海の向こうの“セキュリティ”
産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴
2023年9月7日 12:41
米CISAが提供するICS Advisoryの2023年上半期の傾向分析
米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)はかねてより産業用制御システム(Industrial Control System、以降ICS)の脆弱性などについて「ICS Advisory」を適宜公開しています。一方、ICSのサイバーセキュリティ企業である米SynSaberはそのICS Advisoryの傾向を分析した結果を定期的に公開しています。
今回はそのSynSaberがICS Advisory Projectとともに公開した2023年上半期のレポート「ICS CVE Research Report - First Half of 2023」の内容を紹介します。なお、ICS Advisory Projectは、CISAのICS Advisoryのデータをダッシュボードとして視覚化し、CSV形式で提供することで、コミュニティの脆弱性分析を支援しているオープンソースプロジェクトです。
分析結果の主要なポイントとして挙げられているのは以下の5点です。なお、ここでは「CVE」を本来の「Common Vulnerabilities and Exposures(共通脆弱性識別子)」の意味に加えて「CVE番号を振られた脆弱性」の意味でも使っていることに注意してください。
- ICS Advisoryの総数は減っており、2022年上半期の205件から9.8%減の185件となっている。
- ICS Advisoryで報告されているCVEの総数は微減しており、2022年上半期の681件から1.6%減の670件となっている。
- 2023年上半期のICS Advisoryで報告されているCVEのうち34%(670件のうち227件)がベンダーからパッチや対策が提供されていない。これは2022年上半期の13%(681件のうち88件)から大幅に増加したが、2022年下半期の35%とほぼ同じである。
- CVEの報告者のトップは依然としてOEM(Original Equipment Manufacturer、製品の本来の製造業者)である。シーメンス、トレンドマイクロのZero Day Initiative(ZDI)、日立エナジーは、ICS Advisoryに含まれるCVEの報告者のトップである。
- 2023年上半期に報告されたCVEによる影響を最も受ける可能性のある2分野は製造業とエネルギー(報告された全CVEのそれぞれ37.3%と24.3%)だった。
なお、報告書では製造業とエネルギーの2分野に関するそれぞれ37.3%と24.3%の数字を、報告された全CVEの670件に対する割合としていますが、上記の表が示すように2023年上半期の全ICS Advisoryの185件に対する割合と見るべきでしょう(69/185=0.373、45/185=0.243)。
上記以外にも注目すべき点として、製造業とエネルギーの2分野に影響を与える製品のベンダーについてまとめたのが以下の図です。
重要製造業では三菱電機、エネルギー分野では日立エナジーがそれぞれトップとなっています。当然ながら、三菱電機や日立エナジーの製品が際立って脆弱という意味ではなく、それらの製品に影響する脆弱性が多く発見・報告されているという意味でしかないことに注意してください。
報告書では最後に注意事項として、CVE番号を振られていない脆弱性に対するパッチがベンダーからリリースされることが珍しくないことを強調しています。また、結論の中で脆弱性対応の優先順位付けにはCISAのICS Advisoryだけでは不十分であり、その他の公式に認められたリソースやコミュニティ主導のリソースも活用することや脆弱性が現れる環境のコンテキストで脆弱性を理解する必要性を挙げています。当たり前ですが、これらはICSに限った話ではありません。
今回は報告書の中のごく一部のみの紹介にとどまっていますが、報告書では他にもCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の観点で分析した結果なども掲載されています。また、報告書でも言及されているように、ICSの脆弱性対応としてCISAのICS Advisoryの情報だけでは十分ではありませんが、それでもICSの脆弱性の傾向を概観するには十分な内容となっています。ICSのセキュリティに関わる方には一読をお勧めします。
- SynSaber (2023年8月2日)
SynSaber and ICS Advisory Project Identify Vulnerability Trends Within The Critical Infrastructure Sector - https://synsaber.com/newsroom/ics-vulnerabilities-report-synsaber-ics-advisory-project/
- SynSaber (2023年8月2日)
ICS CVE Research Report - First Half of 2023 - https://synsaber.com/resources/research-reports/ics-cve-reports/ics-cve-research-first-half-2023/
- ICS Advisory Project
- https://www.icsadvisoryproject.com/
- 情報処理推進機構 CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
- https://www.ipa.go.jp/security/controlsystem/icsadvisories.html
- The Hacker News (2023年8月2日)
Industrial Control Systems Vulnerabilities Soar: Over One-Third Unpatched in 2023 - https://thehackernews.com/2023/08/industrial-control-systems.html
米CISAなどが連名で2022年に日常的に悪用された脆弱性トップ12を公開
米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)は国内外の関連機関と連名で、2022年に日常的に悪用された脆弱性トップ12を公開しました。名前を連ねているのは以下の機関です。
米国
- The Cybersecurity and Infrastructure Security Agency(CISA)
- National Security Agency(NSA)
- Federal Bureau of Investigation(FBI)
オーストラリア
- Australian Signals Directorate’s Australian Cyber Security Centre(ACSC)
カナダ
- Canadian Centre for Cyber Security(CCCS)
ニュージーランド
- New Zealand National Cyber Security Centre(NCSC-NZ)
- Computer Emergency Response Team New Zealand(CERT NZ)
英国
- National Cyber Security Centre(NCSC-UK)
トップ12は以下の通り。
CVE-2018-13379
Fortinet SSL VPNの脆弱性。2020年と2021年にも日常的に悪用されていた。
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523
Microsoft Exchangeメールサーバーの脆弱性。ProxyShellとして知られている。
CVE-2021-40539
Zoho ManageEngine ADSelfService Plusの脆弱性。
CVE-2021-26084
Atlassian Confluence ServerおよびData Centerの脆弱性。
CVE-2021-44228
Apache Log4jライブラリの脆弱性。Log4Shellとして知られている。
CVE-2022-22954, CVE-2022-22960
VMware Workspace ONE AccessおよびIdentity Managerなどの脆弱性。
CVE-2022-1388
F5 NetworksのBIG-IPの脆弱性。
CVE-2022-30190
Microsoft Support Diagnostic Tool(MSDT)の脆弱性。Follinaとして知られている。
CVE-2022-26134
Atlassian Confluence ServerおよびData Centerの脆弱性。上記CVE-2021-26084と関連。
発表資料では、上記トップ12に加え、他にも日常的に悪用されている脆弱性として30件を追加で紹介しており、その中には「ProxyLogon」として知られるMicrosoft Exchange Serverの脆弱性4件が含まれています。また、この30件のうち20件は2021年以前の脆弱性で、最も古いものは2017年の脆弱性です。
今回の結果の重要なポイントは以下のようにまとめられています。ここでも「CVE」を本来の意味に加えて「CVE番号を振られた脆弱性」の意味でも使っていることに注意してください。
2022年には、悪意のあるサイバーアクターは最近公開された脆弱性よりも古いソフトウェアの脆弱性を悪用する頻度が高く、パッチが適用されていないインターネットに直結したシステムを標的としていた。ソフトウェアの脆弱性または脆弱性チェーンの多くについて、PoC(Proof of Concept、概念実証)コードが公開されていたため、より広範な悪意のあるサイバーアクターによる悪用が促進された可能性がある。
一般的に悪意のあるサイバーアクターは公開から2年以内の既知の脆弱性を悪用することに最も成功しており、そのような脆弱性の価値はソフトウェアに対するパッチの適用やアップグレードに伴って徐々に下がっていく。パッチを適時に適用することで、既知の悪用可能な脆弱性の有効性が低下するため、悪意のあるサイバーアクターの活動ペースを低下させ、よりコストと時間のかかる方法(ゼロデイエクスプロイトの開発やソフトウェアサプライチェーン・オペレーションの実施など)を追求せざるをえなくさせる可能性がある。
悪意のあるサイバーアクターは深刻かつ世界的に広まっているCVEに対するエクスプロイトの開発を優先している可能性がある。洗練されたアクターは他の脆弱性を悪用するツールも開発している一方で、極めて重大で、広く存在し、かつ公に知られている脆弱性に対するエクスプロイトを開発することで、アクターは低コストでインパクトの大きいツールを数年間使用することができるようになる。さらに、サイバーアクターは特定のターゲットのネットワークでより広く存在している脆弱性に、より高い優先順位を付ける可能性が高い。さまざまなCVEまたはCVEチェーン(の悪用に)はアクターが脆弱なデバイスに悪意のあるウェブリクエストを送信することを必要としており、そのデバイスはディープ・パケット・インスペクションを通じて検出できる固有のシグネチャを含んでいることが多い。
今回の結果で注目すべきは、トップ12のうち半数以上の7件が、また、追加の30件のうち20件が、2021年以前に公になった脆弱性であるという点でしょう。これまでにも常に言われ続けてきたことではありますが、2022年もまだ多くの脆弱性が放置されたままになっていたことを示していると言えます。改めて速やかなパッチの適用の重要性を示すデータの1つとしてうまく活用してください。
- CISA(2023年8月3日)
2022 Top Routinely Exploited Vulnerabilities - https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a
- Security NEXT(2023年8月4日)
2022年に悪用が目立った脆弱性トップ12 - 2021年以前の脆弱性も引き続き標的に - https://www.security-next.com/148411
- マイナビ TECH+(2023年8月7日)
サイバー攻撃者が狙う人気の脆弱性が明らかに、ただちに確認を - https://news.mynavi.jp/techplus/article/20230807-2743075/
- まるちゃんの情報セキュリティ気まぐれ日記(2023年8月7日)
Five Eyes 2022年 日常的に悪用される脆弱性トップ12 - http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/08/post-7066b6.html
- @IT(2023年8月24日)
2022年に最も悪用された脆弱性は? Cloudflareが分析結果を発表「Log4jの脆弱性は桁違いだった……」 - https://atmarkit.itmedia.co.jp/ait/articles/2308/24/news088.html
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。