撃の防止と緩和を優先する必要があります。

脆弱性深刻度におけるネットワーク・セキュリティ動向、前四半期との比較ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。深刻度「中」は前四半期との比較で20%を超える増加、「高」は10%未満の低下、「緊急」はほぼ20%の低下。
図 5. 脆弱性深刻度の分布、前四半期との比較

ネットワーク攻撃の発生時期

ここでは赤が「緊急」、黄が「高」、青が「中程度」、緑が「合計」を表しています。この棒グラフは、2022年5月から7月の週ごと(単位:百万)の攻撃セッションの深刻度分布を示しています。
図 6. 2022年5月から7月まで週ごとに計測した野生のエクスプロイトの深刻度分布

2022年5月〜7月にかけ、攻撃者は深刻度「中」の脆弱性の悪用を徐々に増やし、攻撃回数も徐々に増加させました(最後のデータセットは、7日間ではなく8日間の攻撃回数を記録したもの)。

これまでも観測してきたとおり、攻撃者は最近公開された脆弱性、とくに2021年から2022年にかけて公開された脆弱性を多用していました。このことは、直近で発見された脆弱性からの保護のために、利用可能になり次第セキュリティパッチを適用し、セキュリティ製品を更新することがいかに重要かを物語っています。

観測された攻撃に関するネットワークセキュリティ動向を悪用されたCVEの開示された年別で分類したもの。赤=2021-2022年公開のCVE、黄=2019-2020年公開のCVE、青=2016-2018年公開のCVE、緑=2010-2015年公開のCVE、オレンジ=2010年より前に公開されたCVE。この棒グラフは、2022年5月から7月の週ごと(単位:百万)の攻撃セッションの深刻度分布を示しています。
図 7. 観測した攻撃で悪用されたCVEを公開年ごとに分類したもの。2022年5月から7月まで毎週計測

野生で確認されたエクスプロイト: ネットワーク動向詳細分析(2022年5月~7月)

攻撃カテゴリーの分布

各ネットワーク攻撃をカテゴリー別に分類し、悪用頻度が高いものから順にランキングしました。今四半期は、1位がリモートコード実行、2位が情報漏えいとなっています。攻撃者は一般に、標的のシステムから最大限情報を得て、可能な限りコントロールしたいと考えています。今四半期は情報漏えい攻撃が減少していました。

ネットワークセキュリティ動向: 攻撃の種類と深刻度。ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。攻撃カテゴリは(悪用頻度が高いものから順に): リモートコード実行、情報漏えい、トラバーサル、クロスサイトスクリプティング(XSS)、サービス拒否(DoS)、メモリ破壊、バッファオーバーフロー、ハックツール、不適切な認証、エクスプロイトキット、コマンドインジェクション、権限昇格
図 8. 攻撃カテゴリと深刻度(2022年5月~7月)
ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。攻撃カテゴリは(悪用頻度が高いものから順に): リモートコード実行、情報漏えい、トラバーサル、クロスサイトスクリプティング(XSS)、サービス拒否(DoS)、メモリ破壊、バッファオーバーフロー、ハックツール、不適切な認証、エクスプロイトキット
図9. 攻撃カテゴリの分布、前四半期との比較

攻撃の起点

各ネットワーク攻撃の起点となった地域を特定したところ、米国からの発信が大半で、次いでドイツ、オランダとなっているようです。今四半期はオランダとルーマニアからの攻撃が大幅に増加しました。ただし攻撃者はそれらの国に設置されたプロキシサーバーやVPNを利用し、実際の物理的な場所を隠している可能性があることも私たちは認識しています。

ネットワークセキュリティ動向: 観測された攻撃起点を示す円グラフアメリカ49.6%、ドイツ17.2%、オランダ10.2%、フランス5.7%、ルーマニア3.3%、カナダ1.4%、ロシア1.3%、イギリス1.1%、中国0.9%、その他9.4%
図 10. 2022年5月から7月の間に観測された攻撃の発生頻度が高い場所をランキング
観測された攻撃起点の変化率を示す棒グラフ。アメリカ20%以上の減少、ドイツ10%以上の増加、オランダ10%未満の増加、フランス5%未満の増加、ルーマニア5%未満の 増加、カナダおよそ1%の増加、ロシア連邦1%以上の減少、イギリス1%以上増加、中国<1%減少、その他1%以上の減少</1%></5%>
図11. 攻撃起点の分布、前四半期との比較
ネットワークセキュリティ動向: 攻撃起点と思われる場所を示すヒートマップ。最も赤が濃いのはアメリカ、次いでドイツ、オランダ
図12. 2022年5月~7月の攻撃起点の地理的分布

結論

2022年5月~7月に公開された脆弱性を確認すると、Webアプリケーションは依然として人気のある攻撃対象で、「緊急」の脆弱性にはPoCが公開されている可能性が高いことがわかります。

それと同時に、新たに公開される脆弱性が実際に悪用されている様子も継続的に捕捉されています。このことからも、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。攻撃者たちは一致団結し、すきあらば手持ち兵器を増強する機会を伺っていることを忘れてはいけません。

サイバー犯罪者が悪意のある活動を停止することは決してありませんが、パロアルトネットワークスのお客様は、次世代ファイアウォールThreat PreventionWildFireAdvanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げた脆弱性からの保護を受けています。

自組織のネットワークに対するリスクをさらに緩和するため、以下を検討してください。

追加リソース

Enlarged Image