PoC で武器化された脆弱性の 75% は 19日以内に悪用される – Skybox Security

75% of new vulnerabilities exploited within 19 days

2024/06/27 HelpNetSecurity — Skybox Security の “Vulnerability and Threat Trends Report 2024” によると、2023年だけで 30,000 件以上の新たな脆弱性が公表されたという。この新たな脆弱性の件数が示すのは、1週間あたり平均 600件の出現と、約 17分ごとの出現である。この報告書が浮き彫りにしているのは、パッチ適用までの平均期間が 100日を超えているのに対し、”武器化された” 新たな脆弱性の 75%は19日以内に悪用されるという、改善努力における決定的なギャップである。これらの調査結果は、増大するサイバー攻撃のリスクから身を守るために、継続的な暴露管理と最新の脆弱性緩和戦略が緊急に必要であることを強調している。


2023年には脆弱性が急増し、National Vulnerability Database (NVD) への登録件数は、前年比で 17% の増加を記録した。30年前にNVDが設立されて以来、累計で 234,579件の CVE がカタログ化されているが、その半数は過去5年以内に発見されたものである。

2023年の全脆弱性の半数が High もしくは Critical

Skybox の調査によると、新たに発見された脆弱性の約半数は、High または Critical に分類されているという。このような圧倒的な流入量は、セキュリティ・チームに “focus gap” を生じさせる。つまり、脅威の量が多すぎるため、効果的な優先順位付けが難しくなり、重要なリスクが見過ごされ、組織が危険にさらされる可能性が高まっているのだ。

この業界には、以下のような継続的な懸念があり、それにつれて脆弱性は増加している:

  • 相互接続されたデバイスが増え、攻撃対象が急速に拡大している。
  • ソフトウェアの複雑化と、サードパーティ製コンポーネントに潜む脆弱性の存在。
  • 脆弱性の発見に対して多くのリソースが割かれるというポジティブなトレンドにより、数多くの脆弱性が特定されている。

Skybox Security の CEO である Mordecai Rosen は、「昨年は、サイバー・セキュリティの分水嶺となる年であり、前提のないサイバー脅威の量と複雑さの急増に、世界中の組織が直面した。パッチは依然として重要な防御策だが、その限界は明らかである。つまり、効果的な脆弱性管理はパッチを当てるだけではない。具体的に言うと、脆弱性に関する継続的な特定や、リスクに基づく優先順位付け、緩和のためのタイムリーなコントロールの活用、倫理的なサイバー・セキュリティの実践などが必要となる。この包括的なアプローチにより、現代の複雑な脅威を乗り越えられる」と述べている。

このレポートが露呈しているものには、サイバー・セキュリティの重大な課題である、脆弱性パッチの適用期間に関するデータもある。Skybox 独自の調査では、エクスプロイト・コードによる武器化が確認された、約 2,000 件の脆弱性が特定されている。さらに言えば、これらの脆弱性を武器化する準備と能力を、脅威アクターたちが大幅に向上させていることが示唆される。

訳者注釈:原文を、そのまま解釈すると、 30,000 件以上の脆弱性に対して、以下のような分析が行われるというロジックになってしまいます。Skybox Security のレポートを確認したところ、その前提として、 “武器化が確認された約 2,000 件の脆弱性” という記述があったので、その視点から加筆しています。

これらの、”武器化された” 脆弱性における平均悪用時間 (MTTE:Mean Time To Exploit) は、2023年には僅か 44日にまで激減し、25% が同日中に悪用され、75% が 19日以内に悪用されるという、驚異的な状況が生じている。

この悪用のタイムラインは、CVE の公表から修復までに 95~155日を要するのとは対照的である。前述の悪用スケジュールがあり、さらに、悪意の活動の特定に時間を要することから、ユーザー組織にとって必要なものは、迅速かつ効果的な対応メカニズムとなる。新しい脆弱性の修正に費やせる時間は極めて短くいため、迅速に対処しなければ、サイバー犯罪者に対して、ネットワークを侵害する十分な時間を与えてしまう。

従来の脆弱性スキャン手法の欠点

従来からの脆弱性スキャン手法では、今日の脆弱性の急増に対応するのに苦慮するはずだ。その膨大な量は、最も優秀なセキュリティ・チームをも圧倒し、スプレッドシート・ベースの追跡やパッチ適用サイクルを非効率なものにしている。そのため、最新の脆弱性管理ソリューションに注目する企業が増えている。

縮小する修正のウィンドウに対抗するためには、継続的な暴露管理プログラムの中に、最新の脆弱性管理アプローチを統合することが不可欠となる。ユーザー企業は、以下を採用することで、平均修復時間 (MTTE:Mean Time To Exploit)を短縮し、リスクを低減できるようになる:

  • 継続的な脆弱性の特定:自動化された技術を活用して、システムやネットワーク全体の新しい脆弱性を常に発見する。
  • リスクに基づく優先順位付け: すべての脆弱性が同じような重みを持つわけではない。効果的な脆弱性管理においては、悪用の可能性、および、重要なシステムやデータへの潜在的な影響、パッチの有無などの要因に基づいて、脅威の優先順位が決定される。それによりセキュリティ・チームは、最も重要な問題に対して優先的に集中できる。
  • 既存の管理策の活用: これらの管理策を活用することで、パッチが利用可能になる前であっても、特定の脆弱性が生み出すリスクを軽減できる。
  • 倫理的/法的コンプライアンス: サイバー・セキュリティは技術的な対策に留まらない。効果的な脆弱性管理は、関連するデータ・プライバシー規制の遵守と責任あるテストを保証する。

この元記事ですが・・・訳者の見落としかもしれませんが・・・「2023年の新たな脆弱性は 30,000 万件以上」と「新たな脆弱性の 75%は19日以内に悪用される」というロジックで突っ走っています。そうなると、20,000件以上の脆弱性が悪用されてしまうわけで、これは、もう大変。一次ソースの Skybox Security も、ちょっと不親切なんですが、PoC で武器化された約 2,000に脆弱性というセクションで、上記の “75%” を解説しているので、母数は 30,000 から 2,000 に減っているわけです。そして、勘違いのまま、記事にしてしまったという展開なのでしょう。ただし、Skybox Security のレポートも、HelpNetSecurity の記事も、着眼点は良いと思います。よろしければ、カテゴリ Statistics も、ご利用ください。