脆弱性を突く攻撃は、長年にわたって用いられてきたサイバー攻撃の常套手段である。そして、近年ではその危険性が一層高まっていることをネットワーク管理者は十分に認識しなければならない。ある調査によれば、情報漏えいにつながった脆弱性攻撃の件数は、2023年に前年比で3倍へと急増したと報告されている。また、ランサムウェア攻撃に至った3つの主要な攻撃経路のうち1つは、セキュリティホールを突いたものであった。

CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）の件数がかつてないほど増加している中、企業・組織はその対策に苦慮している。脆弱性に関連した脅威を回避するためには、より一貫性があり、自動化され、かつ、リスクに基づいたアプローチが求められている。

増え過ぎたバグ

ソフトウェア開発において脆弱性は避けがたいものだ。人間がコードを書いている以上、開発中に人為的なミスが発生し、攻撃者に付け入る隙を与えてしまうバグが残ってしまう可能性がある。迅速かつ大規模な攻撃によって、ランサムウェアやデータの窃取にとどまらず、国家主導の高度な諜報活動や破壊的行為など、さまざまな脅威を与えるまでとなっている。

残念ながら、毎年公開されるCVEの件数は高止まりの状況にある。その要因について解説する。

• 新機能開発とCI（継続的インテグレーション）の推進により、ソフトウェアの更新頻度が高まり、同時に複雑性も増している。その結果、攻撃者の侵入経路が拡大し、新たな脆弱性が発生するリスクが生じている。さらに、サードパーティー製コンポーネントやオープンソース・ライブラリーの導入により、未知の脆弱性が混在する可能性もある。
• セキュリティよりも開発スピードが優先される場合が多く、必要なコードレビューが行われないままソフトウェア開発が進められるケースがある。そのため、製品コードにバグが紛れ込んでしまう可能性がある。また、開発者が使用したオープンソース・コンポーネントにバグが潜んでいる場合もある。
• アメリカ国防総省やメタ社など、さまざまな組織が運営するバグ・バウンティ・プログラム（脆弱性報奨金制度）の拡大により、セキュリティ研究者は成果を上げつつある。発見されたバグは、その責任を有するベンダーによって公表され、パッチが公開される。ただし、ユーザーがそのパッチを適用しなければ、バグは依然として危険な状態に置かれる。
• 商用スパイウェアベンダーは法的にグレーな領域で活動しており、顧客（多くの場合、独裁政権）が敵対者に諜報活動を仕掛けるためにマルウェアやエクスプロイトを販売している。英国サイバーセキュリティセンター（NCSC）の推定によれば、「不正アクセス業界」は10年ごとに倍増しているとされる。
• サイバー犯罪のサプライチェーンは高度に専門化されている。例えば、イニシャルアクセスブローカー（以下、IAB）は、脆弱性を悪用した攻撃により、企業ネットワークへ侵入するのに特化した役割を担っている。2023年の報告によれば、サイバー犯罪業界においてIABの数は45%増加し、2022年にダークウェブ上で掲載されたIAB関連の広告は前年比で倍増していたとされる。

増加傾向を示す脆弱性のトレンド

脆弱性を取り巻く状況には、変化している部分と、そうでない部分が存在する。MITRE社によると、2023年6月から2024年6月の間で頻繁に発見されたソフトウェアの不具合上位25種の中には、以前からよく見られる脆弱性が多く含まれていた。具体的には、クロスサイトスクリプティング、SQLインジェクション、解放済みメモリー使用（use after free）、領域外メモリー参照（out-of-bounds read）、コードインジェクション、クロスサイトリクエストフォージェリ（CSRF）が挙げられる。これらは、サイバーセキュリティ担当者にとってよく知られた攻撃であるため、システムの保護や堅牢化、DevSecOps体制の強化などにより、比較的容易にリスクを軽減できるだろう。

一方で、より懸念すべきトレンドも見受けられる。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が2023年に公開した「継続的に攻撃を受けている脆弱性リスト」には、ゼロデイ攻撃から始まった脆弱性が多く含まれていた。つまり、攻撃が発生した時点ではパッチが存在せず、企業が被害を最小限に抑えるためには、ほかの防御手段に依存せざるを得ない状況を意味する。また、ユーザーの関与がほとんど、あるいは、まったく必要としない単純なバグも頻繁に悪用されている。商用スパイウェアベンダーがマルウェアを拡散させる手段として用いるゼロクリック攻撃は、その代表例だ。

関連記事：ESET PROTECTプラットフォームの脆弱性&パッチ管理機能によって、被害やコストを最小化し、ソリューションを迅速に導入する方法についても参照してほしい。

また、境界型セキュリティ製品を標的とした脆弱性攻撃に関するトレンドも存在する。ファイル転送ソフトウェア、ファイアウォール、VPN（Virtual Private Network）、MDM（Mobile Device Management）といった製品を狙ったゼロデイ攻撃の増加に関して、英国サイバーセキュリティセンター（NCSC）は次のように警告している。

「攻撃者は、境界線にさらされている製品の大半が設計段階からセキュリティを考慮したセキュア・バイ・デザインが実装されていないため、一般的なパソコン用ソフトウェアよりも容易に脆弱性を発見できることに気づいている。さらに、これらの製品には、高度な情報収集機能を備えたデバイスによってネットワーク上のフォレンジック（法的証拠の保全）を行うためのログ機能が備わっていない場合が多いものだ。」

悪化する状況

ネットワーク管理者の懸念は止まるところを知らない。次のような理由により、対策を講じるのがますます困難となっている。

• 脆弱性を突いた攻撃の高速化が進んでいる。2023年に実施されたGoogle Cloudの調査によると、攻撃が開始されるまでの平均時間は、以前の32日から5日へと大幅に短縮されていると推定されている。
• ハイブリッドクラウド、マルチクラウド、そしてサイロ化されたレガシーシステムが混在することで、企業内の情報システムやOT（Operational Technology）／IoT（Internet of Things）システムの複雑性が増している。
• ベンダーの低品質なパッチと不明瞭なコミュニケーションにより、防御側の作業負荷が高まり、正確なリスク評価が困難となっている。
• 米国標準技術研究所（NIST）が運営する脆弱性情報データベース（NVD）から、最新のCVEに関する重要な情報が企業へ適切に伝達されていない。

ベライゾン社は、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が公開している既知の脆弱性に関して、以下のような分析結果を発表している。

• 公開から30日後でも、脆弱性の85%が未修正のまま
• 公開から55日後でも、脆弱性の50%が未修正のまま
• 公開から60日後でも、脆弱性の47%が未修正のまま

必要とされるパッチ管理ソリューション

実際のところ、毎月、無数のCVEが公開されており、システムも多岐にわたるため、企業のIT部門やセキュリティチームがすべてにパッチを適用するのは容易ではない。そのため、リスク許容度および被害の重大性に応じて優先順位を付けることに注力する必要がある。そこで、以下の機能を備えた脆弱性&パッチ管理ソリューションの導入を検討してほしい。

• 既知のCVEに対する企業内情報システムの自動スキャン
• 重大性に応じた脆弱性対応の優先順位付け
• 脆弱性のあるソフトウェアや情報資産、重要なCVEおよびパッチなどを特定する詳細なレポート
• 企業の方針に沿ってパッチを適用する情報資産を選択できるカスタマイズ性
• 自動または手動でのパッチ適用オプション

ゼロデイ攻撃への対策としては、高度な脅威検知ソリューションの導入を検討するのが望ましい。これにより、攻撃のリスクを自動的にスキャンし、悪意のある挙動をしているかどうかをクラウド上のサンドボックスで検証できる。また、機械学習アルゴリズムにより、数分で未知の脅威を正確に把握し、自動的に遮断した上で、それぞれの状況を報告することが可能となる。

そのほかにも、ネットワーク・セグメンテーション、ゼロトラスト・ネットワーク・アクセス、異常な挙動に対するネットワーク監視、十分なサイバーセキュリティ研修といった対策も考慮すべきである。

攻撃者はAIツールの活用を拡大しており、ネットワーク経由の攻撃に対して脆弱性を持つ情報資産を発見するのが容易になりつつある。将来的には、生成AIを悪用して未知の脆弱性を探し当てることが容易となる時代が訪れる可能性もある。自社を守るためには、信頼できるセキュリティパートナーと定期的な交流を図り、常に最新の情報を把握しておくことが重要だろう。