フィンランドのWithSecure(ウィズセキュア)は6月18日、エッジサービスとインフラの脆弱性に関する調査レポートを発表した。

ボットネットを上回った可能性がある大規模エクスプロイト

2024年にKEV(Known Exploited Vulnerability=既知の悪用された脆弱性)カタログに追加したエッジサービスおよびインフラにおけるCVE(Common Vulnerabilities and Exposures=共通脆弱性識別子)の数は、2023年比で1カ月あたり22%増加し、KEVに追加されたそのほかのCVEの数は同年比で1カ月あたり56%減少している。

さらに、過去2年間にKEVに追加されたエッジサービスおよびインフラでのCVEは、平均して他のCVEよりも深刻度が11%高くなっている。最近、発行された複数の業界レポートによると、ランサムウェアのインシデントの主要なベクトルとして、大規模エクスプロイトがボットネットを上回った可能性があるという。

MOVEit、CitrixBleed、Cisco XE、FortiguardのFortiOS、Ivanti ConnectSecure、Palo AltoのPAN-OS、JuniperのJunos、ConnectWise ScreenConnectなど、脆弱なソフトウェアへの大規模エクスプロイトによるセキュリティインシデントが急速に増加しているとのことだ。

  • 月ごとのエッジCVEの悪用数

    月ごとのエッジCVEの悪用数

エッジサービスが攻撃者の魅力的なターゲットに

エッジサービスは、攻撃者にとって非常に魅力的なターゲットとなっており、インターネットに面し、リモートユーザーに重要なサービスを提供することを目的としているため、リモートでの攻撃をしかける脅威アクターに悪用される可能性があると指摘。

WithSecure IntelligenceのシニアスレットアナリストであるStephen Robinson(スティーヴン・ロビンソン)氏は、こうした状況について「大規模エクスプロイトの発生に必要なものはただ1つ。それは、脆弱なエッジサービスです。つまり、インターネットからアクセス可能な一部のソフトウェアです。悪用されるエッジサービスの多くに共通するのは、ファイアウォール、VPNゲートウェイ、Eメールゲートウェイなどのインフラデバイスであり、一般的にロックダウンされたブラックボックスのようなデバイスです。このようなデバイスはネットワークの安全性を高めるためのものであるはずにも関わらず、何度も脆弱性が発見され、それが攻撃者に悪用されています」と述べている。

  • 年ごとの月平均のエッジとそのほかのCVEの悪用数

    年ごとの月平均のエッジとそのほかのCVEの悪用数

同氏によるリサーチでは、大規模エクスプロイトはランサムウェアを使用する脅威アクターや国家ハッカー集団にとって、新たに観測された主要な攻撃ベクトルとなっている。また、金銭的な動機を持つサイバー犯罪者にとっては、ゼロデイ脆弱性やワンデイ脆弱性を悪用するための能力や専門知識は、以前よりはるかに入手しやすい状況だという。

ロビンソン氏は「大規模エクスプロイトがメジャーな攻撃ベクトルになりつつあるのは、脆弱なエッジサービスが非常に多いため、または、大規模エクスプロイトの流行によって攻撃者と防御者が脆弱なエッジサービスをより意識するようになったためだと考えられます」と結論付けている。