新たに活用できる脆弱性管理の指標がないかを探る ～ PwC 村上純一ほか

　PwCコンサルティング合同会社は5月8日、悪用された脆弱性の傾向を分析した解説記事を発表した。村上純一氏と松原翔太氏が執筆している。

　同記事では、脆弱性管理プロセスにおける判断基準として新たに活用できる指標がないかを探るため、直近2年間でCVEが発行された脆弱性のうち、実際に悪用が確認された脆弱性に一定の傾向が存在しないか分析を行った結果について、解説している。

　同記事では、2023年1月から2025年1月の間にMITRE CVE Websiteに登録が行われた脆弱性で、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）が提供するKEV（Known Exploited Vulnerabilities Catalog）に掲載された脆弱性またはPwCが独自に悪用を観測した脆弱性であるという条件に合致する脆弱性568件（KEV：480件、PwC独自観測：88件）を分析の対象としている。

　また、分析を行うにあたり、下記の4つの観点に対し仮説検証を行っている。

1.悪用されやすいソフトウェアの種類が存在する
2.悪用される脆弱性の共通脆弱性評価システム（Common Vulnerability Scoring System： CVSS）の基本評価基準には一定の傾向が存在する
3.悪用されやすい脆弱性の攻撃手法（Exploitation Technique）が存在する
4.悪用されやすい脆弱性の種別（CWE：Common Weakness Enumeration）が存在する

　脆弱性が悪用されたソフトウェアについて、性質に応じ独自の観点で約50種別に分類を行い、ソフトウェアの種別に傾向があるかを確認したところ、最も悪用されたのは、VPN機器やファイアウォールなどのネットワーク機器のOSであった。ネットワーク機器は性質上インターネットへの公開が必要なことから、ランサムウェアの感染経路として最も利用されやすく、攻撃者が積極的に脆弱性の悪用にリソースを費やしているためと考察している。

　次いで、悪用が行われたソフトウェア種別はクライアントやサーバのOSで、世界的に普及が進んでいること、定期的に脆弱性の悪用可能性を証明するためのPoC（Proof of Concept）コードが公開されており悪用を試みやすいことが要因と推測している。

　ファイル共有ソフトウェアも悪用が多く確認されており、White Austaras（通称：TA505）と呼ばれる脅威アクターグループが利用すると考えられるCl0pというランサムウェアが、2023年頃から複数のファイル転送サービスの脆弱性を悪用していたことが要因としている。

　分析結果から、上位10%のソフトウェア種別が悪用された脆弱性の約半数を占めたことが判明している。