CVEs Surge By 25% in 2022 to Another Record High
2023/06/07 InfoSecurity — Skybox Security がまとめたデータによると、米国政府から報告された新たな脆弱性の数は毎年 25%ずつ増加しており、2022年には過去最高となる25,096件に達したという。セキュリティベンダーである同社は、Vulnerability and Threat Trends Report 2023 をまとめるにあたり、NVD (National Vulnerability Database) の分析を行った。
この調査結果により、新たに発見された脆弱性の数が、6年連続で前年度よりも増加し続けていることが判った。Skybox Security によると、今回の増加率は 2017年以来最大のものであり、過去10年間に公表された CVE の合計数は 192,000以上となったという。
2022年に報告された CVE の深刻度だが、約 80% は Medium あるいは High で、16%は Critical と分類されている。
深刻度 Critical の脆弱性の割合は、昨年の 20% から減少した。しかし、深刻度の低い脆弱性を脅威アクターたちが悪用することで、リモート・コード実行 (RCE:Remote Code Execution) や権限昇格へといたるケースが多いため、深刻度とリスクは一致しないと、Skybox Security は主張している。
そのため、CVE の深刻度だけではなく、脆弱性/露出性/資産の重要性/ビジネスへの影響などに基づいて、パッチの優先順位を決定するために、リスク評価を継続的に実施する必要があると、同社は指摘している。
Skybox の CEO である Mordecai Rosen は、「脆弱性が報告されるのを待ちながら、すべてのインスタンスをスキャンし、パッチを当てることに躍起になるという、サイバー・セキュリティに対する従来からの消極的なアプローチは、日に日に時代遅れになっている。脆弱性はあまりにも多く、発見/修正に時間がかかり、しかも、その多くに対してはパッチを当て切れない。人手不足のサイバーセキュリティ組織では、対応しきれない問題だ」と警告する。
当然のことかもしれないが、2022年に、新しいマルウェアの標的となった CVE のトップは、2021年12月末に公表された Log4j の脆弱性 CVE-2021-44228 だ。続いて2位は、Atlassian Confluence の RCE 脆弱性 CVE-2022-26134 で、3位は Microsoft Windows Support Diagnostic Tool (MSDT) の RCE 脆弱性 Follina CVE-2022-30190 だった。
2022年に新たに発見された、既知の脆弱性を悪用するマルウェア・プログラムのうち、最も多発したものはバックドア・カテゴリだったとのことだ。
夥しい数の脆弱性に対して、どのように向き合うべきなのか。ほんとうに、難しいことだと思います。どうあれ、パッチの優先順位を決定する必要がるのですが、そのための指標の1つとなるのが、CISA KEV なのだろうと思います。なお、CVE に関連する記事としては、2022/04/19 の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」も、なかなか興味深い話です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.