脆弱性公開前に攻撃者は動いている GreyNoiseがその前兆を分析：セキュリティニュースアラート

GreyNoiseは、CVEが公表される前に攻撃者の行動に顕著な前兆が現れる傾向を報告した。2024年以降の観測により、多くのスパイクが新たな脆弱性公開と連動していた事実が明らかにされている。

[後藤大地，有限会社オングス]

　GreyNoiseは2025年7月31日（現地時間）、新たな研究レポート「Early Warning Signals: When Attacker Behavior Precedes New Vulnerabilities」を公開した。このレポートによって、脆弱（ぜいじゃく）性情報データベース（CVE）が公表される以前の段階で、攻撃者の行動に顕著な兆候が現れる傾向を明らかにしている。

攻撃は既に始まっている？　GreyNoiseレポートが明かす警告信号

　GreyNoiseは同社が運用する観測基盤「Global Observation Grid」（GOG）において、2024年9月以降に記録した216件の攻撃活動のスパイク（急増）を分析した。その結果、全体の約80％においてスパイク発生から6週間以内に該当する技術への新たなCVEが公表されていた。また50％のケースでは3週間以内に公表されていた。

　分析対象となったスパイクは、主にVPNやファイアウォール、インターネット接続型リモートアクセス機器といったエンタープライズ用境界デバイスを標的としていた。GreyNoiseによれば、これらのスパイクの多くは単なるスキャンではなく、実際の脆弱性を利用した攻撃やそれに準じる精査的な活動とされ、新たな脆弱性の発見を目的としていた可能性がある。

　この傾向は、CVEが公開されていない段階であっても、攻撃者が対象技術に興味を示し、下調べや選定を進めていることを示唆するものとされている。GreyNoiseは、こうした兆候が検出された時点で、関連するインフラからの通信を遮断することにより、自組織の資産が攻撃者のリストに登録される可能性を低減できるとしている。

　レポートではスパイクが観測されているベンダーおよび製品、スパイクからCVE公開までの関連性、攻撃の手法や特徴なども詳細に分析されており、防御側の運用担当者や意思決定層が早期に対応方針を定めるための実用的指針が含まれている。対象となったベンダーは、CiscoやFortinet、Citrix、Ivantiなど、境界技術を提供する複数の企業で、いずれもインターネットに接続される機器を主に扱っていた。

　今回の研究は、過去にGreyNoiseが実施した再発性の脆弱性に関する調査を基盤としつつ、攻撃者の事前行動を新たな観測軸とした点に特色がある。レポート全体を通して、技術的な兆候に基づいた防御戦略の可能性が示されており、CVEの公開を待たずに対応するための判断材料を提供する内容となっている。