サイバーセキュリティ 脆弱性 ネットワークセキュリティ エッジデバイス GreyNoise

エッジデバイスの脆弱性を事前に察知する「背景ノイズ」

攻撃者はエッジデバイスの脆弱性を無差別に悪用することは稀だ。通常、彼らはまずその脆弱性がどれほど悪用可能か、どれだけのアクセス権を獲得できるかをテストし、その後データの窃取やシステムの妨害に移る。この事前調査と計画段階では、ネットワーク上に多くの「ノイズ」が生じる。GreyNoiseがCyberScoopに先駆けて公開した調査によると、こうしたシグナル、特に特定のベンダーに対するトラフィック急増は、脆弱性公開の公表に先立つ早期警告システムとして機能するという。

103日間の調査で判明した関連性

GreyNoiseが昨冬に実施した103日間の調査では、検知された活動急増の約半数が、同じターゲットベンダーによる脆弱性公開の3週間以内に発生していた。同社のレポートによると、脆弱性公開の兆しを示す平均的な警告は、ベンダーが顧客に公表する9日前に到達していた。

GreyNoiseの創業者兼最高技術責任者であるAndrew Morris氏はCyberScoopに対し、「大規模な偵察活動や特定のデバイスを対象とした在庫確認活動の急増は、誰かが脆弱性を知っている証拠だ。数日または数週間以内に、非常に深刻な脆弱性が公開される」と語った。

防御側に与える貴重なリードタイム

GreyNoiseは、このリードタイムが1日でもあれば、防御側が攻撃を未然に防ぐ機会を得られると強調する。同社のリアルタイムネットワークエッジスキャニングプラットフォームは、調査期間中に18のベンダーにわたる104件の活動急増を検知した。これらの組み込みシステム(ルーター、VPN、ファイアウォール、その他のセキュリティシステム)は、最も頻繁に悪用される脆弱性の対象となっている。

Morris氏は「攻撃者はセキュリティデバイスを狙うのが大好きだ。皮肉なことに、その事実が私を苛立たせる」と述べ、さらに「これらのデバイスのセキュリティが真剣に受け止められていない」と指摘した。また、「デバイスを交換するほど深刻な問題と認識されていない」と続けた。

主要ベンダーの脆弱性との関連性

GreyNoiseは、トラフィック急増と市場全体の脆弱性公開との関連を特定した。Cisco、Palo Alto Networks、Fortinet、Ivanti、HPE、MicroTik、TP-Link、VMware、Juniper、F5、Netgearなどのベンダーが公開した脆弱性との関連が確認されている。

Morris氏は「これは科学的に実証されつつあり、もはや神秘的な現象ではなく、気象学のような確実性を帯びている。時計仕掛けのように規則正しい」と語った。

トラフィック急増の分析手法

GreyNoiseはトラフィック急増を「強度」と「広がり」の2つの指標で分析している。セッション数は特定のベンダーに対する攻撃の激しさを示し、ユニークな送信元IP数は新たな攻撃インフラがどれだけ広範囲に参加しているかを示す。

同社のレポートによると、「強度と広がりが同時に増加した場合、調整されたエスカレーションのシグナルとなる」という。また、「特定のベンダーに対するセッション急増と同時に新たな送信元IPが参加している場合は、より注意深く調査すべき高信頼性の兆候とみなせる。IP数のみの急増の場合は、脆弱性公開の前兆とは限らない」と指摘している。

他機関の研究も裏付け

この調査結果は、Verizon、Google Threat Intelligence Group、Mandiantなどの研究を裏付けるものであり、GreyNoiseはこれを「史上最も活発な脆弱性公開の波」と呼称している。

出典: CyberScoop
ジャスティン・サン氏、Kelp DAOハッキング犯に交渉呼びかけ — 2億9300万ドル相当のrsETH盗難で
← 前へ

ジャスティン・サン氏、Kelp DAOハッキング犯に交渉呼びかけ — 2億9300万ド...

 アメリカ政治史に残る5つの出来事:2021年から1981年までの振り返り
次へ →

アメリカ政治史に残る5つの出来事:2021年から1981年までの振り返り