United States Computer Emergency Readiness Team (US-CERT)は5月12日(米国時間)、「Top 10 Routinely Exploited Vulnerabilities|CISA」において、2016年から2019年に悪用された脆弱性について伝えた。US-CERTはCVE-2017-11882、CVE-2017-0199、CVE-2017-5638、CVE-2012-0158 、CVE-2019-0604、CVE-2017-0143、CVE-2018-4878、CVE-2017-8759、CVE-2015-1641、CVE-2018-7600が悪用された脆弱性トップ10と認識しており、その概要をまとめて報告している。
2016年から2019年にかけて悪用された脆弱性に関して、US-CERTがまとめた概要で主な注目点は次のとおり。
- Microsoft OLE (Object Linking and Embedding)技術の悪用例が多い。OLEに次いで悪用された技術はApache StrutsなどのWebフレームワーク
- サイバー攻撃者は一貫してMicrosoftおよびAdobe Flashの脆弱性を悪用していた。その理由は、これらの技術が広く使われていたことにあると見られる
報告されている脆弱性、その脆弱性を含む代表的なプロダクト、その脆弱性を悪用したマルウェアなどは次のとおり。
| CVE | プロダクト | 関連マルウェア |
|---|---|---|
| CVE-2017-11882 | Microsoft Office 2007 SP3、Microsoft Office 2010 SP2、Microsoft Office 2013 SP1、Microsoft Office 2016 | Loki、FormBook、Pony/FAREIT |
| CVE-2017-0199 | Microsoft Office 2007 SP3、Microsoft Office 2010 SP2、Microsoft Office 2013 SP1、Microsoft Office 2016、Windows Vista SP2、Windows Server 2008 SP2、Windows 7 SP1、Windows 8.1 | FINSPY、LATENTBOT、Dridex |
| CVE-2017-5638 | Apache Struts 2 2.3.x (2.3.32よりも前のバージョン)、Apache Struts 2.5.x (2.5.10.1よりも前のバージョン) | JexBoss |
| CVE-2012-0158 | Microsoft Office 2003 SP3、Microsoft Office 2007 SP2、Microsoft Office SP3、Microsoft Office 2010 Gold、Microsoft Office 2010 Gold SP1、Office 2003 Web Components SP3、SQL Server 2000 SP4、SQL Server 2005 SP4、SQL Server 2008 SP2、SQL Server 2008 SP3、SQL Server 2008 R2、BizTalk Server 2002 SP1、Commerce Server 2002 SP4、Commerce Server 2007 SP2、Commerce Server 2009 Gold、Commerce Server 2009 Gold R2、Visual FoxPro 8.0 SP1、Visual FoxPro 9.0 SP2、Visual Basic 6.0 | Dridex |
| CVE-2019-0604 | Microsoft SharePoint | China Chopper |
| CVE-2017-0143 | Microsoft Windows Vista SP2、Windows Server 2008 SP2、Windows Server 2008 R2 SP1、Windows 7 SP1、Windows 8.1、Windows Server 2012 Gold、Windows Server 2012 Gold R2、Windows RT 8.1、Windows 10 Gold、Windows 10 Gold 1511、Windows 10 Gold 1607、Windows Server 2016 | EternalSynergyおよびEternalBlue Exploit Kitを使った数々のマルウェア |
| CVE-2018-4878 | Adobe Flash Player 28.0.0.161よりも前のバージョン | DOGCALL |
| CVE-2017-8759 | Microsoft .NET Framework 2.0、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6、Microsoft .NET Framework 4.6.1、Microsoft .NET Framework 4.6.2、Microsoft .NET Framework 4.7 | FINSPY、FinFisher、WingBird |
| CVE-2015-1641 | Microsoft Word 2007 SP3、Office 2010 SP2、Word 2010 SP2、Word 2013 SP1、Word 2013 RT SP1、Word for Mac 2011、Office Compatibility Pack SP3、Word Automation Services on SharePoint Server 2010 SP2および2013 SP1、Office Web Apps Server 2010 SP2、Office Web Apps Server 2013 SP1 | Toshliph、UWarrior |
| CVE-2018-7600 | Drupal 7.58よりも前のバージョン、Drupal 8.x (8.3.9よりも前のバージョン)、Drupal 8.4.x (8.4.6よりも前のバージョン)、Drupal 8.5.x (8.5.1よりも前のバージョン) | Kitty |
-
Top 10 Routinely Exploited Vulnerabilities|CISA
ソフトウェアの脆弱性は尽きることなく見つかっており、常にアップデートして問題に対処することが望まれる。脆弱性情報は常に最新のデータを手に入れるとともに、アップデートが公開された場合は迅速に適用することが望まれる。
