日常的に悪用される脆弱性トップ15とは 世界5カ国が共同発表
米国、オーストラリア、カナダ、ニュージーランド、および英国のサイバーセキュリティ当局は2022年4月、悪意のある攻撃者が2021年に悪用し続けていた脆弱性トップ15を公表しました。公表済みの脆弱性が放置され、攻撃の起点にされている様子がわかります。ここにはLog4ShellやProxyLogonと呼ばれる脆弱性が含まれます。
脆弱性とは
コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃するときの弱点が存在します。脆弱性とは、こうした情報セキュリティ上の「弱点」、「ほころび」のことを指します。
たとえば、離れた場所から送った任意のプログラムコードを実行できてしまう「リモートコード実行(RCE)」や、ネットワーク、システムを利用する権限を持たないユーザーが、一時的に利用権限を取得する「特権の昇格」を悪用する手口などがあります。
OSやソフトウェアの開発企業は、アップデートを繰り返しながら脆弱性に対応しています。
脆弱性トップ15の一覧表
脆弱性トップ15の一覧表は、アメリカのサイバーセキュリティインフラストラクチャ安全保障局(CISA)の公式サイトで掲載されています。
| CVE(共通脆弱性識別子) | 脆弱性名 | ベンダーと製品 | 脆弱性のタイプ |
|---|---|---|---|
| CVE-2021-44228 | Log4Shell | Apache Log4j | 遠隔から送られた任意のプログラムコードを実行できてしまう(RCE) |
| CVE-2021-40539 | Zoho ManageEngine AD SelfService Plus | ||
| CVE-2021-34523 | ProxyShell | Microsoft Exchange Server | 特権の昇格 |
| CVE-2021-34473 | ProxyShell | RCE | |
| CVE-2021-31207 | ProxyShell | セキュリティ機能のバイパス | |
| CVE-2021-27065 | ProxyLogon | RCE | |
| CVE-2021-26858 | ProxyLogon | ||
| CVE-2021-26857 | ProxyLogon | ||
| CVE-2021-26855 | ProxyLogon | ||
| CVE-2021-26084 | Atlassian Confluence Server and Data Center | 攻撃者が任意のコードを実行できてしまう | |
| CVE-2021-21972 | VMware vSphere Client | RCE | |
| CVE-2020-1472 | ZeroLogon | Microsoft Netlogon Remote Protocol (MS-NRPC) | 特権の昇格 |
| CVE-2020-0688 | Microsoft Exchange Server | RCE | |
| CVE-2019-11510 | Pulse Secure Pulse Connect Secure | 任意のファイルの読み取り | |
| CVE-2018-13379 | Fortinet FortiOS and FortiProxy | パストラバーサル攻撃 |
Log4Shell
Apache Log4j(アパッチ ログフォージェイ)は、Webサーバーなどのログの管理など世界中で広く使われています。このLog4jで見つかった脆弱性が「Log4Shell」と呼ばれています。
ProxyLogonとProxyShell
ProxyLogonと、ProxyShellとは、Microsoft Exchangeサーバーに影響を与える脆弱性です。悪意のある第三者が認証を回避して特権を持ったユーザーになりすますことができる危険性があります。
トップ15のほかに注意したい脆弱性
このほかにも注意しておきたい脆弱性が公表されています。Accellion File Transfer Appliance(FTA)、Windows Print Spooler、Pulse Secure Pulse Connect Secureなど、インターネットに接続するシステムに影響を与える複数の脆弱性が含まれます。
2021年より前から悪用が続けられている脆弱性が含まれています。
| CVE | ベンダーと製品 | 脆弱性のタイプ |
|---|---|---|
| CVE-2021-42237 | Sitecore XP | 遠隔から送られた任意のプログラムコードを実行できてしまう(RCE) |
| CVE-2021-35464 | ForgeRock OpenAM server | |
| CVE-2021-27104 | Accellion FTA | OSコマンドインジェクション |
| CVE-2021-27103 | SSRF攻撃 | |
| CVE-2021-27102 | OSコマンドインジェクション | |
| CVE-2021-27101 | SQLインジェクション | |
| CVE-2021-21985 | VMware vCenter Server | RCE |
| CVE-2021-20038 | SonicWall Secure Mobile Access (SMA) | |
| CVE-2021-40444 | Microsoft MSHTML | |
| CVE-2021-34527 | Microsoft Windows Print Spooler | |
| CVE-2021-3156 | Sudo | 権限昇格 |
| CVE-2021-27852 | Checkbox Survey | 攻撃者が任意のコードを実行できてしまう |
| CVE-2021-22893 | Pulse Secure Pulse Connect Secure | |
| CVE-2021-20016 | SonicWall SSLVPN SMA100 | クレデンシャルアクセスを許す不適切なSQLコマンドの無効化 |
| CVE-2021-1675 | Windows Print Spooler | RCE |
| CVE-2020-2509 | QNAP QTS and QuTS hero | 攻撃者が遠隔で任意のコードを実行できてしまう |
| CVE-2019-19781 | Citrix Application Delivery Controller (ADC) and Gateway | 攻撃者が任意のコードを実行できてしまう |
| CVE-2019-18935 | Progress Telerik UI for ASP.NET AJAX | コード実行 |
| CVE-2018-0171 | Cisco IOS Software and IOS XE Software | 攻撃者が遠隔で任意のコードを実行できてしまう |
| CVE-2017-11882 | Microsoft Office | RCE |
| CVE-2017-0199 |
サイバー攻撃に遭いにくくする対策
各国のサイバーセキュリティ当局は、ソフトウェアを最新版へアップデートすることを推奨しています。そのほか、セキュリティ管理をするうえで次のことを推奨しています。
- すべてのユーザーに多要素認証(MFA)を適用する
- すべてのVPN接続に多要素認証(MFA)を適用する。MFAを利用できない場合、
- リモートワークをする従業員に強力なパスワードを要求する
- 特権アカウントを少なくとも年1回は確認、検証、または削除する
- 最小特権の原則でアクセス制御を構成する
