2017年のサイバー攻撃に悪用された脆弱性トップ10／中CNNVDが脆弱性情報の公開日を改ざん？

　米セキュリティ企業Recorded Futureは、2017年のサイバー攻撃に悪用された脆弱性についてまとめた調査報告書「Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals」を公開しました。

　まず、この報告書で最も目を引くのは、攻撃に使われた脆弱性の上位10個のうち、7つがMicrosoft製品の脆弱性であり、Adobe Flash Playerの3つを上回っていた点です。

サイバー犯罪に使われた脆弱性トップ10（Recorded Future「Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals」より）

　この数年来、攻撃に悪用される脆弱性としてはFlash Playerが多数を占めており、例えば、2015年には上位10個のうち8つ、2016年には10個のうち6つがFlash Playerの脆弱性だったことと比較すると、2017年は大きく変わったと言えるでしょう。

　しかし、この変化は至極当然とも言えます。Flash Playerについては、Adobeによるサポートが2020年末に終了することから、すでに多くのウェブサイトがFlashを捨てており（別の調査によればFlashを使用しているウェブサイトは5％にまで減少しているとのこと）、Flash Playerは不要なものとして、利用者側ではアンインストールされている、または無効にされているケースが増えて来ていると考えられます。そうなれば、攻撃する側もFlash Playerを悪用するのは効率が悪いので他の製品に移行するのは当然であり、その移行先が Microsoft製品というのも、これまたシェアを考えれば当然でしょう。なお、Recorded Futureは、Flash Playerを標準で無効化しているGoogle Chromeのシェアが拡大したことをFlash Playerの悪用が減った理由の1つとして挙げています。

　ほかにも、上位10個の脆弱性のうち、2017年に公開されたものは3つに過ぎず、半分の5件が2016年であるほか、2014年や2015年に公開された脆弱性も悪用され続けている点に注目する必要があります。新しい脆弱性に注意するだけでなく、古い脆弱性についても修正プログラムの適用漏れがないかを確認することの重要性を改めて示していると言えるでしょう。ちなみに、2番目に多かったCVE-2016-0189（修正プログラムの公開は2016年5月）は、2016年に最も多くの攻撃に悪用された脆弱性であり、前年に引き続き悪用され続けていることが分かります。

　一方、2017年に最も多く攻撃に悪用されたCVE-2017-0199は、2017年4月に修正プログラムが公開された脆弱性ですが、すでに2017年1月には攻撃に悪用され始めており、いわゆる“ゼロデイ攻撃”が発生していたことが確認されています。また、これを悪用した攻撃ツールを作成するソフトウェアは400ドルから800ドルで売られているそうです。

　脆弱性の深刻度を示すCVSS値については、概ね高い値となっていますが、3番目に多かったCVE-2017-0022は4.3と比較的低い値となっています。CVSS値が高くなくても悪用される可能性が十分にあることを示す例でしょう。

　上位10個の脆弱性それぞれについて関連するマルウェアの数をまとめたのが以下の図です。

脆弱性トップ10とそれらに関連したマルウェアの数（Recorded Future「Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals」より）

　例外はありますが、概ねCVSS値が高い脆弱性ほど、マルウェアに使われやすい傾向が見て取れます。

　次に、脆弱性ではなく、エクスプロイトキットの観点で、新たに観測されたものの推移をまとめたのが以下の図です。

新しく観測されたエクスプロイトキットの推移（Recorded Future「Soft Target: The Top 10 Vulnerabilities Used by Cybercriminals」より）

　2016年には26種類だったものが、2017年には62％も減った10種類となっています。この減少の一因としてRecorded Futureは、ユーザーがより安全なブラウザーを使うようになったことで、攻撃者が、エクスプロイトキットを使ったウェブ経由の攻撃よりも、（脆弱性を使わずに詐欺的手法などを使って感染させた）暗号通貨採掘マルウェアで直接金を稼ぐ方法をとるようになってきたからではないかと説明しています。

　今回の報告書は短め（10ページに満たない）で、さらっと読めるものになっていますので、もう少し詳細な内容を知りたい方は、まずは気楽に目を通してみてください。

中CNNVDが脆弱性情報の公開日を改ざん？

　本連載の2017年12月の記事（『脆弱性情報データベース比較、米NVD vs 中CNNVD』）で紹介したように、2017年11月に公開された米Recorded Futureによる調査結果において、中国のAPT攻撃グループが悪用している深刻な脆弱性など、一部のものについて、中国の公的機関による脆弱性情報データベース「CNNVD（China National Vulnerability Database of Information Security）」での掲載が意図的に遅らされている可能性があることが指摘されていましたが、その続報が2018年3月に公開されました。

　続報によると、掲載が意図的に遅らされた可能性があるとされていた脆弱性情報の公開日が、前回の調査結果の発表後、米国立標準技術研究所（NIST）の脆弱性情報データベース「NVD（National Vulnerability Database）」の公開日に近い日にさかのぼって変更されていたのだそうです。

　このような公開日の変更が行われた脆弱性情報の数は267に及んでおり、例えば、CVE-2017-0199については、2017年10月の時点で「2017年6月7日」に公開とされていたにもかかわらず、2018年2月に確認したところ、公開日が56日さかのぼった「2017年4月13日」に、また、CVE-2016-10136については、2017年10月の時点で「2017年9月6日」だった公開日が2018年2月には236日もさかのぼった「2017年1月13日」に変更されていました。

　Recorded Futureは、公開日が遅らされた理由として、CNNVDを運営している中国の情報機関である国家安全部（MSS：Ministry of State Security）が自らの諜報活動に使える脆弱性か否かなどを判断している可能性があると指摘していましたが、今回確認された公開日の変更は、その指摘をかわす目的があるのではないかとの見解を示しています。

　もちろん、CNNVDとしては公開日の定義を、CNNVDでの初掲載日ではなく、全世界での一般公開日に改めただけなのかもしれません。それでも、その変更がRecorded Futureによる2017年11月の指摘の後であるというのは気になるところです。

　なお、今後もRecorded Futureは継続してCNNVDについての調査を行うそうです。