全世界の組織の46％に影響を及ぼす“やばい脆弱性”とは――チェック・ポイント調査：「Apache Log4j脆弱性」と肩を並べる

チェック・ポイント・ソフトウェア・テクノロジーズは、2023年12月の世界脅威インデックスを発表した。悪用された脆弱性のトップは「Apache Log4jのリモートコード実行」だった。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2024年1月17日、2023年12月版の「Global Threat Index」（世界脅威インデックス）を発表した。これは同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（CPR：Check Point Research）のセキュリティ調査の結果をまとめたもの。

チェック・ポイント・ソフトウェア・テクノロジーズのWebページから引用

米国がインフラを破壊した「Qbot」が4カ月で復活

　2023年12月には、「Qbot」の復活が確認された。米国と国際法執行機関が「ダックハント作戦（Operation Duck Hunt）」によって同年8月にQbotのインフラを破壊したものの、4カ月で復活した計算になる。Qbotは、ホスピタリティ業界を標的とした小規模なサイバー攻撃の一部として使用されており、ハッカーがIRS（アメリカ合衆国内国歳入庁）になりすまし、MicrosoftインストーラーにリンクするURLが埋め込まれたPDFが添付された悪意ある電子メールを送信していた。

　マルウェアファミリーの国内ランキングでは、3位以内に6つのマルウェアがひしめく結果になった。トップはNanocoreとRemcosで影響値は2.38％、2位はAgentTeslaとFormbookで影響値が1.43％、3位はLokibotとSmokeloaderで影響値が0.95％だった。マルウェアファミリーの世界ランキングは、トップがFakeUpdates、2位がFormbook、3位がNanocore。モバイルマルウェアのランキングは、トップがAnubis、2位がAhMyth、3位がHiddadだった。

猛威を振るう「Apache Log4jの脆弱性」

　悪用された脆弱（ぜいじゃく）性のトップは「Apache Log4jのリモートコード実行」（CVE-2021-44228）だった。2位は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）。これら2つの脆弱性はいずれも全世界の組織の46％に影響を及ぼしたという。3位は「Zyxel ZyWALLへのコマンドインジェクション」（CVE-2023-28771）。

　2位のディレクトリトラバーサルは、入力バリデーションのエラーによるもので、Webサーバでディレクトリトラバーサル攻撃のパターンを示すURIを、適切に削除していないことで発生する。この脆弱性が悪用されると、認証されていないリモートの攻撃者によって、脆弱性のあるサーバの任意のファイルにアクセスされたり、情報が漏えいしたりする恐れがある。

　チェック・ポイントのマヤ・ホロヴィッツ氏（リサーチ担当VP）は、「Qbotの拡散用インフラの解体から4カ月足らずの間に再びQbotの活動を目の当たりにしたことは、マルウェアキャンペーンの妨害が可能な一方で、その背後にいる脅威アクターは新たな技術に適応していくという事実を想起させるものだ。組織がエンドポイントセキュリティ事前防止的アプローチを採用し、電子メールの発信元とその意図について適正評価手続きを実施することが推奨される」と述べている。