米国政府及び、FBI (Federal Bureau of Investigation)、Cybersecurity and Infrastructure Security Agency (CISA)は、公共および民間企業の IT セキュリティ専門家に対して、サイバー攻撃者によって悪用される可能性がある「よく知られた脆弱性」へのパッチ適用を優先して対処するよう呼びかけた。

こういった「よく知られた脆弱性」はサイバー攻撃者にとっても悪用しやすく、このような悪用されやすい脆弱性を「パッチを適用する協調的なキャンペーン」によって対策を強化すれば、米国を狙う外国からのサイバー攻撃者の作戦に変更を余儀なくさせ、効果の低い攻撃ツール等の開発を余儀なくさせることで、サイバー攻撃を行う組織の体力を摩耗することが出来るとした。

■COVID-19の研究情報を狙うサイバー攻撃を警戒

　こういったキャンペーンの呼びかけの背景には、FBIがCOVID-19に関連するワクチンや治療および試験に関連する貴重な知的財産（IP）と公衆衛生データ等に対するデータを不正に取得しようとする動きを認識しているため。

　FBIは今回のパッチ適用キャンペーンだけでなく、COVID-19に関連する機密情報を扱うシステムにおいては以下のような対策も合わせて実施するように呼びかけている。

　・不正なアクセス、変更、または異常なアクティビティがないか、Webアプリケーションをアクティブにスキャンする。

　・資格情報の要件を改善し、多要素認証を要求するようにする。

　・異常な活動をしているユーザーのアクセスを特定し、一時停止する。

■2020年に悪用されている脆弱性

　米国政府は同レポートにて、2020年は以下の脆弱性が海外のサイバー攻撃者によって悪用されていると報告している。

・悪意のあるサイバー攻撃者が、パッチが適用されていないVPN(Virtual Private Network)の脆弱性を標的にするケースが増えているという。

　-　Citrix VPNアプライアンスにおける任意のコード実行脆弱性（CVE-2019-19781）が、エクスプロイトで検出されている。

　-　Pulse Secure VPN サーバーに存在する任意のファイル読み取りの脆弱性（CVE-2019-11510）は、悪意のあるサイバー攻撃にとって魅力的な標的であり続けている。

・2020年3月、在宅勤務に突然移行したため、多くの組織で、Microsoft Office 365（O365）などのクラウドコラボレーションサービスの迅速な展開が必要になった。悪意のあるサイバー攻撃者は、Microsoft O365の急速な展開がセキュリティ設定のミスに繋がり、攻撃に対して脆弱である可能性がある組織が標的になっている。

・ソーシャルエンジニアリング攻撃に対する不十分な従業員教育や、システムの復旧や緊急時対応計画の欠如など、サイバーセキュリティの弱点により、組織は2020年にランサムウェア攻撃を受けやすくなっている。

■2020年に悪用される脆弱性の対策

・CVE-2019-11510

脆弱性のある製品:Pulse Connect Secure 9.0R1- 9.0R3.3、8.3R1- 8.3R7、8.2R1- 8.2R12、8.1R1- 8.1R15 および Pulse Policy Secure 9.0R1- 9.0R3.1、5.4R1- 5.4R7、5.3R1- 5.3R12、5.2R1- 5.2R12、5.1R1- 5.1R15

対策:影響を受ける Pulse Secure デバイスを最新のセキュリティパッチで更新する。

詳細:

　https://www.us-cert.gov/ncas/alerts/aa20-107a

　https://nvd.nist.gov/vuln/detail/CVE-2019-11510

　https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

・CVE-2019-19781

脆弱性のある製品:Citrix Application Delivery Controller、Citrix Gateway、Citrix SDWAN WANOP

対策:影響を受けるCitrixデバイスを最新のセキュリティパッチでアップデートします。

詳細:

　https://www.us-cert.gov/ncas/alerts/aa20-020a

　https://www.us-cert.gov/ncas/alerts/aa20-031a

　https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html

　https://nvd.nist.gov/vuln/detail/CVE-2019-19781

　https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

・Microsoft O365のセキュリティ設定のオーバーヘッド

脆弱性のある製品:マイクロソフトO365

対策:Microsoft O365のセキュリティ推奨事項に従う

詳細:https://www.us-cert.gov/ncas/alerts/aa20-120a

・組織的なサイバーセキュリティの弱点

脆弱性のある製品:システム、ネットワーク、データ

対策:サイバーセキュリティのベストプラクティスに従う

詳細:https://www.cisa.gov/cyber-essentials

■最も悪用された脆弱性トップ10 2016年-2019年

　同レポートによると、2016年から2019年の間に最も悪用された脆弱性の上位10件は以下のとおり。

　CVE-2017-11882、CVE-2017-0199、CVE-2017-5638、CVE-2012-0158、CVE-2019-0604、CVE-2017-0143、CVE-2018-4878、CVE-2017-8759、CVE-2015-1641、CVE-2018-7600。

・米国政府の技術分析によると、悪意のあるサイバー犯罪者は、Microsoft の Object Linking and Embedding (OLE) 技術の脆弱性を悪用することが最も多いとされている。OLEは、スプレッドシートなどの他のアプリケーションのコンテンツを文書に埋め込むことを可能にする。OLEに次いで2番目に報告された脆弱性技術は、WebフレームワークのApache Strutsであった。

・トップ 10の中で、中国、イラン、北朝鮮、ロシアの国家系サイバー攻撃者に最も多く利用されている脆弱性は、CVE-2017-11882、CVE-2017-0199、CVE-2012-0158の3つであった。これら3つの脆弱性は、いずれもMicrosoftのOLE技術に関連する。

・2019年12月現在、中国の国家サイバー攻撃者は、2015年に米国政府が公開した脆弱性（CVE-2012-0158）を頻繁に悪用しており、この脆弱性が最も利用されているとされている。この傾向は、組織がこの脆弱性に対するパッチをまだ広く実装していないことを示唆しており、中国の国家サイバー攻撃者は、この脆弱性が有効である限り、サイバー攻撃手法に組み込み続ける可能性があることを示唆している。

・2019年初頭に発表された米国の業界調査でも同様に、悪意のあるサイバー攻撃者が最も一貫して悪用した脆弱性はMicrosoftとAdobe Flash製品であることがわかった。 業界調査で最も悪用された脆弱性トップ10のうち4つが本アラートのリストにも登場しており、米国政府と民間企業のデータソースがセキュリティを強化するためにどのように相互に補完し合うかが浮き彫りになっている。

■2016-2019年の最も悪用された脆弱性トップ10の対策

注: 以下の各CVEに対応する関連するマルウェアのリストは、網羅的なものではなく、CVEを悪用するマルウェア群を特定することを目的としている。

・CVE-2017-11882

脆弱性のある製品:Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016

関連するマルウェア:oki, FormBook, Pony/FAREIT

対策: 影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2017-11882

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133e

・CVE-2017-0199

脆弱性のある製品:Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1

関連マルウェア:FINSPY, LATENTBOT, Dridex

対策:影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2017-0199

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133g, https://www.us-cert.gov/ncas/analysis-reports/ar20-133h, https://www.us-cert.gov/ncas/analysis-reports/ar20-133p

・CVE-2017-5638

脆弱性のある製品:Apache Struts 2 2.3.32以前の2.3.x、2.5.10.1以前の2.5.x

関連するマルウェア:JexBoss

対策:Struts 2.3.32またはStruts 2.5.10.1へのアップグレード

詳細:

　https://www.us-cert.gov/ncas/analysis-reports/AR18-312A

　https://nvd.nist.gov/vuln/detail/CVE-2017-5638

・CVE-2012-0158

脆弱性のある製品:Microsoft Office 2003 SP3、2007 SP2およびSP3、2010 GoldおよびSP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、2005 SP4および2008 SP2、SP3およびR2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、2007 SP2および2009 GoldおよびR2、Visual FoxPro 8.0 SP1および9.0 SP2、Visual Basic 6.0

関連マルウェア:Dridex

対策:影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細

　https://www.us-cert.gov/ncas/alerts/aa19-339a

　https://nvd.nist.gov/vuln/detail/CVE-2012-0158

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133i, https://www.us-cert.gov/ncas/analysis-reports/ar20-133j, 　https://www.us-cert.gov/ncas/analysis-reports/ar20-133k, https://www.us-cert.gov/ncas/analysis-reports/ar20-133l, 　https://www.us-cert.gov/ncas/analysis-reports/ar20-133n, https://www.us-cert.gov/ncas/analysis-reports/ar20-133o

・CVE-2019-0604

脆弱性のある製品:Microsoft SharePoint

関連するマルウェア:China Chopper

対策:影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2019-0604

・CVE-2017-0143

脆弱性のある製品:Microsoft Windows Vista SP2、Windows Server 2008 SP2およびR2 SP1、Windows 7 SP1、Windows 8.1、Windows Server 2012 GoldおよびR2、Windows RT 8.1、およびWindows 10 Gold、1511および1607、およびWindows Server 2016

関連するマルウェア:EternalSynergyおよびEternalBlueエクスプロイトキットを使用した複数のマルウェア

対策:影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2017-0143

・CVE-2018-4878

脆弱性のある製品:28.0.0.0.161以前のAdobe Flash Player

関連するマルウェア:DOGCALL

対策:Adobe Flash Player のインストールを最新バージョンに更新します。

詳細: https://nvd.nist.gov/vuln/detail/CVE-2018-4878

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133d

・CVE-2017-8759

脆弱性のある製品:Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7

関連するマルウェア:FINSPY、FinFisher、WingBird

対策: 影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2017-8759

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133f

・CVE-2015-1641

脆弱性のある製品:Microsoft Word 2007 SP3、Office 2010 SP2、Word 2010 SP2、Word 2013 SP1、Word 2013 RT SP1、Word for Mac 2011、Office Compatibility Pack SP3、Word Automation Services on SharePoint Server 2010 SP2および2013 SP1、Office Web Apps Server 2010 SP2および2013 SP1

関連するマルウェア:Toshliph, UWarrior

対策:影響を受けるMicrosoft製品を最新のセキュリティパッチでアップデートする

詳細: https://nvd.nist.gov/vuln/detail/CVE-2015-1641

IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133m

・CVE-2018-7600

脆弱性のある製品:7.58以前のDrupal、8.3.9以前の8.x、8.4.6以前の8.4.x、8.5.1以前の8.5.x

関連マルウェア:Kitty

対策:最新バージョンのDrupal 7または8コアにアップグレードする。

詳細:https://nvd.nist.gov/vuln/detail/CVE-2018-7600