米サイバーセキュリティ企業 Qualys は、過去数年間に脅威アクター、マルウェアファミリー、ランサムウェアファミリーに最も悪用された脆弱性トップ 20 の分析結果を発表した。注目すべきは、これら 20 件のバグのうち 15 件が Microsoft 製品に関連していることだ。

トップ 20 の脆弱性のいくつかは、2023 年 8 月 3 日に発表された米 CISA（Cybersecurity and Infrastructure Security Agency：サイバーセキュリティ・インフラセキュリティ庁）の「2022 Top Routinely Exploited Vulnerabilities」（2022 年に日常的に悪用された脆弱性トップリスト）にも含まれている。

最も標的とされた脆弱性トップ5

Qualysによると、最も標的とされた 5 つの脆弱性はすべて、Office(Microsoft 365)、ワープロソフトの WordPad、Windows OS を含む Microsoft 製品に関連している。

1．Microsoft Office のメモリ破損の脆弱性（CVE-2017-11882）
このバグは、CISA の「Additional Routinely Exploited Vulnerabilities in 2022」（2022 年に日常的に悪用された脆弱性（追加））リストにも含まれており、467 件のマルウェア、53 人の脅威アクター、14 件のランサムウェアによって悪用された。2023 年 8 月 31 日の時点でも、この脆弱性は長年にわたるトレンドとなっていた。Qualys の研究チームは、この脆弱性には Microsoft Office の数式エディターにおける重大なメモリ破壊が関与しており、攻撃者が現在のユーザーの権限下で任意のコードを実行することができると指摘している。そして、ユーザーが管理者権限を持っている場合、システム全体が乗っ取られる可能性がある。

2．Microsoft WordPad のリモートコード実行（RCE）の脆弱性（CVE-2017-0199）
この脆弱性は、93 件のマルウェア、53 人の脅威アクター、および 5 件のランサムウェアによって悪用され、CISA のリストに含まれている。このリモートコード実行の欠陥は、特定の Microsoft Office および WordPad のバージョン、特に特別に細工されたファイルを解析する際に影響を及ぼす。悪用に成功すると、現在のユーザーのセキュリティ・コンテキスト下で任意のコードが実行され、攻撃者にシステムを制御される可能性がある。

3．Windows コモンコントロールの脆弱性（CVE-2012-0158）
この脆弱性は、63 件のマルウェア、45 人の脅威アクター、2 件のランサムウェアによって悪用された。攻撃者は、Windows 標準コントロールのこの脆弱性を悪用し、ユーザーを騙して特別に細工されたWeb ページにアクセスさせることで、リモートでコードを実行される可能性がある。

4．Microsoft Office の RCE の脆弱性（CVE-2017-8570）
この脆弱性は、52 件のマルウェアと 11 人の脅威アクターによって悪用された。悪用に成功した場合、Microsoft Office および WordPad のこの欠陥により、攻撃者はログインしているユーザーと同じ権限で任意のコードを実行できる。

5．Zerologon – 認証されずに完全なドメイン特権に昇格される (CVE-2020-1472)
 Zerologon として知られる、Microsoft の Netlogon リモート・プロトコルにおけるこの深刻な脆弱性は、18 件のマルウェア、16 人の脅威アクター、11 件のランサムウェアによって悪用され、CISA のリストに含まれている。特定のセットアップにより、攻撃者はサーバーになりすまし、Windows ドメイン全体を侵害し、すべての Active Directory サービスを制御することができる。

このほか、Microsoft 関連の脆弱性として、Windows SMBv1 の RCE の脆弱性(CVE-2017-0144、CVE-2017-0145、CVE-2017-0143）――ランサムウェアの「WannaCry」「Petya」が悪用――、Microsoft Exchange サーバーの RCE の脆弱性（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）――「ProxyShell 攻撃」の標的――、Windows VBScript Engine の RCE の脆弱性 (CVE-2018-8174)、Microsoft Silverlight の RCE (CVE-2013-0074)、Microsoft Office メモリ破損の脆弱性 (CVE-2018-0802)、Microsoft Exchange サーバー認証バイパスおよび RCE の脆弱性 (CVE-2021-26855) などがある。

Apache Log4j、オラクル、フォーティネットのバグもリストに

最も悪用された脆弱性のトップ 20 には、オラクル関連のバグが 2 件、Unix/Linux、Jira Atlassian、Apache、Citrix、Ivanti、Fortinet のバグがそれぞれ 1 件含まれている。

Qualys の調査チームによって、Log4Shell としても知られる人気の Apache の log4j Java ライブラリの深刻な脆弱性が、10 件のマルウェア、26 人の脅威アクター、5 件のランサムウェアによって悪用され、2023 年 9 月 4 日の時点で蔓延していると指摘されている。

「この脆弱性は、log4j の Lookup 機能を悪用し、攻撃者が特別に作成した入力を使用して LDAP （軽量ディレクトリ アクセス プロトコル) サーバー上でリモート Java クラスの実行をトリガーし、リモートでコードを実行することを許します」とチームは述べる。

今日のサイバーセキュリティ環境では、組織やセキュリティチームにとって、脅威アクター、マルウェアファミリー、ランサムウェアファミリーによって積極的に標的にされている高リスクの脆弱性を特定し、軽減することが重要であると研究チームはブログ投稿で警告している。

また、複数のサイロ化した脅威アプローチを実装するよりも、多元的な脅威インテリジェンスを使用して脆弱性に優先順位をつけることを推奨した。

Microsoft vulnerabilities make up 75% of top 20 exploited list