公開日:2015/05/08 最終更新日:2015/05/08
JVNTA#99041988
標的型攻撃に使用されるリスクの高い脆弱性 Top 30
重要インフラ事業者に対する標的型攻撃において、既知の脆弱性の対策を行っていないソフトウェアを狙う事例が継続的に観測されています。Top 4 Mitigation Strategies to Protect Your ICT System によると、標的型攻撃の 85% は、適切に修正対応を行っていれば防ぐことができるとのことです。
本アドバイザリでは予防と対策の促進を目的として、これらの攻撃で多く使われている 30 の脆弱性について紹介します。
これは Canadian Cyber Incident Response Centre (CCIRC) による検証をもとに、カナダ、ニュージーランド、UK およびオーストラリアの Cyber Security Centre が協力して作成したものです。
- Microsoft、Oracle、Adobe 製品や OpenSSL を組み込んだソフトウェア
既知の脆弱性を対策せずに放置していると、攻撃に悪用される可能性があります。攻撃事例の分析から、狙われやすい脆弱性がいくつかあることが判明しています。
- 機微な情報や重要な情報の、一時的または恒久的な喪失
- 通常業務の停止
- システムやファイルの復旧にかかる金銭的な損失
- 組織の評判に関する潜在的な被害
最新版の環境を維持する
メールの添付ファイルや水飲み場型攻撃、またその他のツールなどによる攻撃は、多くの場合、広く使用されているソフトウェアの既知の脆弱性に対してパッチを適用していない環境を対象としています。ベンダが提供するパッチをきちんと適用することにより、これら既知の脆弱性を修正することができます。
脆弱性に対して適切な対策が取られるよう、パッチ管理プロセスを確立する必要があります。パッチを適用していない期間が長くなればなるほど、未修正の脆弱性を攻撃されうる期間が長くなります。パッチが公開されると、リバースエンジニアリングによって脆弱性を特定され、攻撃コードが作成される可能性があります。攻撃コード作成まで 24時間から 4日程度で完了するという報告もあります。パッチを即時適用することは、脆弱性を悪用する攻撃に対する最も効果的かつ低コストな対策の一つです。
攻撃が観測されている脆弱性に対するパッチの適用
次に挙げるソフトウェア製品の脆弱性に対してパッチが適用されていることを確認してください。
| CVE | 対象製品 | 提供情報 |
|---|---|---|
| CVE-2006-3227 | Internet Explorer | Microsoft Malware Protection Encyclopedia Entry |
| CVE-2008-2244 | Office Word | マイクロソフト セキュリティ情報 MS08-042 |
| CVE-2009-3129 | Office Office for Mac Open XML File Format Converter for Mac Office Excel Viewer Excel Office Compatibility Pack for Word, Excel, and PowerPoint |
マイクロソフト セキュリティ情報 MS09-067 |
| CVE-2009-3674 | Internet Explorer | マイクロソフト セキュリティ情報 MS09-072 |
| CVE-2010-0806 | Internet Explorer | マイクロソフト セキュリティ情報 MS10-018 |
| CVE-2010-3333 | Office Office for Mac Open XML File Format Converter for Mac |
マイクロソフト セキュリティ情報 MS10-087 |
| CVE-2011-0101 | Excel | マイクロソフト セキュリティ情報 MS11-021 |
| CVE-2012-0158 | Office SQL Server BizTalk Server Commerce Server Visual FoxPro Visual Basic |
マイクロソフト セキュリティ情報 MS12-027 |
| CVE-2012-1856 | Office SQL Server Commerce Server Host Integration Server Visual FoxPro Visual Basic |
マイクロソフト セキュリティ情報 MS12-060 |
| CVE-2012-4792 | Internet Explorer | マイクロソフト セキュリティ情報 MS13-008 |
| CVE-2013-0074 | Silverlight and Developer Runtime | マイクロソフト セキュリティ情報 MS13-022 |
| CVE-2013-1347 | Internet Explorer | マイクロソフト セキュリティ情報 MS13-038 |
| CVE-2014-0322 | Internet Explorer | マイクロソフト セキュリティ情報 MS14-012 |
| CVE-2014-1761 | Microsoft Word Office Word Viewer Office Compatibility Pack Office for Mac Word Automation Services on SharePoint Server Office Web Apps Office Web Apps Server |
マイクロソフト セキュリティ情報 MS14-017 |
| CVE-2014-1776 | Internet Explorer | マイクロソフト セキュリティ情報 MS14-021 |
| CVE-2014-4114 | Windows | マイクロソフト セキュリティ情報 MS14-060 |
| CVE | 対象製品 | 提供情報 |
|---|---|---|
| CVE-2012-1723 | Java Development Kit, SDK, and JRE | Oracle Java SE Critical Patch Update Advisory - June 2012 |
| CVE-2013-2465 | Java Development Kit and JRE | Oracle Java SE Critical Patch Update Advisory - June 2013 |
| CVE | 対象製品 | 提供情報 |
|---|---|---|
| CVE-2009-3953 | Reader Acrobat |
Adobe Security Bulletin APSB10-02 |
| CVE-2010-0188 | Reader Acrobat |
Adobe Security Bulletin APSB10-07 |
| CVE-2010-2883 | Reader Acrobat |
Adobe Security Bulletin APSB10-21 |
| CVE-2011-0611 | Flash Player AIR Reader Acrobat |
Adobe Security Bulletin APSB11-07 Adobe Security Bulletin APSB11-08 |
| CVE-2011-2462 | Reade Acrobat |
Adobe Security Bulletin APSB11-30 |
| CVE-2013-0625 | ColdFusion | Adobe Security Bulletin APSB13-03 |
| CVE-2013-0632 | ColdFusion | Adobe Security Bulletin APSB13-03 |
| CVE-2013-2729 | Reader Acrobat |
Adobe Security Bulletin APSB13-15 |
| CVE-2013-3336 | ColdFusion | Adobe Security Bulletin APSB13-13 |
| CVE-2013-5326 | ColdFusion | Adobe Security Bulletin APSB13-27 |
| CVE-2014-0564 | Flash Player AIR AIR SDK & Compiler |
Adobe Security Bulletin APSB14-22 |
| CVE | 対象製品 | 提供情報 |
|---|---|---|
| CVE-2014-0160 | OpenSSL | CERT Vulnerability Note VU#720951 Japan Vulnerability Notes JVNVU#94401838 |
緩和策を実施する
総合的なセキュリティ対策の一環として次の 4つの緩和策を実行してください。
| 対策方法 | 根拠 | |
|---|---|---|
| 1 | 悪意あるソフトウェアや未承認のプログラムの実行を防ぐため、ホワイトリスト方式でアプリケーションの実行を制限する | ホワイトリスト方式は、指定したプログラムのみ実行可能として、それ以外のプログラムすべて (悪意あるソフトウェアを含む) を遮断できるため、強力なセキュリティ対策の一つです。 |
| 2 | Java、PDF ビューア、Flash、ウェブブラウザ、Microsoft Office などのパッチを適用する | 脆弱なアプリケーションや OS は多くの攻撃の標的となります。これらを最新の状態に保つことで、攻撃者の付け入る点を大幅に減少させることができます。 |
| 3 | OS の脆弱性対応パッチを適用する | |
| 4 | OS やアプリケーションへの管理者権限でのアクセスを制限する | 管理者権限の使用を必要最小限にすることで、マルウェアの実行やネットワークを介した感染活動を制限することができます。 |
追加の背景情報や悪意ある行為の検出・対応・復旧について、US-CERT Security Tip (ST13-003) や CCIRC Mitigation Guidelines for Advanced Persistent Threats を確認することを推奨します。
-
Australian Signal Directorate Information security advice
Top 4 Mitigation Strategies to Protect Your ICT System -
CERT/CC Vulnerability Note VU#720951
OpenSSL TLS heartbeat extension read overflow discloses sensitive information -
Japan Vulnerability Notes JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 -
US-CERT Security Tip (ST13-003)
Handling Destructive Malware -
The Canadian Cyber Incident Response Centre (CCIRC) TR11-002
Mitigation Guidelines for Advanced Persistent Threats -
The Canadian Cyber Incident Response Centre (CCIRC)
Top 4 Strategies to Mitigate Targeted Cyber Intrusions
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
Alert (TA15-119A) Top 30 Targeted High Risk Vulnerabilities |
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
|
| JVN iPedia |
|
- 2015/05/08
- 対策方法の記載を修正しました。
