タグ: #社会基盤安全保障庁

Security NEWS TOPに戻る
バックナンバー TOPに戻る

米サイバーセキュリティ・社会基盤安全保障庁（Cybersecurity and Infrastructure Security Agency、以下CISA）が2021年から公開しているKEVカタログ（Known Exploited Vulnerabilities Catalog）は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

※本記事で扱うKEVカタログの情報は2024年12月10日（アメリカ現地時間付け）のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。（参考：2023年1月～12月…187件）

KEVカタログに登録された脆弱性の概要

KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

表1　CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

米国以外での悪用実態の反映

2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の２件です。

• CVE-2023-28461：Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
  KEVカタログ登録日：2024年11月25日
  JPCERT/CC注意喚起（2023年9月22日発行）:https://www.jpcert.or.jp/at/2023/at230020.html

SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告：ArrayOS AG における深刻な脆弱性 CVE-2023-28461」

• CVE-2023-45727：North Grid ProselfのXML外部エンティティ（XEE）参照の不適切な制限の脆弱性
  KEVカタログ登録日：2024年12月3日
  JPCERT/CC注意喚起（2023年10月26日発行）:https://www.jpcert.or.jp/at/2023/at230022.html

2024年11月にトレンドマイクロが公開したブログ*3https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.htmlでは上記２件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

• CVE-2024-11667：Zyxelの複数ファイアウォールのパストラバーサル脆弱性
  KEVカタログ登録日：2024年12月3日
  独Bundesamt für Sicherheit in der Informationstechnik（以下BSI）による注意喚起（2024年11月22日発行）※ドイツ語:
  https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf?__blob=publicationFile&v=3

なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

ベンダ別登録数

2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

図1　KEVカタログ ベンダ別登録数（一部）

なぜMicrosoftの登録数が多いのか

Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2https://gs.statcounter.com/os-market-share/desktop/worldwideでは全世界でのデスクトップ向けOSの市場占有率は72.94％となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア（ランサムウェア含む）を配置し、自身の目的（金銭や情報の窃取など）を達成することができます。

一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性（主にゼロデイ）となります。

Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
「Active Directoryを侵害から守るためのガイド」

Windows OSの脆弱性：古いテクノロジーの残存

Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性（EdgeにおけるIEモードのサポート）の維持の目的で最新のOSでも残存しています。

事例：CVE-2024-43573：Windows MSHTMLの脆弱性

MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

図2　CVE-2024-43573：Windows MSHTMLの脆弱性

その他登録数上位のベンダ

2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの５社になります。各ベンダについては以下をご参照ください。

製品タイプ別登録数

2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています（40件、23%）。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も３位となっています（15件、9%）。そしてインフラストラクチャ管理製品が全体の10%（２位、18件）、エンドポイント管理製品が6%（４位、11件）を占めています。

図3　製品タイプ別KEVカタログ登録数

インフラストラクチャ管理製品の悪用

インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用

ITアセット統合管理ツールの脆弱性悪用

EOL製品への対応

ここでEnd-of-Life（サポート終了期限）と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL（End-of-Life、製品サポート終了）を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

表2　2024年にKEVカタログに登録されたD-Link製品と推奨対策

CWE別登録数

2024年のCWE別登録数のトップ10は以下の通りです。

表3　CWE別KEVカタログ登録件数

※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ１件としてカウントしています。

2024年のCWE別登録数の傾向

C言語起因の脆弱性の減少

代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個（全体の約28％）から2024年は33個（全体の約19％）へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

• Apple登録件数…2023年21件→2024年7件
• Samsung登録件数…2023年8件→2024年0件

表4　C言語が関連するKEVに登録されたCVE一覧（2023年～2024年）

これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

登録件数上位のCWEと代表的な脆弱性

表5　登録件数上位のCWEと代表的な2024年の脆弱性

脆弱性悪用の自動化の可否

2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization（ステークホルダー固有の脆弱性の分類、略称SSVC）に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル（アプリケーションや機器を実環境で使っている人が対象のモデル）では脆弱性に対するAutomatable（自動化の可否）の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

SSVC（Stakeholder-Specific Vulnerability Categorization）について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
「脆弱性診断は受けたけれど～脆弱性管理入門」

表6　2024年にKEVカタログに掲載された脆弱性の自動化可否

ランサムウェアグループの悪用が判明しているもの

2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

表7　ランサムウェアグループによる悪用の判明

注：
1)　CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
2)　CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
3)　https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/（2024年12月13日参照）
4)　PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
5)　対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
6)　CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
7)　CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

最新情報はこちら