狙われるのはエッジとITインフラ機器--ウィズセキュア調査が示す2024年のサイバー攻撃
次に、もう一つの攻撃対象であるITインフラ機器についてRobinson氏は説明した。アプライアンスとも呼ばれるITインフラ機器は、サプライヤーが定義したソフトウェアとハードウェアを搭載するが、サプライヤーの承認なしには変更できない、もしくは、簡単には変更できない「ブラックボックス」だ。「エッジサービスと重複する部分がある」(同氏) ITインフラ機器は、いったん設置されれば何年も放置されることが多く、専用のウェブインターフェースやサービス経由で時折アクセスされるだけだ。EDRソフトウェアはほぼ確実に稼働しておらず、ログ機能も限定的で機能とトラブルシューティングが主だとRobinson氏はいう。 例えば、脆弱なVPNゲートウェイサービスを攻撃すれば、ネットワークへのリモートアクセスやユーザーの認証情報を得られる。電子メールゲートウェイでは、電子メールを傍受できる。スイッチやルーターを侵害することで、内部ネットワークトラフィックにアクセスでき、攻撃の足場にできる。 2023年と2024年、ITインフラ機器の脆弱性に起因する、あるいは少なくともそれを利用した複数の事件やキャンペーンが発生している。このような脆弱性の影響を推定する一つの方法は、インターネットに露出したデバイス数を知ることであり、主要な脆弱性の影響を受けているITインフラ機器の数を大まかに見積もることは可能だという(下図)。 このような機器はセキュリティサービスを提供し、攻撃対象領域を減らすことを意図しているが、結果的に増やすことになりかねない状態だとRobinson氏は指摘する。 ITインフラ機器に対する月間のエクスプロイト数は、2023年半ばから劇的に増加し始めた。 ITインフラ機器のCVEでKEVに追加されたのは2022年に1カ月当たり1.2件だったが、2023年は2.6件、2024年は3件だった(下図左)。2024年の最初の4カ月で、2022年全体とほぼ同数のCVEが初めて悪用されたことになる。2024年におけるCVE基本値の平均は、ITインフラ機器では9.4だが、それ以外では8.9だった(下図右)。 基本値の度数分布は上位に偏っている。中央値は9.8で、61%が9~10の範囲あり、これはエッジCVEと全く同じ割合だ。 月平均は、高くは9.8だが、それよりも低い月が幾つかあり、平均を引き下げている。 EPSSのパーセンタイル値は、ITインフラ機器のCVEの42%が97.5パーセンタイルを上回っている。それ以外のCVEでは35%だった。 最後に、まとめとして、2024年にKEVに追加されるエッジサービスおよびITインフラ機器のCVEは、23年よりも22%高い割合で追加されている。ほかのCVEは56%遅いペースで追加されているとRobinson氏は述べる。 過去2年間にKEVに追加されたエッジサービスおよびITインフラのCVEはKEVに追加された、ほかのCVEよりも深刻度が平均11%高いという。 「つまり、これらのエッジサービスやITインフラサービスは、ランサムウェアやスパイ行為者によって積極的に検出され、標的とされ、悪用されている。それは何を意味するのだろうか。防御側は攻撃対象領域について知識を持つ必要があるということだ。それは非常に重要だ。そして、迅速に対応し、効果的に対応する必要がある」とRobinson氏は警告した。 (取材協力:ウィズセキュア)