Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している

Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。


このような傾向は、2022年4月に米国の CISA が発表した勧告とも符合するものであり、新たに公表された脆弱性を悪用する脅威アクターは、世界中の広範なターゲットを、それらを用いて積極的に狙っていることが判明している。

Microsoft の指摘は、脆弱性の公開後に、野放し状態の悪用が始まるまでに、平均で 14日しかかからないというものだ。また、当初は範囲が限定されているゼロデイ攻撃であっても、脅威アクターたちは速やかに採用する傾向があり、パッチがインストールされる前に無差別な探索が始まると述べている。

さらに、中国の国家機関がゼロデイ攻撃を発見/開発することに、特に長けていると非難している。2021年9月に Cyberspace Administration of China (CAC) 新たな脆弱性報告規則を制定し、製品の開発者とセキュリティ上の欠陥を共有する前に、政府に報告することを義務付けたことも、これに拍車をかけている。

0-Day Vulnerabilities


さらに Microsoft は、この法律により、政府の支援を受けた少数の集団が、報告されたバグを備蓄し、武器化することが可能になっている。その結果として、中国の経済的/軍事的利益の向上を目的とした諜報活動に、ゼロデイが使用されるようになる可能性があると述べている。

state-sponsored hackers


深刻な脆弱性が、他の敵対的なグループに拾われる前に、中国の関係者により最初に悪用されたというケースには、以下のようなものがある。

CVE-2021-35211 (CVSS score: 10.0):SolarWinds の Serv-U Managed File Transfer Server および Serv-U Secure FTP におけるリモートコード実行の脆弱性であり、DEV-0322 により悪用されました。

CVE-2021-40539 (CVSS score: 9.8):Zoho ManageEngine ADSelfService Plus 存在する認証回避の脆弱性であり、DEV-0322 (TiltedTemple) により悪用された。

CVE-2021-44077 (CVSS score: 9.8):Zoho ManageEngine ServiceDesk Plus に存在する、認証が不要なリモートコード実行の脆弱性であり、DEV-0322 (TiltedTemple) により悪用された。

CVE-2021-42321 (CVSS スコア: 8.8):Microsoft Exchange Server に存在するリモートコード実行の脆弱性であり、2021 年 10 月 16~17 日の Tianfu Cup ハッキング・コンテストで明らかにされた3日後に悪用された。

CVE-2022-26134 (CVSS score: 9.8):Atlassian Confluence の Object-Graph Navigation Language (OGNL) インジェクションの脆弱性であり、6月2日の欠陥公開の数日前に、中国系の脅威アクターにより米国企業への攻撃で利用されたと思われる。

今回の調査結果は、2020年以降の知的財産の窃盗や機密ネットワークへのアクセスを目的として、中国系の脅威アクターたちが悪用した脆弱性の上位リストを、CISA が公表してから約1カ月後に発表されたものだ。

Microsoft は、「ゼロデイ脆弱性は、最初の悪用に特に効果的な手段であり、いったん公開された脆弱性は、他の国家や犯罪行為者により迅速に再利用される可能性がある」と述べている。

11月4日に「Microsoft の 2022 レポート:国家に支援されたサイバー犯罪の高まりが衝撃的」という記事をポストしていますが、それも、2022 Microsoft Digital Defence Report (MDDR) をベースにした記事です。前回は Info Security で、今回は The Hacker News というわけで、それぞれのメディアの着眼点の違いも分けって面白いです。同じレポートをベースにする記事が複数ある時、1本に絞って訳すのが通常です。しかし、今回の MDDR は、膨大な範囲をカバーしながら、深堀りもするという、素晴らしいレポートなので、複数のパブリッシャーを追いかける予定でいます。

%d bloggers like this: