west-sec 情シスを悩ます「脆弱性管理」のあるべき姿を考える：脆弱性管理の勘所- 実際に運用を回すための考え方 -

12.3K Views

May 21, 25

#ランサムウェア #脆弱性管理 #サイバーセキュリティ #パッチ適用 #情報セキュリティ

スライド概要

このスライドでは、ランサムウェア攻撃の現状と、その対策としての脆弱性管理の重要性について解説します。

主な内容:
ランサムウェアの被害は増加傾向にあり、特にVPN機器の脆弱性が国内の侵入経路の多くを占めています。
攻撃者は必ずしも最新のゼロデイ脆弱性だけでなく、古くから知られている脆弱性も悪用します。
従来のCVSSスコアだけでは、対応すべき脆弱性を現実的な数に絞り込むことが困難です。その理由は、CVSSスコアが高いものが多く、またスコアが低くても攻撃コードが存在するケースがあるためです。
そこで、本スライドでは、リスクを「脆弱性」「脅威」「影響」の3要素で捉え、より効果的な優先度付けを可能にするフレームワーク「SSVC (Stakeholder-Specific Vulnerability Categorization)」を紹介します。
SSVCは、攻撃コードの公開状況、システムのインターネット露出度、業務への影響度などを考慮し、脆弱性を4段階の対応レベルに分類することで、効率的な脆弱性管理を実現します。

この資料を通じて、実践的な脆弱性管理の考え方と、SSVCを活用した具体的なアプローチを学ぶことができます。

FutureVuls

@FutureVuls

スライド一覧

#vuls クラウド版 / 脆弱性管理を徹底的に自動化　脆弱性管理クラウド「FutureVuls」の公式アカウント。 SSVC/オンプレ/クラウド/閉域網/Windows/Linux/コンテナ/ライブラリ/ミドルウェア/NW機器/商用製品/WordPress / HP: http://vuls.biz

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

[CSS2024/OWS] 脆弱性管理と課題-OSSの視点から

FutureVuls 11.1K

Vuls祭り#10 Beerセッション-SSVCの自動化

FutureVuls 2.6K

Vulsまつり#10 | 「残業？来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

FutureVuls 1.9K

SecurityDays 2024 「脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは」

FutureVuls 1.3K

PSIRT構築のStep by Stepガイド

FutureVuls 1.2K

製造業における製品脆弱性管理の課題と対応方法

FutureVuls 751

各ページのテキスト

自己紹介神戸康多（かんべこうた）フューチャー株式会社 OSS脆弱性スキャナ「Vuls」作者脆弱性管理クラウド「FutureVuls」の運営実績 ■ ■ ■ 情報処理学会ソフトウェアジャパン2020 アワード BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演 Google OSS Peer Bonus Winners of 2022 Copyright © 2025 by Future Corporation -2-

https://security.macnica.co.jp/blog/2024/02/post-4.html

2025年１月ー５月のランサムウェア被害組織の一部（日本）ランサムウェアは、企業規模に関わらず全ての企業が対象となる（中小企業を青）売上規模従業員規模業界中規模(100-500億) 小規模(<1千人) 製造/建設小規模(<100億) 中規模(1千-1万人) サービス中規模(100-500億) 中規模(1千-1万人) 製造中規模(100-500億) 中規模(1千-1万人) 製造小規模(<100億) 中規模(1千-1万人) 物流小規模(<100億) 小規模(<1千人) 不動産中規模(100-500億) 中規模(1千-1万人) 製造大規模(>500億) 大規模(>1万人) 製造大規模(>500億) 大規模(>1万人) 製造小規模(<100億) 小規模(<1千人) 製造大規模(>500億) 大規模(>1万人) 製造中規模(100-500億) 大規模(>1万人) 製造小規模(<100億) 中規模(1千-1万人) 製造小規模(<100億) 小規模(<1千人) サービス小規模(<100億) 中規模(1千-1万人) IT・通信出所：2025/1/1-2025/5/13時点の日本のランサムウェア被害 Stealthmoleより Copyright © 2025 by Future Corporation -5-

ランサムウェア被害額のリアル — 数億円規模の“見えざるコスト” 支払う／支払わないに関わらず、身代金はコスト全体のほんの一角。復旧・減収・信頼失墜など水面下の損失が数倍〜数十倍に膨らむ場合がある。事例／業種・規模公表された直接費推定・報道されるその他損失ダウンタイム（日数）身代金支払出典徳島県つるぎ町立半田病院（医電子カルテ再構築・調減収額非公表療・120床）査費計7,000万円（診療停止2か月）診療65日制限／全面復旧2か月病院側は不有識者会議調査報告書払い大阪急性期・総合医療センター（医療・2,200端末）調査・復旧費「数億円以上」主要43日／全面73日不払い調査報告書概要名古屋港 NUTS （港湾インフラ）公表なし（直接費不明）港湾搬入出停止による経済損失未約3日公表不払い国交省インシデント資料奈良県宇陀市立病院（医療・176床）監査法人1,200万円＋減収・内部工数等は未公表調査分析2,600万円＝計3,800万円実質2日で診療再開（完全復元5か不払い月）令和元年度 ICT監査結果報告書 KADOKAWA 特別損失24〜36億円主要サービス停止：約 3.5〜4.5 か月朝日新聞記事逸失利益「十数億円以上」売上減・ブランド毀損等は非公表非公表対策を先送りすると安く済むように見えて、事業中断で実は後でより大きな損失になる。しかも被害はIT部門だけでなく会社全体に Copyright © 2025 by Future Corporation -6-

ランサムウェアの侵入経路（国外・国内）侵入経路は、脆弱性の悪用が一番多い - グローバルでは、脆弱性の悪用が「36%」国内は「63%」がVPN機器からの侵入（脆弱性の悪用＋弱い認証） <グローバル> 出所：SOPHOS ランサムウェアの現状2023 年版 <国内> 出所：警察庁令和５年におけるサイバー空間をめぐる脅威の情勢等について Copyright © 2025 by Future Corporation -7-

ランサムウェア攻撃の各段階と脆弱性の悪用フィッシング、パスワード推測、脆弱性の悪用、Eメール等で侵入する。その後、C2への接続、管理者権限への昇格や横方向への移動を行う。最後に機密データの抽出、バックアップの破壊、暗号化し身代金を要求する。 <初期侵入> <内部活動> 29% 有効な認証情報パスワード推測データ抽出インターネット露出サービス 36% 横移動コマンド& コントロール脆弱性の悪用権限昇格 18% Ｅメール添付ファイル侵入の割合 <ターゲットの暗号化> 13% フィッシング凡例マルウェアバックアップの破壊データ暗号化初期侵入だけでなく、横移動・権限昇格などでも脆弱性は悪用される Copyright © 2025 by Future Corporation -8-

ランサムウェアグループが悪用する既知の脆弱性とはゼロデイ攻撃をド派手にしかけてくる印象があるが、既知の古い脆弱性が狙われるケースも多い。ランサムウェアで悪用されている脆弱性の「48.5 ％」が2022年以前のCVEとなっている（2024/11/11時点全66件) ランサムウェアで利用古い脆弱性の攻撃が多い 2023年には、ゼロデイ攻撃が大幅に減少し、攻撃者はより古い脆弱性や既存の認証情報を悪用する傾向が強まっている。出所: IBM X-Force脅威インテリジェンス・インデックス2024 ShadowServer: Top100をRansomeware=knownでフィルタリスクには有効期限が無く、古い脆弱性をそのままにしている場合は餌食となる。 Copyright © 2025 by Future Corporation -9-

10.

ランサムグループが利用する既知の脆弱性 CISAのサイトを「#stopransomware」で検索し、ランサムグループの詳細情報を見ると古くてインパクトが大きい脆弱性が継続的に使われていることがわかる。古い脆弱性も使われているグループ名 LockBit Black Basta 段階初期侵入 CVE-ID 概要 CVE-2021-44228 Log4Shell CVE-2021-26855 ProxyLogon 初期侵入 CVE-2024-1709 Citrix 横移動・権限昇格 CVE-2020-1472 ZeroLogon CVE-2021-34527 PrintNightmare 出所：CISAのサイトを「#stopransomware」で検索 CISA-KEVの「1,207件中239件（19.8 %)」がランサムウェアキャンペーンで悪用(2024/11時点) Copyright © 2025 by Future Corporation - 10 -

https://www.cisa.gov/search?g=stopransomeware#gsc.tab=0&gsc.q=#stopransomware&gsc.sort=

11.

ランサムウェア対策において脆弱性管理は必須であるランサムウェア対策の要は「脆弱性管理」と「迅速なパッチ適用」 - CISA #StopRansomware の各ランサムグループ解説ページは、まず「脆弱性管理とパッチ適用の徹底」とどのページにも記載している。 CISA 2023 Top Routinely Exploited Vulnerabilities は、「攻撃者は公開から 2 年以内の脆弱性を最も頻繁に悪用している」と警告。脆弱性を放置することが最大のリスクとなる。出所：CISAのサイトを「#stopransomware」で検索 CISA 2023 Top Routinely Exploited Vulnerabilities Copyright © 2025 by Future Corporation - 11 -

12.

組織の脆弱性対応力は10% 攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用であるが、米国の平均的な組織は脆弱性の10%しかパッチを当てられない。脆弱性は時間とともに溜まり増え続ける。 <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）> 場合たき応で e) 対 os 数に n=Cl 性 e p 脆弱 (O のて数性すべ弱た脆きで応に対際実出所：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice Copyright © 2025 by Future Corporation - 12 -

13.

14.

CVSSスコアと武器化の関係 CVSSスコアが低いものにも攻撃コードがある。 CVSSスコアが高くても武器化されていないものは多数ある。出所: The Risk Remediation Taxonomy and Decision Tree are part of a conference presentation by Yahoo Chris Madden: https://www.bsidesdub.ie/ May 27 2023. Copyright © 2025 by Future Corporation - 14 -

15.

16.

17.

実際に悪用されている脆弱性「5%」未満＜攻撃に利用される脆弱性＞＜BOD 22-01: 既知の脆弱性の重大なリスクの軽減＞ 2.24% 約4,615件公開されている CVE の総数のうち 4% 未満しか悪用されていません。出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 実際に悪用されている 5%の脆弱性に注目して絞り込むのが良さそう Copyright © 2025 by Future Corporation - 17 -

18.

19.

SSVC - Stakeholder-Specific Vulnerability Categorization CVSS だけでは見極められない“実際に攻撃を受ける可能性” と“自社業務への影響” を掛け合わせてリスク基準で4段階に優先度を分類するフレームワーク。米国 CISA と CERT/CC が共同策定した。〈 SSVC 〉最新の脆弱性・脅威の情報、システム固有の情報 SSVC 決定木対応レベルを導出 immediate 脅威攻撃コードの公開有無と悪用レベル × 可能な限り迅速に対応自動自動化可能性攻撃者にとっての有用性（自動化） out-of-cycle 通常よりも迅速に対応 × 業務影響度攻撃された際の業務影響度 × 環境手動 scheduled 定期メンテナンス時に対応システムのインターネット露出度 defer 現時点では対応しない Copyright © 2025 by Future Corporation - 19 -

20.

SSVC の詳細リスクの3要素をカバーしており、リスクを総合的に判断可能。対応するリスク要素 FutureVuls での判断 Exploitation 攻撃に使われている？脅威自動 no poc active poc未公開 Exploit-DB やMetasploit 等にpocが公開されている CISA-KEV, Vulncheck-KEV , Vulnrichment , ベンダ情報 Exposure インターネットに露出している？ - 手動 small controlled open インターネットから隔離された環境インターネット非公開の社内システムなどインターネットから到達できる Automatable 自動化可能な脆弱性？脆弱性自動 no yes キルチェーンの1-4が自動化可能かどうか（RCEはyes)。 Vulnrichment にも情報あり。影響手動 low medium high very high ビジネス活動に特に影響低影響は限定的な場合ある一つ・少数の基幹業務に影響あり会社全体のビジネス活動に影響あり Decision Point Human Impac t ビジネスへの影響は？値判断基準・情報ソース Copyright © 2025 by Future Corporation - 20 -

21.

デモ SSVCの決定木のデモサイト上で人気の脆弱性の優先順位付けを試してみる。 https://certcc.github.io/SSVC/ssvc-calc/ CVE 資産製品サーバ OpenSSH Vulnrichment: Exploitation: poc, Automatable: no CVE-2023-27997 NW機器 Fortigate CISA-KEV: 掲載されているのでExploitationはActive Automatable: - yesだろう（AV:N, AC:L, PR:N) - IP, Portでチェックできるtool CVE-2021-44228 (Log4Shell) ライブラリ Log4j CISA-KEV: 掲載されているのでExploitationはActive Automatable: yes CVE-2024-6387 (regreSSHion) 判断基準・情報ソース Copyright © 2025 by Future Corporation - 21 -

22.

SSVC の実験結果５つの環境を想定して「4,716件」の脆弱性SSVCで優先順位付けした。 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている。 immediate out-of-cycle immediate/out-of -cycleの割合インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム (勤怠管理など ) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 scheduled defer 同じ脆弱性でも「インターネット露出度」「業務影響」に応じて異なる優先度に分類される Copyright © 2025 by Future Corporation - 22 -

23.

前半まとめ 1. 脆弱性悪用が最大の侵入口ランサムウェア侵入経路の一位は脆弱性悪用によるもの。組織規模を問わず標的になる 2. CVSS スコアだけでは危険度を絞り込めない公開 CVE の半数以上が “HIGH” だが、実際に攻撃に使われるのは 2–5 % のみ 3. “リスク = 脆弱性 × 脅威 × 影響” の視点で SSVC を活用 SSVC なら PoC／攻撃活性度・インターネット公開度・業務影響を基に immediate / out-of-cycle など 4 段階で現実的な件数に優先度付けが可能 Copyright © 2025 by Future Corporation - 23 -