米国NSA(国家安全保障局)は、中国が後援するとみられているサイバー攻撃者が悪用を試みている主要な25個のCVE(脆弱性)を発表した。

悪用されれば管理者権限を奪われる等大きな被害に繋がるため、NSAは既に国家安全保障システム（NSS）、米国国防総省（DIB）、および国防総省（DoD）のシステム所有者に対してこれらのCVEが対策済みであることを確認するように周知している。民間企業にもこれらの脆弱性に対する緩和策を適用するよう広く呼びかけている。

また、最近発表されたZeroLogon等の影響度の高い脆弱性も含まれているので、システム管理者、セキュリティ担当者はここに含まれている脆弱性が該当する場合には、優先度をあげて対応することを推奨する。

■インターネットから直接アクセスできる製品が標的に

今回発表された脆弱性の多くは、インターネットから直接アクセスできる製品が狙われており、攻撃が成功すると標的のネットワークへ侵入するためのアクセス手段を確立することができる。

サイバー攻撃者は、今回の25個の脆弱性を悪用しネットワーク上に足場を作ることが出来れば、そこから更に他の脆弱性を利用して、標的のネットワーク内を「水平移動(ラテラルムーブメント)」し、より多くの足場を作り出すことで、発見を難しくし、仮に発見されたとしても、第二、第三の足場を作っておくことで、「防御網」を突破することが可能になる。

そして、ユーザ権限を制御しているADに到達し、ドメインコントローラの管理者権限を掌握出来れば、標的企業のネットワークを支配下におくことが可能になる。

■発表されたCVE

・リモートアクセスに関する脆弱性

　PulseSecure、Big-IP、F5、Citrix ADC、Citrix Gateway、Citrix SDWAN WAN-OP、Windows Bluekeep RDP等に関するCVE。これらの製品群はインターネットから直接悪用可能な可能性が高いため、優先度高く対応することを推奨する。

　CVE-2019-11510

　CVE-2020-5902

　CVE-2019-19781

　CVE-2020-8193

　CVE-2020-8195

　CVE-2020-8196

　CVE-2019-0708

・Active Directoryに関する脆弱性

　先日発表された「ZeroLogon」に関する脆弱性が含まれている。攻撃者がADにネットワークレベルで到達可能な状態であれば、特権昇格の脆弱性を利用して瞬時にドメイン管理者になることが可能なため、これも非常に対応優先順位の高い脆弱性と言える。

　CVE-2020-1472

　CVE-2019-1040

・ネットワークデバイスに関する脆弱性

　CDP(Cisco Discovery Protocol)等に関する脆弱性であり、これらを悪用すれば、企業ネットワークのスイッチとルーターを流れる機密性の高い企業データを盗みとったり、ネットワーク機器の設定を変更したりすることが可能になる。

　CVE-2017-6327

　CVE-2020-3118

　CVE-2020-8515

・公開サーバに関する脆弱性

　DNSサーバやメールサーバに関する脆弱性。悪用されると公開サーバを踏み台として、標的企業の内部ネットワークに対してリモートからコマンドを実行可能になる。

　CVE-2020-1350

　CVE-2018-6789

　CVE-2018-4939

・内部サーバに関する脆弱性

　Oracle WebLogicやMicrosoftExchange、Zoho ManageEngineに関する脆弱性。悪用されるとリモートから任意のコードが実行できるようになる。

　CVE-2020-0688

　CVE-2015-4852

　CVE-2020-2555

　CVE-2019-3396

　CVE-2019-11580

　CVE-2020-10189

　CVE-2019-18935

・ローカルPCに関する脆弱性

　Windowsに関する特権昇格の脆弱性。攻撃者によりこの脆弱性が悪用された場合には、カーネルモードで任意のコードが実行される可能性がある。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性がある。

　CVE-2020-0601

　CVE-2019-0803

・モバイルデバイス管理（MDM）に関する脆弱性

　認証されていない遠隔の第三者が任意のコードを実行したりすることが可能になる。

　CVE-2020-15505

■求められる本質的なゼロトラスト

　発表された脆弱性を組み合わせると、インターネットから直接アクセス可能なVPNゲートウェイや、RDP、公開サーバがまず対象となり、そこで足場を築いて、社内に侵入してから、「水平移動(ラテラルムーブメント)」し、管理者権限を掌握するといった攻撃シナリオが浮かび上がってくる。

　こういった攻撃が成立する背景には、インターネットから直接アクセス可能なVPNゲートウェイや、一度社内に侵入すれば「守るものがない」という、レガシーなセキュリティデザインが普及しているという背景がある。

　このようなレガシーなセキュリテイデザインに対して「ゼロトラスト」に基づいたセキュリティデザインが求められているが、日本では「セールストークとしてゼロトラスト」が使われている現状にあり、「ゼロトラストソリューションを導入したけれど、全然ゼロトラストになっていない」残念な事例も出てきている。

　ゼロトラストの本質は「認証・認可をアクセスレイヤで厳格化する」ことであり、ここがブレなければ、今回発表された脆弱性等に耐性のあるインフラを作ることが可能になる。このような考えに基づいてセキュリテイをデザインすることが出来れば、インターネットから直接アクセスされるような攻撃自体の成功率を極めて減少させることが可能になる。

　サイバー攻撃は日々進化しており、攻撃は洗練されたものになっている。「脆弱性が発表されるたびにパッチ適用する」というのは運用にも大きな負担をかけることになる。「本質的なゼロトラスト」に移行し「脆弱性の悪用に耐性のあるデザイン」を作ることも大切な視点だろう。