2023年に最も頻繁に悪用された脆弱性トップ15 米CISAが発表 ソフトウェアベンダー、エンドユーザーができることは?ゼロデイ脆弱性を悪用した攻撃が増加

CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。

» 2024年12月04日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年11月12日(米国時間)、連邦捜査局(FBI)、国家安全保障局(NSA)やカナダ、オーストラリアのサイバーセキュリティセンターと共同で、2023年に悪意のあるサイバー攻撃者により日常的かつ頻繁に悪用された脆弱(ぜいじゃく)性トップ15を発表した。

 CISAは「2023年、悪意のあるサイバー攻撃者は、より多くのゼロデイ脆弱性を悪用して企業ネットワークに侵入しており、重要度の高いターゲットが狙われている。2022年と比較してゼロデイ脆弱性を悪用したサイバー攻撃は増加傾向にある。サイバー攻撃者は、脆弱性が公開されてから2年以内の期間に、その脆弱性を悪用して攻撃を成功させている」と述べている。

 2023年に最も頻繁に悪用された脆弱性のトップ15は以下の表の通り。

CVE(共通脆弱性識別子) ベンダー 製品 脆弱性の種類 CWE(共通脆弱性タイプ)
CVE-2023-3519 Citrix NetScaler ADC/NetScaler Gateway コードインジェクション CWE-94:コードインジェクション
CVE-2023-4966 Citrix NetScaler ADC/NetScaler Gateway バッファーオーバフロー CWE-119:メモリバッファーの境界への操作制限の不足
CVE-2023-20198 Cisco IOS XE Web UI 特権昇格 CWE-420:保護されていない代替チャネル
CVE-2023-20273 Cisco IOS XE Web UIコマンドインジェクション CWE-78:OSコマンドインジェクション
CVE-2023-27997 Fortinet FortiOS/FortiProxy SSL VPN ヒープベースのバッファーオーバーフロー CWE-787:境界外書き込み/CWE-122: ヒープベースのバッファーオーバーフロー
CVE-2023-34362 Progress MOVEit Transfer SQLインジェクション CWE-89: SQLインジェクション
CVE-2023-22515 Atlassian Confluence Data Center and Server 壊れたアクセス制御 CWE-20:不適切な入力検証
CVE-2021- 44228(Log4Shell) Apache Log4j2 リモートコード実行(RCE) CWE-917:EL(Expression Language)インジェクション/CWE-502:信頼できないデータのデシリアライズ/CWE-20:不適切な入力検証/CWE-400:制御不能なリソース消費
CVE-2023-2868 Barracuda Networks ESG Appliance 不適切な入力検証 CWE-77:コマンドインジェクション/CWE-20:不適切な入力検証
CVE-2022-47966 Zoho ManageEngine Multiple Products RCE CWE-20:不適切な入力検証
CVE-2023-27350 PaperCut MF/NG 不適切なアクセス制御 CWE-284:不適切なアクセス制御
CVE-2020-1472 Microsoft Netlogon 特権昇格 CWE-330:不十分な乱数値の使用
CVE-2023-42793 JetBrains TeamCity 認証バイパス CWE-288:代替パスまたはチャネルを使用した認証バイパス
CVE-2023-23397 Microsoft Office Outlook 特権昇格 CWE-294:キャプチャリプレイによる認証バイパス/CWE-20:不適切な入力検証
CVE-2023-49103 ownCloud graphapi 情報漏えい CWE-200:不正アクセスによる機密情報の漏えい
2023年に日常的に悪用された脆弱性トップ15

ソフトウェア開発者、エンドユーザーの緩和策

 CISAは、ソフトウェアベンダーや開発者とエンドユーザー組織に対して次のような緩和策の実施を呼び掛けている。

ベンダー、開発者向けの緩和策

  • 繰り返し悪用される脆弱性を特定し、適切な緩和策を実施する
  • 「NIST SP 800-218」(Secure Software Development Framework〈SSDF〉)に従い、SDLC(ソフトウェア開発ライフサイクル)の各段階においてセキュリティバイデザインを実践する
  • 製品をデフォルトで最も安全な設定に構成し、設定を変更するリスクに関するガイダンスを提供する
  • 公表するCVEが脆弱性の根本原因を特定する適切なCWEフィールドを含むことを確認し、ソフトウェアのセキュリティおよび設計上の欠陥の業界全体での分析を可能にする

エンドユーザー組織向けの緩和策

  • 脆弱性と構成管理
    • ITネットワーク資産において、ソフトウェア、オペレーティングシステム、アプリケーション、およびファームウェアをタイムリーに更新する
    • 組織内の全てのシステム、サービス、ハードウェア、ソフトウェアを特定するために、組織の資産を識別し、カタログ化する
    • パッチ適用の優先順位を確立する堅牢(けんろう)なパッチ管理プロセスおよび中央集約型パッチ管理システムを実装する
    • 定期的に安全なシステムバックアップを実行し、修復、復元のために全てのデバイス構成の信頼できるコピーを作成する
    • 少なくとも年に一度テストされ、リスクに基づいて更新される最新のサイバーセキュリティインシデント対応計画を維持し、その有効性を確保する
  • アイデンティティー&アクセス管理
    • 例外なく全てのユーザーに対してフィッシング耐性のある多要素認証(MFA)を強制する
    • 特権のないアカウントを定期的(最低でも年に一度)にレビュー、検証、または削除する
    • 最小特権の原則に基づいてアクセス制御を構成する
  • 保護コントロールとアーキテクチャ
    • インターネットに面したネットワークデバイスを適切に構成し、セキュリティを確保する。未使用または不要なネットワークポートおよびプロトコルを無効にする。ネットワークトラフィックを暗号化する。未使用のネットワークサービスおよびデバイスを無効にする
    • ゼロトラストネットワークアーキテクチャ(ZTNA)を実装し、アプリケーション、デバイス、およびデータベースへのアクセスを制限またはブロックすることで、ラテラルムーブメントを制限する。プライベートVLAN(PVLAN)を使用する
    • アタックサーフェスを継続的に監視し、サイバー攻撃やマルウェアのラテラルムーブメントを示す異常な活動を調査する
  • サプライチェーンセキュリティ
    • サードパーティアプリケーションおよびユニークなシステム/アプリケーションビルドを削減し、ビジネス上重要な機能をサポートするために必要な場合にのみ例外を設ける
    • ソフトウェアプロバイダーに対し、セキュアバイデザインやセキュアバイデフォルトの取り組みに関する情報や、脆弱性を排除するための取り組みに関するリンクを提供してもらうよう依頼する

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。