米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、このところ、サイバー攻撃に悪用されている既知の脆弱性を「Known Exploited Vulnerabilities Catalog」に追加し、ユーザーや管理者に注意を喚起する取り組みを積極的に行っている。

通常、カタログに1度に追加される脆弱性の数は数個から十数個程度だが、2022年3月3日(米国時間)は一気に95個の脆弱性がカタログに追加された。これまでに例と見ない大量の登録だ(参考「米CISA、悪用されている既知の脆弱性95個をデータベースに登録 | TECH+」)。

Malwarebytesは3月14日(米国時間)、「CISA list of 95 new known exploited vulnerabilities raises questions|Malwarebytes Labs」において、この行動には「疑問」が残ると指摘した。登録された脆弱性は2002年に発見と古いものであり、Windows NTおよびWindows 2000で発見されたものだ。内訳はシスコシステムズの製品に関する脆弱性が38件と最も多く、これにMicrosoftの27件、Adobeの16件、Oracleの7件などが続いている。

  • CISA list of 95 new known exploited vulnerabilities raises questions|Malwarebytes Labs

    CISA list of 95 new known exploited vulnerabilities raises questions|Malwarebytes Labs

Malwarebytesは、95件という大量の脆弱性が登録された理由として、次の3つの項目を挙げている。

  • 依然として悪用されているいくつかの古い脆弱性に突如気がついた
  • EoL (End-of-Life)を迎えたがまだ使えるソフトウェアの脆弱性に関してもリストアップするように方針を変更した
  • サイバー犯罪者によってアクティブに活用される脆弱性の質が変わった

2022年3月3日(米国時間)にカタログに追加された脆弱性の多くは金銭的な利益を得るために悪用するのが難しいものだが、サービス運用妨害(DoS: Denial of Service)につながりやすく、業務を妨害する上では有効とされている。記事ではこうした動向を踏まえつつ、サイバー犯罪者によって活発に悪用される脆弱性が変わってきている可能性を指摘している。

またMalwarebytesは、CISAがこうした情報を積極的に広めていることは素晴らしいことだと前置きした上で、逆にパッチを適用していないユーザーを狙える破壊的なエクスプロイト関する知識を披露することになってしまっているとの注意喚起も行っている。

Malwarebytesは、悪用されている既存の脆弱性情報を定期的に確認すること、通常のセキュリティ対策に加えてより賢いパッチマネージメントシステムの利用を検討すること、EoLを迎えたソフトウェアの破棄を検討することなどを緩和策として取り上げている。