米政府機関がパッチ適用を呼び掛ける「外国のサイバー攻撃関係者らに日常的に悪用されている脆弱性」とは

「最も攻撃に悪用されている脆弱性」トップ10を比較

　本連載の2020年4月の記事において、米セキュリティ企業Recorded Futureの調査による「犯罪者たちに最も狙われた脆弱性」を紹介しましたが、同様の趣旨の情報が米政府機関から公開されました。

　米国土安全保障省のCybersecurity and Infrastructure Security Agency（CISA）やFBIなどは、外国のサイバー攻撃関係者らに日常的に悪用されている脆弱性についてまとめた文書を公開し、適切なパッチ適用を呼び掛けました。

　まず、2016年から2019年の間で最も悪用された脆弱性トップ10は以下の通り。対象となる製品などの詳細は原文を参照してください。

1. CVE-2017-11882
   Microsoft Office
2. CVE-2017-0199
   Microsoft Office, Windows Vista, Windows Server 2008, Windows 7, Windows 8.1
3. CVE-2017-5638
   Apache Struts 2
4. CVE-2012-0158
   Microsoft Office, Office 2003 Web Components, SQL Server, BizTalk Server, Commerce Server, Visual FoxPro, Visual Basic
5. CVE-2019-0604
   Microsoft SharePoint
6. CVE-2017-0143
   Microsoft Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows RT 8.1, Windows 10, Windows Server 2016
7. CVE-2018-4878
   Adobe Flash Player
8. CVE-2017-8759
   Microsoft .NET Framework
9. CVE-2015-1641
   Microsoft Word 2007, Office 2010, Word 2010, Word 2013, Word 2013 RT, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server, Office Web Apps Server
10. CVE-2018-7600
    Drupal

　Recorded Futureの以下のリストと比較すると、共通しているのは「CVE-2017-11882」「CVE-2018-4878」「CVE-2017-0199」「CVE-2012-0158」の4つのみです。

　また、Recorded Futureのリストで挙げられているのは、ほぼMicrosoftとAdobeの製品のみですが、米政府機関のリストにはApache Struts 2やDrupalが入っています。さらにRecorded Futureの2019年のリストでは4つも含まれていたMicrosoft Internet Explorerの脆弱性が全くない点も目を引きます。

　この違いは対象となる脆弱性が異なるためと考えられます。Recorded Futureのリストは、アンダーグラウンドの犯罪者たちが使用している脆弱性に限定しており、2017年5月に世界的に大きな被害を生んだワーム型ランサムウェア「WannaCry」で悪用された脆弱性「EternalBlue」（CVE-2017-0144）をはじめとする、国家が関与しているとみられる攻撃で使われているEternal系の脆弱性を意図的に除外しています。

　これに対し、今回の米政府機関によるリストは「外国のサイバー攻撃関係者らに日常的に悪用されている脆弱性（vulnerabilities routinely exploited by foreign cyber actors）」としており、リストには「CVE-2017-0143」というEternal系の脆弱性が含まれています。また、悪用している攻撃者らの中に中国やイラン、北朝鮮、ロシアの国家による支援を受けている者がいることも明らかにしています。一方、明言はされていないものの、米国側から行なわれている攻撃（米国政府が関与しているか否かは別として）には日常的に使われているけれども、他国ではあまり使われていないような脆弱性は（もし存在していたとしても）ランクインしていないと考えられます。

　このような違いがあるため、Recorded Futureによるリストとは異なる結果になっていますが、それでも注目すべき共通点はあります。どちらもMicrosoft製品が多いのは当然として、挙げられている脆弱性の全てがすでに修正済みであり、パッチを適用していれば防げるという点です。また、比較的「古い（dated）」脆弱性が多く、中でも双方のリストに「CVE-2012-0158」という非常に古い脆弱性が含まれている点は重要です。なお、この古い脆弱性は2019年12月時点で中国の国家による支援を受けた攻撃者らに悪用されていることが今回の文書に明記されています。

　この共通点が示すのは、実際にはパッチが適用されずに放置されたために被害を受けてしまっているケースが多いということであり、今回の文書は改めてパッチの速やかな適用の重要性を示しているわけです。さらに踏み込んで言えば、パッチ適用を前提とした「パッチ適用性の高い」システムやネットワークの設計と運用が求められているとも言えるでしょう。

　今回は2020年に悪用されている脆弱性についても注意喚起がなされています。

• CVE-2019-11510
  Pulse Connect Secure, Pulse Policy Secure
• CVE-2019-19781
  Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP

　また、CVE番号が振られるような脆弱性ではなく、運用管理の問題ではありますが、以下の2点も挙げられています。

• Microsoft Office 365のセキュリティ設定ミス
  - 在宅勤務への急激な移行に対応するための拙速な導入作業によるミスの可能性
• 組織的なサイバーセキュリティの弱点
  - ソーシャルエンジニアリング攻撃に関する不十分な従業員教育
  - システム復旧や緊急時対応計画の不足
  など

　あくまで米国にとっての外国からの脅威という視点でまとめられているため、必ずしも公平・公正とは言えないかもしれませんが、基本的にはどの国のどの企業や組織にとっても役立つ情報をコンパクトにまとめている文書ですので、セキュリティに関わる方には一読をお勧めします。

LastPass、パスワード管理に関する実態調査

　パスワードマネージャーで知られるLastPassは、世界各国の計3250人を対象にパスワード管理に関する実態を調査した結果を「Psychology of Passwords: The Online Behavior That's Putting You at Risk」として公開しました。LastPassによるレポートなので「パスワードマネージャーを使いましょう」との結論になってしまうのは当然なのですが、現状を大まかに知るにはちょうどよい資料と言えるでしょう。

　報告書で最も大きくアピールされているのは、回答者の91％が同じまたは類似のパスワードを使い回すことが危険であると知っているにも関わらず、実際には66％が「全て（always）」または「ほぼ全て（mostly）」のアカウントで使い回しをしていると回答している点です。この66％という数字は前年の調査に比べて8％の増加になっています。

　ほかにもさまざまな調査結果が掲載されており、例えば、金融関連のアカウントに対しては他のアカウントと比べて（当然ではありますが）「強いパスワード」や「多要素認証」を使う傾向があることも明らかになっています。

　また、国による違いも興味深いです。ドイツ、ブラジル、シンガポール、英国、オーストラリア、米国について特徴的な点が紹介されていますが、中でもシンガポールと米国で多要素認証の使用率が高いのは目を引きます。多要素認証の世界全体での使用率は、仕事のアカウントで37％、個人アカウントで54％ですが、シンガポールではそれぞれ58％と70％、米国では42％と58％となっています。

　今回の報告書で日本の特徴が挙げられていないのは気になります。サンプル数が少なかったのか、特に目立った傾向がなかったのかは分かりませんが、LastPassにはぜひとも次回は日本についても言及していただきたいです。