Adobe製品の脆弱性2891件の傾向と悪用度合いまとめ

Google Project Zero、公知のゼロデイ攻撃事例をまとめたスプレッドシートを公開

　Googleで、いわゆる「ゼロデイ攻撃」を専門に研究しているセキュリティチーム「Project Zero」は、ゼロデイ攻撃の公知の事例をまとめたスプレッドシート「0day "In the Wild"」を公開しました。特に新しい情報が含まれているわけではありませんが、情報が1カ所にまとまっているのはとても便利で、コミュニティでの情報共有に大いに役立つことは間違いありません。

　収集されたデータは、GoogleがProject Zeroの設立を発表した2014年7月15日以降の事例で、スプレッドシートに記載されているのは、CVE番号、ベンダー名、製品名、脆弱性の種類、脆弱性の簡単な説明、発見日、パッチ提供日、アドバイザリのURL、分析内容のURLなどです。

　また、2019年5月15日時点のスプレッドシートから分かるものとして、以下を紹介しています。

• 新しく「出回った（in the wild）」悪用事例が見つかるのは平均して17日おき。
• 悪用開始からパッチの提供までに要する日数は全てのベンダーで平均して15日。
• 脆弱性の根本原因に関する技術的に詳細な分析結果が公表されているのは掲載されたCVEのうち86％。
• 掲載されたCVEのうち根本原因がメモリ破壊である脆弱性は68％。

　Project Zeroがどれくらいの頻度でデータを更新をしてくれるのかは分かりませんが、PDFのような文書の形ではなく、再利用しやすいスプレッドシートなのは大変ありがたいです。うまく活用させていただきましょう。

米RiskSense、過去20年以上にわたるAdobe製品の脆弱性を分析

　一般的に、広く使われているソフトウェアほど、その脆弱性が攻撃に悪用されやすく、中でもMicrosoftやAdobeの製品は実際にこれまで多くの脆弱性が悪用されてきました。そのような中、米セキュリティ企業のRiskSenseは、過去20年以上にわたるAdobe製品の脆弱性を分析し、その傾向や実際に悪用（武器化：Weaponization）された度合いなどを調べた結果をまとめた報告書「RiskSense Vulnerability Weaponization Insights」を公開しました。調査の対象は1996年8月から2018年11月までに公開された、CVE番号で2891件の脆弱性です。

　まず今回の調査結果で最も大きく取り上げられているのは、実際に悪用された脆弱性の数と割合が最も大きかったのが2018年だったという点です。推移をまとめたのが以下の図です。

　2018年に公開された脆弱性は、最も多かった2016年の538件に比べて30.5％も少ない374件でしたが、悪用された件数は177件と過去最多であり、2018年に公開された脆弱性の47％を占めています。

　次に、脆弱性情報の公開やパッチの提供前に悪用される、いわゆる「ゼロデイ攻撃」について調べた結果は次のようになっています。ここで「脆弱性情報の公開」とは、米国立標準技術研究所（NIST）の脆弱性情報データベース「NVD（National Vulnerability Database）」での公開と定義しています。

　攻撃に悪用された脆弱性の8割近く（473件＋93件）はパッチ提供後に悪用が始まっていますが、パッチも情報も提供されていない段階で悪用され始めた脆弱性が2割近く（138件）もあり、しかも、その3割以上が2018年の1年間で公になった脆弱性なのです。

　また、今回の調査ではNVDでの脆弱性情報の公開が遅れがちであることも明らかになっています。ベンダーが最初に情報公開するケースと、NVDがベンダーと同じ日に情報公開するケースの割合の推移を示したのが以下の図です。

　2007年以降はNVDでの公開が遅れるケースの方が多く、2018年には公開された全374件の脆弱性情報のうち、NVDが同じ日に公開したのは10件にとどまっています。

　一方、脆弱性の種類で最も多いのは「Buffer Overflow（CWE-119）」で、全体の38％にあたる1094件を占めています。次に多いのは「Out-of-bounds Read（CWE-125）」の195件、「Use After Free（CWE-416）」の160件となっており、CWE-119が他を圧倒しています。脆弱性の種類で多くを占めるトップ3の年ごとの推移をまとめたのが以下の図です。2018年には「Out-of-bounds Read（CWE-125）」が多くを占めているのが特徴的です。

　さらに、製品ごとでまとめたのが以下の図です。Acrobat ReaderとFlash Playerの2製品だけで全体のほぼ8割を占める2421件に上っており、うちAcrobat Readerが1338件、Flash Playerが1083件となっています。なお、単一のCVE番号で複数のAdobe製品に共通した脆弱性を示すものがあるため、製品ごとの脆弱性の合計はCVE番号での総数2891件より多くなります。

　また、年ごとのトップ3製品の推移をまとめたのが以下の図です。

　2015年をピークにFlash Playerの脆弱性が報告される件数は急激に減ってきており、2017年以降はAcrobat Readerが圧倒的大多数を占めていることが分かります。ただし、これは世の中の「Flash Player離れ」が進んで「注目度」が下がったためと考えるべきであり、Flash Player自体が堅牢になったとは限らないことに注意が必要です。一方、Acrobat Readerの脆弱性が多く報告されるようになったのは、Acrobat DCが登場した2015年以降である点をRiskSenseは強調しています。

　ほかにも今回の調査ではCVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）に基づく脆弱性の深刻度による分類と分析なども行われています。また、いくつかの代表的な脆弱性については、それぞれ個別に情報公開やパッチ提供、悪用開始のタイムライン、さらにその脆弱性を悪用した攻撃ツールの名前などを紹介しています。

　実際にはAdobe製品だけが攻撃に悪用されているわけではありませんが、それでも「攻撃者はAdobe製品の脆弱性に目をつけている」ことは疑いようがなく、その事実は真剣に受け止めるべきです。提供されたパッチを速やかに適用するのはもちろん、パッチや情報が提供される前に悪用されてしまう可能性を考えた上での対策も必要でしょう。

　また、今回の報告書の観点は他社の製品にも十分に適用可能なものなので、RiskSenseは他社製品についてまとめる際のモデルとして使って欲しいとしています。うまく利用してください。