Zero-Day Exploit Use Exploded in 2021
2022/04/22 DarkReading — 2021年の脅威アクターたちは、これまでと比べて数多くのゼロデイ脆弱性を悪用しているが、その大半で Microsoft/Google/Apple のソフトウェアが対象にされている。これまでと同様に、国家に支援された APT (advanced persistent threat) アクターたちが、これらのゼロデイ脆弱性を最も活発に悪用している。また、ランサムウェア運営者などの、金銭的な動機のあるグループもゼロデイ攻撃を急増させ、攻撃者の3人に1人を占めている。
今週に、Mandiant と Google Project Zero が発表したアドバイザリーでは、昨年の脅威アクターたちは、パッチが利用可能になる前の脆弱性を攻撃する割合を、大きく増加させていることが確認された。2021年における、パッチ適用前に悪用されたゼロデイ脆弱性の件数だが、Mandiant が 80件を確認しているのに対して、Google は 58件を確認している。
Mandiant の計算によると、2021年の80件というゼロデイ悪用は、2020年の 30件に比べて 167% 増加し、これまでの最高値である 2019年の 32件に対して、2倍以上の件数に達したことになる。Google が計算した 58件のゼロデイ悪用は、2020年に観測された 25件の2倍以上に相当する。また、2015年に Google が観測した、最高値 28件の2倍以上となる。
Microsoft/Google/Apple の脆弱性は、昨年に脅威アクターが悪用したゼロデイの 75% を占めているが、これら3社の技術が広く使用され、普及していることが背景にあると考えられると、Mandiant は述べている。Google が 2014年から管理しているゼロデイ脆弱性のスプレッドシートによると、同社が昨年に観測した 58件のゼロデイ悪用のうちの 16件は自社技術に、21件は Microsoft 製品に、13件は Apple 製品に関連するものとなる。残りの脆弱性は、Qualcomm/Trend Micro/Sonic Wall/Accellion (現 Kiteworks)/Pulse Secure などの、合計で9社の製品が関与していたと、Mandiant は述べている。
このデータが浮き彫りにするのは、あまり広く使用されていないテクノロジーのゼロデイを、脅威アクターが探し出して悪用する可能性を無視できないことだと、Mandiant の Principal Analyst である James Sadowski は述べている。
彼は、「主要なベンダーがゼロデイ攻撃のターゲットとなることに変わりないが、その他のベンダーがゼロデイ攻撃のターゲットになるケースが徐々に増えてきている。Accellion FTA の悪用で見られたように、このシステムの脆弱性を悪用した脅威アクターにより、大きな被害をもたらされた」と付け加えている。つまり、旧式とも言える Accellion 製品のゼロデイ脆弱性が、複数の大企業の侵入につながったことを指している。
なぜ数多くの理由があるのか
Mandiant は、脅威アクターがゼロデイ攻撃を悪用するケースが、昨年になって爆発的に増加した理由として、複数の可能性を挙げている。
同社は、Cloud/Mobile/IoT 技術の導入が進んだことで、企業が使用するソフトウェアの量が増加し、その結果として、より多くのバグが発見されるようになったと認識している。また、ゼロデイ脆弱性を売買する、いわゆるエクスプロイト・ブローカーの増加や、脅威アクター・グループによるゼロデイ脆弱性研究への投資の増加も要因として挙げている。その一方で Google は、ゼロデイ脆弱性の検出/公開の賞式が改善されたことが急増の原因であるとし、この要因には Mandiant も関与している可能性が高いと述べている。
Mandiant の分析によると、国家に支援されるグループが、特に中国のグループが、ゼロデイ脆弱性の悪用を支配しているようだ。しかし、ランサムウェアや金銭的な動機でゼロデイを悪用する脅威グループの数も、顕著に増加している。James Sadowski によると、これらの脅威勢力は、アンダーグラウンドのエクスプロイト・ブローカーや犯罪的サービス・プロバイダーを経由して、ゼロデイ脆弱性を入手している可能性が高いとのことだ。
あるいは、Conti ランサムウェアのように、ゼロデイ脆弱性を調査し、エクスプロイト・コードの開発に必要な人材を、グループ内で募集している可能性もある。漏洩したConti チャットによると、脅威アクターたちは最新の脆弱性について話し合い、潜在的に脆弱なシステムを特定するために、スキャナーを構築するメンバーをアサインしているようだ。
Sadowski は、「ランサムウェア・グループ活動から、多額の資金が集められるようになるにつれ、ゼロデイを悪用するエクスプロイト・コードが、より頻繁に採用されていることが観察されている。しかし、一般的には、どこからゼロデイ・エクスプロイトが取得されているのかを、特定することは極めて困難である」と述べている。
Viakoo の CEO である Bud Broomhead は、「ゼロデイ悪用の増加が示しているのは、従来からの検出/評価のソリューションで明らかになる脆弱性から、脅威アクターたちが攻撃ベクターをシフトしていることだ。つまり、ゼロデイ脅威だけではなく、IoT/OpenSource の脆弱性が悪用されることで、企業における脅威が急速に拡大している。組織にとっての課題は、ゼロデイ攻撃の成功による被害を制限する方法と、新しい攻撃ベクターから保護するための方法を理解することだ」と述べている。
Netenrich の Principal Threat Hunter である John Bambenek は、「ゼロデイ攻撃の増加は、想定外の攻撃に対するパッチ適用を、迅速に処理する能力の必要性を強調している。組織において、プロダクション環境への移行は、柔軟性と俊敏性の維持が重要になるタイミングである。テストや変更管理の合理化などを考慮し、パッチを適用する際の障壁を可能な限り取り除く必要がある」と述べている。
ゼロデイへの対応は重要ですね。ただし、公表されるゼロデイ情報は、防御する側だけではなく、攻撃する側にとっても貴重な情報になるため、そこから時間との戦いも始まります。この記事の参照元である、Mandiant のレポート Zero Tolerance: More Zero-Days Exploited in 2021 Than Ever Before には、悪用されるゼロデイのベンダー比率などもチャートで提供されているので、ゼロデイというものを俯瞰して見ることが可能です。また、Google がスプレッドシートで提供している 0day In the Wild は、かなり詳細なデータとなっているので、とても有効な資料となります。どちらも、おすすめです。
IoT OT Security News 