公開日:2015/05/08 最終更新日:2015/05/08

JVNTA#99041988
標的型攻撃に使用されるリスクの高い脆弱性 Top 30

概要

重要インフラ事業者に対する標的型攻撃において、既知の脆弱性の対策を行っていないソフトウェアを狙う事例が継続的に観測されています。Top 4 Mitigation Strategies to Protect Your ICT System によると、標的型攻撃の 85% は、適切に修正対応を行っていれば防ぐことができるとのことです。
本アドバイザリでは予防と対策の促進を目的として、これらの攻撃で多く使われている 30 の脆弱性について紹介します。
これは Canadian Cyber Incident Response Centre (CCIRC) による検証をもとに、カナダ、ニュージーランド、UK およびオーストラリアの Cyber Security Centre が協力して作成したものです。

影響を受けるシステム

  • Microsoft、Oracle、Adobe 製品や OpenSSL を組み込んだソフトウェア

詳細情報

既知の脆弱性を対策せずに放置していると、攻撃に悪用される可能性があります。攻撃事例の分析から、狙われやすい脆弱性がいくつかあることが判明しています。

想定される影響

  • 機微な情報や重要な情報の、一時的または恒久的な喪失
  • 通常業務の停止
  • システムやファイルの復旧にかかる金銭的な損失
  • 組織の評判に関する潜在的な被害

対策方法

最新版の環境を維持する
メールの添付ファイルや水飲み場型攻撃、またその他のツールなどによる攻撃は、多くの場合、広く使用されているソフトウェアの既知の脆弱性に対してパッチを適用していない環境を対象としています。ベンダが提供するパッチをきちんと適用することにより、これら既知の脆弱性を修正することができます。

脆弱性に対して適切な対策が取られるよう、パッチ管理プロセスを確立する必要があります。パッチを適用していない期間が長くなればなるほど、未修正の脆弱性を攻撃されうる期間が長くなります。パッチが公開されると、リバースエンジニアリングによって脆弱性を特定され、攻撃コードが作成される可能性があります。攻撃コード作成まで 24時間から 4日程度で完了するという報告もあります。パッチを即時適用することは、脆弱性を悪用する攻撃に対する最も効果的かつ低コストな対策の一つです。

攻撃が観測されている脆弱性に対するパッチの適用
次に挙げるソフトウェア製品の脆弱性に対してパッチが適用されていることを確認してください。
 

Microsoft
CVE 対象製品 提供情報
CVE-2006-3227 ​Internet Explorer Microsoft Malware Protection Encyclopedia Entry
CVE-2008-2244 Office Word マイクロソフト セキュリティ情報 MS08-042
CVE-2009-3129 Office
Office for Mac
Open XML File Format Converter for Mac
Office Excel Viewer
Excel
Office Compatibility Pack for Word, Excel, and PowerPoint
マイクロソフト セキュリティ情報 MS09-067
​CVE-2009-3674 ​Internet Explorer ​マイクロソフト セキュリティ情報 MS09-072
CVE-2010-0806​ ​Internet Explorer マイクロソフト セキュリティ情報 MS10-018
CVE-2010-3333 Office
Office for Mac
Open XML File Format Converter for Mac
マイクロソフト セキュリティ情報 MS10-087
CVE-2011-0101 Excel マイクロソフト セキュリティ情報 MS11-021
CVE-2012-0158 Office
SQL Server
BizTalk Server
Commerce Server
Visual FoxPro
Visual Basic
マイクロソフト セキュリティ情報 MS12-027
CVE-2012-1856 Office
SQL Server
Commerce Server
Host Integration Server
Visual FoxPro Visual Basic
マイクロソフト セキュリティ情報 MS12-060
​CVE-2012-4792 ​Internet Explorer ​マイクロソフト セキュリティ情報 MS13-008
CVE-2013-0074 ​Silverlight and Developer Runtime マイクロソフト セキュリティ情報 MS13-022
CVE-2013-1347 ​Internet Explorer マイクロソフト セキュリティ情報 MS13-038
CVE-2014-0322​ ​​Internet Explorer マイクロソフト セキュリティ情報 MS14-012
CVE-2014-1761 Microsoft Word
Office Word Viewer
Office Compatibility Pack
Office for Mac
Word Automation Services on SharePoint Server
Office Web Apps
Office Web Apps Server
マイクロソフト セキュリティ情報 MS14-017
​CVE-2014-1776 ​Internet Explorer マイクロソフト セキュリティ情報 MS14-021
CVE-2014-4114 ​Windows マイクロソフト セキュリティ情報 MS14-060
 
Oracle
CVE 対象製品 提供情報
CVE-2012-1723 Java Development Kit, SDK, and JRE Oracle Java SE Critical Patch Update Advisory - June 2012
CVE-2013-2465 Java Development Kit and JRE Oracle Java SE Critical Patch Update Advisory - June 2013
 
Adobe
CVE 対象製品 提供情報
​CVE-2009-3953 Reader
Acrobat
Adobe Security Bulletin APSB10-02​
​CVE-2010-0188 ​Reader
Acrobat
Adobe Security Bulletin APSB10-07
CVE-2010-2883 Reader
Acrobat
Adobe Security Bulletin APSB10-21
CVE-2011-0611 ​Flash Player
AIR
Reader
Acrobat
Adobe Security Bulletin APSB11-07
Adobe Security Bulletin APSB11-08​
​CVE-2011-2462 Reade
Acrobat
Adobe Security Bulletin APSB11-30
​CVE-2013-0625 ColdFusion​ Adobe Security Bulletin APSB13-03
CVE-2013-0632 ​ColdFusion Adobe Security Bulletin APSB13-03
​CVE-2013-2729 ​Reader
Acrobat
Adobe Security Bulletin APSB13-15
​CVE-2013-3336 ​ColdFusion Adobe Security Bulletin APSB13-13
CVE-2013-5326 ​ColdFusion Adobe Security Bulletin APSB13-27
CVE-2014-0564 Flash Player
AIR
AIR SDK & Compiler
Adobe Security Bulletin APSB14-22
 
OpenSSL
CVE 対象製品 提供情報
CVE-2014-0160 OpenSSL CERT Vulnerability Note VU#720951
Japan Vulnerability Notes JVNVU#94401838


緩和策を実施する
総合的なセキュリティ対策の一環として次の 4つの緩和策を実行してください。
 
  対策方法 根拠
1 悪意あるソフトウェアや未承認のプログラムの実行を防ぐため、ホワイトリスト方式でアプリケーションの実行を制限する ホワイトリスト方式は、指定したプログラムのみ実行可能として、それ以外のプログラムすべて (悪意あるソフトウェアを含む) を遮断できるため、強力なセキュリティ対策の一つです。
2 Java、PDF ビューア、Flash、ウェブブラウザ、Microsoft Office などのパッチを適用する 脆弱なアプリケーションや OS は多くの攻撃の標的となります。これらを最新の状態に保つことで、攻撃者の付け入る点を大幅に減少させることができます。
3 OS の脆弱性対応パッチを適用する
4 OS やアプリケーションへの管理者権限でのアクセスを制限する 管理者権限の使用を必要最小限にすることで、マルウェアの実行やネットワークを介した感染活動を制限することができます。

追加の背景情報や悪意ある行為の検出・対応・復旧について、US-CERT Security Tip (ST13-003)CCIRC Mitigation Guidelines for Advanced Persistent Threats を確認することを推奨します。

ベンダ情報

参考情報

  1. Australian Signal Directorate Information security advice
    Top 4 Mitigation Strategies to Protect Your ICT System
  2. CERT/CC Vulnerability Note VU#720951
    OpenSSL TLS heartbeat extension read overflow discloses sensitive information
  3. Japan Vulnerability Notes JVNVU#94401838
    OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
  4. US-CERT Security Tip (ST13-003)
    Handling Destructive Malware
  5. The Canadian Cyber Incident Response Centre (CCIRC) TR11-002
    Mitigation Guidelines for Advanced Persistent Threats
  6. The Canadian Cyber Incident Response Centre (CCIRC)
    Top 4 Strategies to Mitigate Targeted Cyber Intrusions

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Alert (TA15-119A)
Top 30 Targeted High Risk Vulnerabilities
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2015/05/08
対策方法の記載を修正しました。