変化する侵入経路:脆弱性攻撃の台頭
2024年版で15回目の発行となる『M-Trends 2024 Special Report(以下、M-Trends 2024)』は、2023年1月から12月までの1年間にわたるインシデント対応と脅威インテリジェンス分析の結果をまとめたものです。
同レポートによると、2023年に最も頻繁に悪用された侵入経路は、「脆弱性の悪用」でした。システムへの侵入においては、全体の38%が脆弱性を悪用したものであり、前年比6ポイントの増加が示されています。
この初期侵入ベクトルの分析結果からは、攻撃者の“戦術の変化”が明確に読み取れるでしょう。2021年以降、脆弱性を悪用した攻撃が最も一般的な侵入経路となり、従来首位だったフィッシングを上回りました。この傾向はグローバルだけでなく、アジア太平洋地域でも同様に観察されています。
特に注目すべきは、「ゼロデイ攻撃」の急増です。2023年には97件のゼロデイが確認されており、前年と比べると大幅に増加しています。ゼロデイ脆弱性は、パッチが適用される前に攻撃者によって悪用される攻撃手法のため、企業・組織は危険に曝されている状況だと言えるでしょう。
[画像クリックで拡大]
また、注目すべき脆弱性として、以下の3つが挙げられます。
1. 「CVE-2023-34362」(MOVEit Transfer)
Progress Software社のMOVEit Transfer製品に存在した「SQLインジェクション」の脆弱性です。Mandiantでは、この脆弱性を高リスクと評価しました。金銭目的の攻撃グループFIN11が、この脆弱性を大規模に悪用することでデータ窃取と脅迫を行っています。
2. 「CVE-2022-21587」(Oracle E-Business Suite)
Oracle E-Business Suiteに存在する、認証不要のファイルアップロードに関する脆弱性です。この脆弱性は、攻撃者にリモートコード実行を可能にする危険性の高いものでした。
3. 「CVE-2023-2868」(Barracuda Email Security Gateway)
Barracuda Networks社のEmail Security Gatewayに存在する、コマンドインジェクションの脆弱性です。この脆弱性は、中国につながると考えられる攻撃グループUNC4841によって悪用されました。
これら3つの脆弱性に共通する特徴は、いずれもネットワークの境界に位置するデバイスやアプリケーションに関するものだという点です。こうしたエッジデバイスは、組織のネットワークへの入り口となるため、攻撃者にとって魅力的な標的となっています。
[画像クリックで拡大]
