米英含む情報同盟、脆弱性対策におけるエンドユーザーの責任を強調：Cybersecurity Dive

Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。

[Matt Kapko，Cybersecurity Dive]

　英語圏5カ国で機密情報を共有する枠組みである「Five Eyes」のサイバー当局が2023年8月3日（現地時間）に発表した共同勧告によると、2022年に最も多く悪用された12の脆弱（ぜいじゃく）性の半数は2021年に発見されたものだという（注1）。上位12のうちの1つは2018年に発見されていた。

「とにかく急いでパッチを適用せよ」　米国や英国含む情報同盟が勧告

　日常的に悪用される脆弱性の3分の1はMicrosoft製品のものであり、これには「Microsoft Exchange Server」について2021年に発見された3件の共通脆弱性識別子（CVE）も含まれており、3分の2の脆弱性は、AtlassianやMicrosoft、VMwareの製品から見つかっている。このリストには、「Apache Log4j」やF5 Networks、Fortinet、Zohoも含まれている。

　古い脆弱性の持続力は、企業の長期的な取り組みと、一般的な脅威に対する企業の防御力という2つの課題を強調する。

　脆弱性に対するパッチの適用が遅れたり、一貫性がなかったりすることは、依然として根本的な問題である。これに加えてベンダーや設計者、開発者がセキュア・バイ・デザインとセキュア・バイ・デフォルトの原則に従っていないことが、攻撃者による侵害のリスクを悪化させている（注2）。

　米国やオーストラリア、カナダ、ニュージーランド、英国の当局が参加する情報同盟Five Eyesは、ソフトウェア開発のライフサイクル全体を通じて、ベンダーは安全な設計の慣行に従うべきだと繰り返し強調してきた。

　「特にタイムリーなパッチ適用を実現する管理システムと、セキュア・バイ・デザインを実現するプログラムに対してソフトウェアプロバイダーが関与しているかどうかの見直しには、エンドユーザーである組織にも責任がある」と当局は述べている。

　Five Eyesは勧告の中で「タイムリーなパッチ適用によって、既知の脆弱性の有効性が低下し、攻撃者の活動ペースが低下し、攻撃者はよりコストと時間のかかる手法を検討せざるを得なくなる」と述べている。

　セキュリティトレーニングを提供するKnowBe4でサイバーオペレーションを担当するシニアバイスプレジデントのローザ・スマザーズ氏は「適切なパッチの管理はサイバーセキュリティの基本であり、古い脆弱性を残したままの組織は脅威の状況に関して明らかに無関心である」と述べた。

　「全ての企業はセキュア・バイ・デフォルトが実現されたソフトウェアの提供を目指すべきだが、起こり得る全ての脆弱性を予測し、テストすることは困難だ。ホスト企業の組織的な無関心や、既知の脆弱性に何年もパッチを当てずに自社のソフトウェアやデバイスに関する脅威を無視することこそが失敗である」（スマザーズ氏）

（注1）2022 Top Routinely Exploited Vulnerabilities（CISA）
（注2）Explore the core tactics of secure by design and default（Cybersecurity Dive）

原文へのリンク