目次

  1. 脆弱性とは
  2. 脆弱性トップ15の一覧表
    1. Log4Shell
    2. ProxyLogonとProxyShell
  3. トップ15のほかに注意したい脆弱性
  4. サイバー攻撃に遭いにくくする対策

 コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃するときの弱点が存在します。脆弱性とは、こうした情報セキュリティ上の「弱点」、「ほころび」のことを指します。

 たとえば、離れた場所から送った任意のプログラムコードを実行できてしまう「リモートコード実行(RCE)」や、ネットワーク、システムを利用する権限を持たないユーザーが、一時的に利用権限を取得する「特権の昇格」を悪用する手口などがあります。

 OSやソフトウェアの開発企業は、アップデートを繰り返しながら脆弱性に対応しています。

 脆弱性トップ15の一覧表は、アメリカのサイバーセキュリティインフラストラクチャ安全保障局(CISA)の公式サイトで掲載されています。

CVE(共通脆弱性識別子) 脆弱性名 ベンダーと製品 脆弱性のタイプ
CVE-2021-44228 Log4Shell Apache Log4j 遠隔から送られた任意のプログラムコードを実行できてしまう(RCE)
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus
CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格
CVE-2021-34473 ProxyShell RCE
CVE-2021-31207 ProxyShell セキュリティ機能のバイパス
CVE-2021-27065 ProxyLogon RCE
CVE-2021-26858 ProxyLogon
CVE-2021-26857 ProxyLogon
CVE-2021-26855 ProxyLogon
CVE-2021-26084 Atlassian Confluence Server and Data Center 攻撃者が任意のコードを実行できてしまう
CVE-2021-21972 VMware vSphere Client RCE
CVE-2020-1472 ZeroLogon Microsoft Netlogon Remote Protocol (MS-NRPC) 特権の昇格
CVE-2020-0688 Microsoft Exchange Server RCE
CVE-2019-11510 Pulse Secure Pulse Connect Secure 任意のファイルの読み取り
CVE-2018-13379 Fortinet FortiOS and FortiProxy パストラバーサル攻撃

 Apache Log4j(アパッチ ログフォージェイ)は、Webサーバーなどのログの管理など世界中で広く使われています。このLog4jで見つかった脆弱性が「Log4Shell」と呼ばれています。

 ProxyLogonと、ProxyShellとは、Microsoft Exchangeサーバーに影響を与える脆弱性です。悪意のある第三者が認証を回避して特権を持ったユーザーになりすますことができる危険性があります。

 このほかにも注意しておきたい脆弱性が公表されています。Accellion File Transfer Appliance(FTA)、Windows Print Spooler、Pulse Secure Pulse Connect Secureなど、インターネットに接続するシステムに影響を与える複数の脆弱性が含まれます。

 2021年より前から悪用が続けられている脆弱性が含まれています。

CVE ベンダーと製品 脆弱性のタイプ
CVE-2021-42237 Sitecore XP 遠隔から送られた任意のプログラムコードを実行できてしまう(RCE)
CVE-2021-35464 ForgeRock OpenAM server
CVE-2021-27104 Accellion FTA OSコマンドインジェクション
CVE-2021-27103 SSRF攻撃
CVE-2021-27102 OSコマンドインジェクション
CVE-2021-27101 SQLインジェクション
CVE-2021-21985 VMware vCenter Server RCE
CVE-2021-20038 SonicWall Secure Mobile Access (SMA)
CVE-2021-40444 Microsoft MSHTML
CVE-2021-34527 Microsoft Windows Print Spooler
CVE-2021-3156 Sudo 権限昇格
CVE-2021-27852 Checkbox Survey 攻撃者が任意のコードを実行できてしまう
CVE-2021-22893 Pulse Secure Pulse Connect Secure
CVE-2021-20016 SonicWall SSLVPN SMA100 クレデンシャルアクセスを許す不適切なSQLコマンドの無効化
CVE-2021-1675 Windows Print Spooler RCE
CVE-2020-2509 QNAP QTS and QuTS hero 攻撃者が遠隔で任意のコードを実行できてしまう
CVE-2019-19781 Citrix Application Delivery Controller (ADC) and Gateway 攻撃者が任意のコードを実行できてしまう
CVE-2019-18935 Progress Telerik UI for ASP.NET AJAX コード実行
CVE-2018-0171 Cisco IOS Software and IOS XE Software 攻撃者が遠隔で任意のコードを実行できてしまう
CVE-2017-11882 Microsoft Office RCE
CVE-2017-0199

 各国のサイバーセキュリティ当局は、ソフトウェアを最新版へアップデートすることを推奨しています。そのほか、セキュリティ管理をするうえで次のことを推奨しています。

  • すべてのユーザーに多要素認証(MFA)を適用する
  • すべてのVPN接続に多要素認証(MFA)を適用する。MFAを利用できない場合、
  • リモートワークをする従業員に強力なパスワードを要求する
  • 特権アカウントを少なくとも年1回は確認、検証、または削除する
  • 最小特権の原則でアクセス制御を構成する