WithSecure(ウィズセキュア)はエッジサービスとインフラの脆弱性に関する調査を行い、そのレポートを発表した。
2024年にKnown Exploited Vulnerability(KEV)カタログに追加されたエッジサービスおよびインフラにおけるCommon Vulnerabilities and Exposures(CVE)の数は、2023年に比べて1ヵ月あたり22%増加しているが、KEVに追加されたその他のCVEの数は、2023年に比べて1ヵ月あたり56%減少しているという。
また、過去2年間にKEVに追加されたエッジサービスおよびインフラでのCVEは、平均して他のCVEよりも深刻度が11%高くなっているとしている。最近発行された複数の業界レポートによると、ランサムウェアのインシデントの主要なベクトルとして、大規模エクスプロイトがボットネットを上回った可能性があるとのことだ。MOVEit、CitrixBleed、Cisco XE、FortiguardのFortiOS、Ivanti ConnectSecure、Palo AltoのPAN-OS、JuniperのJunos、ConnectWise ScreenConnectなど、脆弱なソフトウェアへの大規模エクスプロイトによるセキュリティインシデントが増加しているという。
エッジサービスは、攻撃のターゲットになっているという。これは、エッジサービスがインターネットに面しており、リモートユーザーに重要なサービスを提供することを目的としているからで、リモートでの攻撃をしかける脅威アクターに悪用される可能性があるとしている。
WithSecure IntelligenceのシニアスレットアナリストであるStephen Robinson氏は、こうした状況について次のように述べている。
「大規模エクスプロイトの発生に必要なものは、脆弱なエッジサービス。つまり、インターネットからアクセス可能な一部のソフトウェアです。悪用されるエッジサービスの多くに共通するのは、ファイアウォール、VPNゲートウェイ、Eメールゲートウェイなどのインフラデバイスであり、一般的にロックダウンされたブラックボックスのようなデバイスです。このようなデバイスはネットワークの安全性を高めるためのものであるはずにも関わらず、何度も脆弱性が発見され、それが攻撃者に悪用されています。」
Robinson氏によるリサーチでは、大規模エクスプロイトはランサムウェアを使用する脅威アクターや国家ハッカー集団にとって、新たに観測された主要な攻撃ベクトルとなっているという。また、金銭的な動機を持つサイバー犯罪者にとっては、ゼロデイ脆弱性やワンデイ脆弱性を悪用するための能力や専門知識は、以前より入手しやすい状況となっているとしている。
【関連記事】
・ウィズセキュア、クラウドプラットフォーム向けのアイデンティティ保護ソリューションを提供開始
・ウィズセキュア、「WithSecure Luminen」をローンチ セキュリティチームの人的リソース不足を解決
・【情シス必見】マルチクラウド時代の脆弱性対策が急務……富士通が示すICTインフラ運用“最適化”への道
