2024年のサイバーセキュリティ振り返り
-KEVカタログが示す脆弱性の実態-

Share

米サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency、以下CISA)が2021年から公開しているKEVカタログ(Known Exploited Vulnerabilities Catalog)は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

※本記事で扱うKEVカタログの情報は2024年12月10日(アメリカ現地時間付け)のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。(参考:2023年1月~12月…187件)

KEVカタログに登録された脆弱性の概要

KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

表1 CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

米国以外での悪用実態の反映

2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の2件です。

  • CVE-2023-28461:Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
    KEVカタログ登録日:2024年11月25日
    JPCERT/CC注意喚起(2023年9月22日発行):https://www.jpcert.or.jp/at/2023/at230020.html

SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

  • CVE-2023-45727:North Grid ProselfのXML外部エンティティ(XEE)参照の不適切な制限の脆弱性
    KEVカタログ登録日:2024年12月3日
    JPCERT/CC注意喚起(2023年10月26日発行):https://www.jpcert.or.jp/at/2023/at230022.html

2024年11月にトレンドマイクロが公開したブログ*1では上記2件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

ベンダ別登録数

2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

図1 KEVカタログ ベンダ別登録数(一部)

図1KEVカタログベンダ別登録数(一部)
※KEVカタログの2024年1月1日~12月10日および2023年1月1日~12月31日の登録情報をベンダごとに集計。2024年の当該期間の登録数上位10位(同率10位が2件)までを表示

なぜMicrosoftの登録数が多いのか

Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94%となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア(ランサムウェア含む)を配置し、自身の目的(金銭や情報の窃取など)を達成することができます。

一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性(主にゼロデイ)となります。

Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
Active Directoryを侵害から守るためのガイド

Windows OSの脆弱性:古いテクノロジーの残存

Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性(EdgeにおけるIEモードのサポート)の維持の目的で最新のOSでも残存しています。

事例:CVE-2024-43573:Windows MSHTMLの脆弱性

MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

図2 CVE-2024-43573:Windows MSHTMLの脆弱性

その他登録数上位のベンダ

2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの5社になります。各ベンダについては以下をご参照ください。

ベンダ名説明
Ivanti旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
AndroidAndroid OSなどを提供する米国Google社内のAndroid Open Source Project
D-Link台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
Palo Alto NetworksファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
VMwareハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

製品タイプ別登録数

2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています(40件、23%)。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も3位となっています(15件、9%)。そしてインフラストラクチャ管理製品が全体の10%(2位、18件)、エンドポイント管理製品が6%(4位、11件)を占めています。

図3 製品タイプ別KEVカタログ登録数

図3製品タイプ別KEVカタログ登録数
弊社でKEVカタログに登録されたCVEを調査し、製品タイプ別に分けたものとなります。製品が複数の機能を含む場合は1.脆弱性が大きく影響を及ぼす機能、2.製品の主要な機能の順に振り分けを行っています。

インフラストラクチャ管理製品の悪用

インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用

対象製品CVECWE自動化
FortiManagerCVE-2024-47575*3CWE-306
重要な機能の使用に対する認証の欠如
不可
PAN-OSの管理インターフェースCVE-2024-0012*4CWE-306
重要な機能の使用に対する認証の欠如
CVE-2024-9474*5CWE-77
OSコマンドインジェクション
不可
製品製品概要攻撃の概要注 3)攻撃者
FortiManagerFortinet製品の統合管理用のアプライアンス・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得
・脅威アクターのデバイスをFortiManagerに登録
不明
備考

IOCなどはこちらを参照。
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en

PAN-OSの管理
インターフェース
PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。・WebShell(難読化)を使用して管理者権限を奪取
・管理アクションの実行や設定改ざん、特権昇格など
不明
備考

IOCなどはこちらを参照。
https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

ITアセット統合管理ツールの脆弱性悪用

対象製品CVECWE自動化
CyberPersons Cyber PanelCVE-2024-51378*6CWE-276
不適切なデフォルトパーミッション
VMware vCenter ServerCVE-2024-38812CWE-122
バッファオーバーフロー
CVE-2024-38813CWE-250
不要な特権による実行
不可
CWE-273
削除された特権に対する不適切なチェック
不可
製品製品概要攻撃の概要攻撃者
CyberPersons Cyber PanelオープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できるミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7Helldownランサムウェア*8
VMware vCenter ServervSphereシリーズの大規模仮想化環境の運用管理支援ツールvCenter Server v7.0で導入されたPlatform Services Controller(PSC)によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9不明

EOL製品への対応

ここでEnd-of-Life(サポート終了期限)と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL(End-of-Life、製品サポート終了)を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

表2 2024年にKEVカタログに登録されたD-Link製品と推奨対策

対象製品CVEKEVカタログ登録日推奨対策
DIR-820CVE-2023-252802024年9月30日買い替え
DIR-600CVE-2014-1000052024年5月16日買い替え
DIR-605CVE-2021-406552024年5月16日買い替え
複数のNAS製品注 5)CVE-2024-32722024年4月11日買い替え
CVE-2024-32732024年4月11日買い替え
DSL-2750BCVE-2016-200172024年1月8日製品型番を確認の上、必要に応じてパッチ適用

CWE別登録数

2024年のCWE別登録数のトップ10は以下の通りです。

表3 CWE別KEVカタログ登録件数

ランクCWE概要件数CWE top 25ランク2023年登録数2023年登録数
ランク
1位CWE-502信頼できないデータのデシリアライゼーション111687
1位CWE-78OSコマンドインジェクション117113
3位CWE-416開放済みメモリの使用108162
4位なしCWEに該当する項目がないもの9221
5位CWE-22パストラバーサル85415
6位CWE-287注 6)不適切な認証814512
7位CWE-787境界外書き込み7295
8位CWE-843型の取り違え6ランク外415
8位CWE-94コードインジェクション61195
10位CWE-284注 7)不適切なアクセス制御5ランク外68

※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ1件としてカウントしています。

2024年のCWE別登録数の傾向

C言語起因の脆弱性の減少

代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個(全体の約28%)から2024年は33個(全体の約19%)へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

  • Apple登録件数…2023年21件→2024年7件
  • Samsung登録件数…2023年8件→2024年0件

表4 C言語が関連するKEVに登録されたCVE一覧(2023年~2024年)

C言語が主要な原因となるCWE2024年にKEVに登録されたCVE2023年にKEVに登録されたCVE
CWE-119: バッファオーバーフローCVE-2017-1000253, CVE-2023-6549CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
CWE-120: クラシックバッファオーバーフローCVE-2023-33009, CVE-2023-33010, CVE-2023-41064
CWE-122: ヒープベースのバッファオーバーフローCVE-2024-38812, CVE-2024-49138, CVE-2024-30051CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
CWE-125: 範囲外メモリの読み取りCVE-2021-25487, CVE-2023-28204, CVE-2023-42916
CWE-134: 制御されていないフォーマット文字列CVE-2024-23113
CWE-190: 整数オーバーフロー/アンダーフローCVE-2022-0185, CVE-2024-38080CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
CWE-401: メモリリークCVE-2023-26083
CWE-416:解放後使用(Use After Free) CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
CWE-787: 範囲外への書き込みCVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
CWE-823: メモリ位置外へのポインタ参照CVE-2021-25372

これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

登録件数上位のCWEと代表的な脆弱性

表5 登録件数上位のCWEと代表的な2024年の脆弱性

CWECVEベンダ・
製品名
脆弱性概要攻撃者の情報自動化
CWE-78CVE-2024-40711Veeam Backup & Replication非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10ランサムウェア(Akira, Fog, Frag)*11
CWE-78CVE-2024-1212Progress Kemp LoadMaster非認証ユーザーによるOSコマンドインジェクション*12不明
CWE-22CVE-2024-8963Ivanti Cloud Services Appliance (CSA)管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。不明
備考

ただしIOCや悪用の詳細についてはFortinet社から公開されている。
https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa

脆弱性悪用の自動化の可否

2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization(ステークホルダー固有の脆弱性の分類、略称SSVC)に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル(アプリケーションや機器を実環境で使っている人が対象のモデル)では脆弱性に対するAutomatable(自動化の可否)の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

SSVC(Stakeholder-Specific Vulnerability Categorization)について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
脆弱性診断は受けたけれど~脆弱性管理入門

表6 2024年にKEVカタログに掲載された脆弱性の自動化可否

自動化可否件数
可能75
不可86
データなし14
出典:https://github.com/cisagov/vulnrichmentよりデータを取得

ランサムウェアグループの悪用が判明しているもの

2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

表7 ランサムウェアグループによる悪用の判明

ランサムウェアグループの悪用件数
判明している22
不明153

注:
1) CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
2) CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
3) https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/(2024年12月13日参照)
4) PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
5) 対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
6) CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
7) CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像