【Bitsight調査】取引先を狙う攻撃で悪用される脆弱性トップ5 ：サードパーティーリスクの実態

この記事はBitsightのブログを日本語に翻訳したものです。

原題：The Top 5 Vulnerabilities Attackers Are Using Against Your Vendors (And What It Says About Third-Party Risk)

https://www.bitsight.com/blog/top-third-party-vulnerabilities-supply-chain-risk

攻撃者があなたの取引先企業を標的にする場合、一回の攻撃のためだけにシステムを悪用するわけではありません。彼らが狙っているのは、攻撃活動を拡大するあらゆる機会です。つまり、不正侵入をサプライチェーンの中で可能な限り広げる方法を探しているのです。

こうした動きは、Bitsightのサイバー脅威インテリジェンスにも示されています。最近、当社では、2025年のデータを詳しく分析し、攻撃者が標的とする取引先企業内のシステムに存在する主要な脆弱性を調査しました。本分析は、Bitsightがアンダーグラウンドエコシステムおよび脅威データを継続的に監視して得られた情報に基づいており、その中から、サードパーティーリスク管理において共通の管理対象となっている幅広い取引先企業に関連するデータを抽出しています。対象には、健康保険事業者、HVACサプライヤー、カスタマーサービス企業、金融サービス企業、クラウド事業者、マネージドサービスプロバイダー（MSP）など、さまざまな業種が含まれます。

当社の脅威インテリジェンスからは、「攻撃者はサードパーティーを体系的に悪用し、自らの産業化された攻撃基盤における「増幅装置」として利用している」という明確なパターンが特定されました。

サードパーティーリスク管理の責任者の皆様には、こうした動向を注視することを強く推奨します。攻撃者がサプライチェーンを標的にする場合にどの脆弱性を悪用するかを知っておくことは、レジリエンスの高いエコシステム構築を目指すサードパーティーリスク管理（TPRM）にとって不可欠です。こうしたデータは、サードパーティーリスク管理において的を絞った対策を講じるうえでの指針となり、重要な改善項目の優先順位付けに必要な背景情報を取引先企業に提供します。

悪用される脆弱性

以下は、過去1年間に収集したBitsight脅威インテリジェンスのデータをもとに特定した、サードパーティーの取引先企業に対して悪用された脆弱性トップ5です。このデータには、クリアウェブ、ディープウェブ、ダークウェブの情報ソース全体で観測された、840万件を超える脅威インテリジェンス関連の情報が含まれています。これらの情報には、アンダーグラウンドマーケットプレイスの掲載情報、フォーラムでの議論、取引先企業への不正侵入や情報漏えい、脆弱な技術に関連した攻撃者のインフラなどが含まれます。本データは特定の単一組織に対する悪用事例を示すのではなく、広く知られた脆弱性に関連して、攻撃者の活動が長期的かつ持続的に行われている実態を浮き彫りにしています。

これらの脆弱性はいずれも新しいものではありません。中には数十年前にさかのぼるものもあるのですが、数十年前の脆弱性が犯罪市場やネット上の議論で今なお注目され続けている背景には、攻撃者がこれらを好む理由があるのです。こうした脆弱性には、手法が確立されていること、自動化が容易であること、1社への侵入から下流組織への侵入拡大が可能であるといった明確な理由があるのです。このことは、脆弱性の新旧にかかわらず、すべてに対して適切にパッチを適用する重要性を改めて示しています。

※本稿における「サードパーティーの取引先企業」とは、攻撃者の活動環境に登場するソフトウェア提供企業、サービス提供企業、テクノロジー提供企業などを広く指します。Bitsightの特定の顧客を意味するものではありません。

CVE-2017-5715（Spectre Variant 2）

CVE-2017-5715は、CPUレベルの脆弱性であり、マルチテナント型のクラウド環境や共有ホスティングインフラに見つかることが一般的です。こうした共有環境は、SaaS事業者やMSP、さらには技術に詳しくない取引先企業でさえ依存しているサードパーティープラットフォームによって運用されています。

Spectre Variant 2は、ローカルアクセスが必要な投機的実行に関する欠陥であり、直接的なコード実行を可能にするものではありません。しかし、特定の条件下では、認証情報（PII）、暗号関連情報、APIトークンといった機密データを露出させる可能性があるため、重要であることに変わりはありません。例えば、共有ハードウェア環境において、悪意のある、あるいはアカウントを乗っ取られたマルチテナント環境の別のユーザーが、同一の物理基盤上で稼働する他のワークロードのデータを読み取ることができてしまう状況がこれに該当します。

この脆弱性が悪用されると、ほかの環境へのアクセスに使用する機密データが漏えいする可能性があるため、ホスティング事業者の顧客、さらにはその顧客の顧客にまで影響が及ぶ下流のサプライチェーンリスクが生じます。Spectreに関連するリスクへの対応を検討しているサードパーティーリスク管理の責任者は、重要な取引先企業に対して、CPUレベルの緩和策を有効化しているか、また機密性の高いワークロードを専用リソースに分離しているかを確認してもよいでしょう。重要な取引先企業がホスティング事業者でない場合でも、その取引先企業が利用しているホスティング事業者が同等の対策を講じているかどうかを確認することが有効な場合もあります。

本分析において、CVE-2017-5715が脆弱性のトップに位置付けられる理由は、新しいからでも単独で容易に悪用できるからでもありません。サードパーティーの取引先企業に関連する脅威インテリジェンス情報ソースにおいて今なお広範囲に確認されているためです。今なお確認され続けているということは、問題の根本要因がホスティング環境全体に広く蔓延していること、そして広範なサプライチェーン攻撃や侵入後の攻撃連鎖において今なお魅力的な補助手法であり続けているという状況を反映したものといえます。

サードパーティーリスク管理責任者の方へ

本件のリスクは、Spectre単体の悪用よりも、環境における露出の方が重大です。
組織は重要な取引先企業に対し、CPUレベルの緩和策が実施されているか、機密性の高いワークロードが専用ハードウェアに分離されているか、またホスティングプロバイダーがテナント間のデータ露出リスクをどのように低減しているかを確認することを検討してください。

CVE-2018-3615（Foreshadow）

CVE-2018-3615は、もう1つのCPUレベルの脆弱性です。
特にハードウェアベースのセキュアエンクレーブが使用されている場合、マルチテナント環境においてリスクが高まる可能性があります。このCVEは、保護された実行空間を作り出すことを目的としたエンクレーブ技術を標的としています。エンクレーブは、システムのほかの部分に侵入された場合でも機密データの機密性を維持するよう設計された領域です。取引先企業の中には、暗号マテリアルやアナリティクスデータ、キー管理のシークレット（認証情報）の機密性を担保する手段として、エンクレーブを基盤としたサービスを利用する企業もあります。

Foreshadowは、このような対策の効果を弱めます。
この脆弱性を悪用するには事前にシステムへのローカルアクセスが必要ですが、本来そうした情報の漏えいを回避するよう設計されているはずのエンクレーブから機密情報を抽出できてしまう可能性があります。抽出される可能性のある情報としては、暗号鍵、認証情報、エンクレーブ内で処理される機密性の高い顧客データなどがあります。

サードパーティーリスク管理責任者の方へ

懸念されるのは、Foreshadowが初期アクセスの手段となることではなく、共有環境やマルチテナント環境における侵入の影響を大幅に悪化させる可能性です。
重要な取引先企業がハードウェアベースのコンフィデンシャルコンピューティングを推進している組織の場合、緩和策が適用されているかどうか、またエンクレーブの利用が、基盤となるアクセス制御や分離が厳格に実施されている環境に限定されているかどうかを確認するとよいでしょう。

CVE-1999-0024（DNSキャッシュポイズニング）

CVE-1999-0024は20年以上前の脆弱性ですが、修正プログラムが適用されていない環境が残っているため、今も攻撃手段として利用されています。

これはDNSキャッシュポイズニング型の脆弱性であり、悪用されるとDNSリゾルバーのキャッシュに偽の応答を注入することが可能になります。その結果、そのリゾルバーのユーザーは気付かないうちに攻撃者が管理するインフラへリダイレクトされる可能性があります。一般にDNSキャッシュポイズニングは、第三者のシステムを悪用して攻撃を行う手法として広く用いられています。

最近の調査によると、公開されているDNSリゾルバーの15%がこの種の脆弱性の影響を受けやすい状況にあります。また、サプライチェーン攻撃を企てる攻撃者にとっては、活動を手早く拡大するための強力な手段となります。ISP、ホスティングプロバイダー、あるいはほかの取引先企業において、汚染されたリゾルバーが一つでもあると、数千もの下流ユーザーのトラフィックを同時にリダイレクトできる可能性があります。攻撃者は、この脆弱性を利用することで、偽のログインポータルを用いて認証情報を収集したり、複数の組織に対して同時に悪意のあるソフトウェア更新を配布したりといったことが可能です。

サードパーティーリスク管理責任者の方へ

この攻撃手法が広く浸透していることを踏まえ、自社の環境に直接接続されるシステムを持つ取引先企業に対し、DNSの名前解決を行っている事業者およびキャッシュポイズニングの具体的な対策を確認するとよいでしょう。

CVE-2017-0161（NetBIOSリモートコード実行）

CVE-2017-0161はWindowsのネットワーク機能の脆弱性です。この脆弱性を利用すると、認証を行うことなく、脆弱なシステム上で自由にコードを実行できてしまいます。

ほかの脆弱性同様、この脆弱性も古い脆弱性の1つですが、今回は特に古いWindows環境において既定で有効になっていることが多く、内部ネットワークセグメントで見落とされがちなレガシープロトコルに影響するものです。そのため、CVE-2017-0161は、フラットなネットワーク構成やセグメンテーションが不十分な環境の場合、特に危険です。例えば、ITが事業の中核ではなくセキュリティの近代化が進んでいないが、顧客の環境に接続するシステムを持つような取引先企業がこれに該当します。そうした企業としては、コールセンター、法律事務所や会計事務所、福利厚生管理事業者、医療関連ベンダーなどが挙げられます。

この脆弱性を利用して攻撃を拡大する攻撃者は、まず取引先企業の一つのネットワーク内に足掛かりを築き、その後NetBIOSが公開されているシステムがないか探しながら、ジャンプホスト、サポート用ワークステーション、管理サーバーの乗っ取り機会を模索します。こうしたシステムには、顧客環境に直接アクセス可能なVPN認証情報やリモート管理ツールが保管されているため、1台のジャンプホストに侵入できれば、そこを足掛かりにほかの顧客環境への侵入が可能になります。

サードパーティーリスク管理責任者の方へ

この脆弱性が頻繁に標的とされていることを踏まえ、サードパーティーリスク管理の取り組みにおいて、横方向の移動を制限するために取引先企業が内部ネットワークをどのようにセグメント化しているかを確認する必要があります。また、顧客アクセスを扱うシステムにおいて、重要な取引先企業がNetBIOSを無効化しているかどうかを確認してもいいでしょう。

CVE-2017-8517（ブラウザのメモリ破損）

CVE-2017-8517はブラウザを介したリモートコード実行の脆弱性であり、攻撃者はユーザーを悪意のある、または改ざんされたウェブページへ誘導するだけで悪用が可能です。この脆弱性が悪用されると、攻撃者のコードがログイン中のユーザーと同じ権限で実行されます。その結果、SSOクッキー、VPNの認証情報、保存されたパスワード、さらにはそのブラウザセッションで開かれている内部ウェブアプリなどにアクセスされる可能性があります。

多くの取引先企業は日常業務の一環として、ウェブベースの顧客管理パネル、サポートポータル、リモート管理コンソールをブラウザで操作しています。そのためこの脆弱性は、サプライチェーン攻撃の足掛かりとして便利な手段となります。この脆弱性を悪用すると、取引業者自身の正規の認証情報やツールを使用して顧客環境へのアクセスに必要なすべての情報を取得できる可能性があります。

サードパーティーリスク管理責任者の方へ

本脆弱性には2017年以降修正プログラムが提供されていますが、セキュリティ成熟度の低い取引先企業では、脆弱なブラウザが使用され続ける状況が見られます。攻撃者によるこの脆弱性の利用は、顧客環境にアクセスする取引先企業の従業員に対して、ブラウザのパッチ適用ポリシーを確認するサードパーティーリスク管理の取り組みの重要性を示しています。

サードパーティーリスク管理責任者への示唆

今回取り上げたCVEは、一見すると、無作為に並べられた脆弱性の寄せ集めのように思えるかもしれません。しかし、攻撃者の視点で詳しく見てみると、そこには一貫して通底する共通の要素があることが分かります。これらの脆弱性の悪用は、共有インフラ、信頼境界、そしてサプライチェーンの接点に位置するシステムを標的としています。

サードパーティーリスク管理責任者がこうした攻撃パターンについて検討すると、いくつかの重要な教訓が浮かび上がってきます。

• 共有インフラの脆弱性は連鎖的なリスクの要因となる：
  攻撃者は、影響範囲をサプライチェーン全体に拡大できるよう、取引先企業の信頼境界や共有サービスに侵入できる脆弱性を狙います。従って、サードパーティーリスク管理の取り組みでは、取引先企業のセキュリティ体制を考えるだけではなく、その取引先企業で不正アクセス事案が発生した場合、組織内のどの範囲まで影響が及ぶ可能性があるかまで踏み込んで検討する必要があります。
  重要な取引先企業を、不正アクセス事案が発生した場合の「影響範囲」に基づいて区分することを検討してもよいでしょう。こうした区分は、DNSやVPN、リモートアクセス、あるいは顧客システムに接続するマルチテナント型ホスティングインフラを運用する取引先企業の優先順位付けに役立ちます。
• 古い脆弱性であっても重要であることに変わりはなく、特に非テック系企業の場合は注意が必要である：
  攻撃者がサードパーティーを標的にする際に利用する脆弱性は、最先端のゼロデイとは限りません。むしろ、修正プログラムが未適用のレガシーシステムが今も稼働する取引先企業の環境では、5年前、10年前、あるいは20年前の脆弱性であっても、機能さえすれば古い脆弱性が選ばれることも少なくありません。企業や組織の取引先企業を標的とする際に悪用される脆弱性の上位に、公開から8年未満のものが一つも含まれていないという事実は、この状況を裏付けています。
  このような古い脆弱性は、自社のテック系システムとの依存度が高い非テック系の取引先企業においては、とりわけ重要な意味を持ちます。空調設備業者や物流業者、アウトソーシング企業に、古い脆弱性を洗い出して排除する専任のセキュリティチームが常に存在するとは限りません。しかし、こうした問題のリスクに何らかの緩和策を講じていなければ、最終的に自らの問題となり得るのです。
• 継続的なモニタリングは、アンケートでは把握できないセキュリティリスクをキャッチできる：
  従来のサードパーティーリスク管理では、アンケートやある時点での評価に依存するところが大きく、正確性や具体性という点では十分ではありません。取引先企業は「30日以内に必ずパッチを適用している」と回答するかもしれませんが、重要なシステムの一部を見落としている可能性もあります。
  取引先企業に関連するインフラを継続的にモニタリングすることで、アンケートでは把握できない状況が明らかになることがあります。例えば、リモートアクセスシステムで使用されている古いブラウザのバージョン、外部に公開されている機器で稼働しているサポート終了済みのオペレーティングシステム、あるいはキャッシュポイズニングの影響を受けやすいDNS設定などです。こうした情報は、ポリシー順守のざっくりとした把握ではなく、具体的な露出に基づく修正対応の優先順位付けや対話を進めるうえで役立ちます。
• 脅威インテリジェンスは、対象を絞ったサードパーティーリスク管理を可能にする：
  あるシステムに存在する脆弱性や設定ミスのうち、実際に攻撃者に利用されるものはごく一部に過ぎません。重要なのは、どの脆弱性が実際に標的となっているかを把握することです。
  サイバー脅威インテリジェンスは、自組織の取引先企業に対して、どの脆弱性がどのように悪用されているかといった重要な背景情報を提供します。こうした情報は、管理対象の取引先企業に対し、特にリスクの高い露出についての対応を促すだけでなく、ある時点の脅威動向の中で自組織のリスクプロファイルにとって重要な取引先企業の優先順位付けにも役立ちます。
  サイバー脅威インテリジェンスをこのように活用することで、サードパーティーリスク管理は、支出額や重要度だけに依存した優先順位付けを超え、自組織の取引先企業に関連する標的型攻撃の証拠に基づく優先順位付けへと発展させることができます。

今回取り上げた脆弱性トップ5は、脅威情報に基づくベンダー管理に移行するためのきっかけとなるはずです。継続的なモニタリングとサイバー脅威インテリジェンスを組み合わせることで、サプライチェーンにとって特に重要な露出をより正確に特定できるようになります。その第一歩として、重要な取引先企業と共同でリスクレビューを行い、具体的な攻撃経路を一緒に確認するのもいいでしょう。目的は、監査によって取引先企業を一方的に従わせることではありません。むしろ、取引先企業と自組織の双方にとって最もリスクの高い脅威に焦点を当て、協力的な対話を始めることにあるのです。