イスラエルのCongnyteがサイバー犯罪フォーラムを調査した結果が記事になっていました。DarkWeb上の脅威アクターの間でどのCVEが人気あったか、という視点は参考になるかと思います。

threatpost.com

研究者は、2020年1月から2021年3月までの間に、ZeroLogon、SMBGhost、BlueKeepが攻撃者の脆弱性について最も話題になっていることを発見しました。

 

犯罪者に人気の6つのCVE
CVE-2020-1472（別名ZeroLogon） *Microsoft

CVE-2020-0796（別名SMBGhost） *Microsoft

CVE-2019-19781                              *Bad Packets *Citrix

CVE-2019-0708（別名BlueKeep）  *Microsoft

CVE-2017-11882                              *JVN

CVE-2017-0199

「このリストのCVEのほとんどは、さまざまなセクターに対する世界的なキャンペーン中に、国民国家グループやランサムウェアギャングなどのサイバー犯罪者によって悪用されました」とレポートは述べています。

キタきつねの所感

DarkWebフォーラムの調査機関は2020年1月～2021年3月となっていますので、現在の状況はまた変わっている部分もあるかも知れません。

クリティカルな脆弱性が発表されても、パッチ適用しない（又は緩和策を講じない）ユーザがあまりに多いと言う現状は、多くのインシデントが物語っていますが、そうしたパッチ未適用で放置する事の「リスク」がこの調査結果にも表れていると言えそうです。

上位の６つの脆弱性を改めてみていきます。CVE-2020-1472は2020年9月に発表された脆弱性ですが、別名Netlogon（特権昇格の脆弱性）と言った方が分かりやすいかも知れません。

www.jpcert.or.jp

2つ目がCVE-2020-0796は、SMBv3の脆弱性が悪用される事により遠隔の攻撃者が任意のコード実行する可能性があるという2020年3月発表の脆弱性です。

www.jpcert.or.jp

3つ目は、Citrix製品の複数の脆弱性（Bad Packets）で、こちらも遠隔の第三者が任意のコードを実行できる危険性があるというものです。2019年の脆弱性がトレンドに挙がってくるという事自体、パッチ「未適用」な対象が多いという事を表しているかと思います。

www.jpcert.or.jp

4つ目は、リモートデスクトップ（RDP）の脆弱性で、こちらも任意のコードを実行できる可能性があるものです。こちらも2019年5月発表と古い脆弱性ですが、緊急パッチがまだ当てられてない所がある事を物語っています。

www.jpcert.or.jp

5つ目は、もっと古い脆弱性で2017年11月発表です。Microsoft Office(2007～2016)の数式エディタの脆弱性で、バッファーオーバーフローの危険性があります。Office2016のサポート期限は2020年10月でしたので、ギリギリまでOffice2016を使っている企業・組織を狙ったのかと思われます。

www.ipa.go.jp

最後は、こちらも2017年4月と古い脆弱性です。Microsoft OLEの脆弱性で遠隔からの任意コード実行の危険性があるものですが、初期が観測された内容（Wordの添付ファイルに偽装されたRTF形式のファイルで攻撃開始）がフィッシング攻撃と相性が良い事からトレンドに入っているのだろうと思います。

しかし影響を受けるMicrosoft製品は、Office2007、Office2010、Office2016、Windows7、Windows Server 2008、Windows　Server 2012等となっているので、こちらもWindows7やOffice2016など、ギリギリまで製品を引っ張っているユーザが狙われていたのだと思われます。

jvndb.jvn.jp

昨日、CISAのランサム-ポータル「STOP RANSOM WARE」を取り上げましたが、同じタイミングで「報奨金制度」も発表されていました。最大10百万ドル（約11億円）という額もさる事ながら、その募集方法もきちんと考えられた出された様です。

rewardsforjustice.net

米国国務省の正義への報酬（RFJ）プログラムは、外国政府の指示または管理下で行動しているときに、コンピューター犯罪取締法（CFAA）に違反する米国の重要なインフラストラクチャに対する悪意のあるサイバー活動。

米国の重要なインフラストラクチャを標的とする特定の悪意のあるサイバー操作は、CFAAに違反しています。法令違反には、ランサムウェア攻撃の一部として恐喝の脅威を送信することが含まれます。コンピュータへの意図的な不正アクセス、または許可されたアクセスを超えて、保護されたコンピュータから情報を取得すること。プログラム、情報、コード、またはコマンドの送信を故意に引き起こし、そのような行為の結果として、保護されたコンピューターへの許可なしに故意に損害を与えること。保護されたコンピューターには、米国政府および金融機関のコンピューターシステムだけでなく、州間または外国の商取引または通信で使用または影響を与えるコンピューターも含まれます。

これらのサイバー脅威の深刻さを考慮して、Rewards for Justiceプログラムは、潜在的なソースの安全性とセキュリティを保護するために、ダークウェブ（Torベース）のヒントレポートラインを設定しました。暗号通貨による可能な移転と報酬の支払いは、適格なソースに利用できる場合があります。

キタきつねの所感

金額の最大10百万ドルという額は、米国の本気度の表れと考えても良いのではないでしょうか。

この募集内容を読むと、（私の読解力が低くて間違っていたら申し訳ありませんが）米国の重要インフラを狙うランサム等の攻撃情報の報告（密告）方法が、「Tor」つまりDarkWebからしか相談（密告）できない様です。

つまり、米国政府はDarkWeb上にいる「攻撃者」又はその関係者を狙ってこの報償制度を仕掛けてきていると推測されます。

米国政府はランサムウェア攻撃について学び、防御し、対応するのに役立つ新しいWebサイトを立ち上げました。

beta.darkreading.com

米国政府は、防御側がランサムウェア攻撃について学び、防御し、対応するのに役立つ新しいWebサイトを立ち上げたと、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは本日発表しました。

StopRansomware.govは、「ランサムウェアのリソースとアラートを1か所にまとめる政府全体のアプローチ」と位置付けています。省庁間Webサイトには、CISA、FBI、およびその他の連邦パートナーからのランサムウェアアラート、レポート、およびリソースが含まれています。

CISAが立ち上げたWebサイト

・StopRansomaware.gov

キタきつねの所感

新しく立ち上がったサイトを見ると、コンテンツも多く、しっかり準備して公開されたものである事がよく分ります。

Webコンテンツとしては「ランサムウェアとは」「ランサム被害を受けた事がありますか？」「ランサム被害に遭わないために」といった３つのメインコンテンツの他、CISA、FBI、商務省のアラートへのリンクや、政府関係のランサムに関するニュースルーム、そしてランサム被害の報告（＞FBI/CISA/SecretServiceへの窓口）もあり、米国政府が”本気”でこのサイトをランサムに対するポータルサイトにしようとする強い意志が感じられます。

しかし、このサイトのターゲットである行政機関や民間企業は、この程度の情報サイトであれば、従来の行政HPで十分と考えるかも知れません。

そうした声を払拭しそうなのが、リソースの充実度です。

続きを読む