なぜ攻撃者は古い脆弱性を好んで狙うのか？ 専門家が語る幾つかのワケ：Cybersecurity Dive

GreyNoise Intelligenceの調査によると、世界中の脅威グループは古い脆弱性を積極的に悪用していることが明らかになった。そこには幾つかの理由があるようだ。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むGreyNoise Intelligenceが2025年4月23日（現地時間、以下同）に発表した報告書によると（注1）（注2）、世界中の脅威グループは古い脆弱（ぜいじゃく）性を悪用しているという。

　報告書によると、これらの再燃した脆弱性の半数以上がエッジテクノロジーに影響を及ぼしているようだ。また、予測困難な脆弱性の約7割もエッジテクノロジーに影響を与えているという。

攻撃者が古い脆弱性を狙う幾つかのワケ

　報告書によると、最も予測困難な脆弱性の約40％は、特にVPNとルーターに影響を及ぼしている。

　再燃した脆弱性は、企業に固有のリスクをもたらす。これらの脆弱性は最初に公表されてから数年後に現れることが多く、脅威グループが、多くの顧客に見過ごされていた脆弱性を悪用できる形になるためだ。多くの場合、該当製品はベンダーから「サポート終了」と見なされており、セキュリティアップデートが提供されなくなっている。

　GreyNoiseでデータサイエンスを担当するボブ・ルディス氏（バイスプレジデント）は『Cybersecurity Dive』に対して次のように語った。

　「攻撃者は、これらの忘れられた脆弱性を悪用する。なぜなら、これらの脆弱性に関する十分な情報が文書として存在しており、攻撃に利用しやすく、防御側による監視が行き届いていないことが多いためだ」

　ルディス氏によると、脅威グループが古い脆弱性を標的にする理由は複数あるという。多くの組織が古い脆弱性に対してパッチを適用できていないのは、認識不足や運用の複雑さ、あるいはレガシーインフラの使用が原因だという。2025年には、ランサムウェア「Ghost」がFortinetの製品のパストラバーサルの脆弱性「CVE-2018-13379」を悪用していたことが判明している（注3）。

　多くの組織では、サポートが終了したソフトウェアやハードウェアが現在も使用されている。例えば、Dasan製のホームルーターであるGPONに存在する脆弱性「CVE-2018-10561」の悪用により（注4）、攻撃者は認証を回避できることが確認されている。

　最後に、ダークWebの市場で古いプログラムを安価に入手できることも関係している。例えば、マルウェア「Kinseng」の運用者は、「CVE-2017-9841」として追跡されているPHPUnitの古い脆弱性を利用して（注5）、クリプトジャッキングを実行し、更新されていない設定ミスのあるサーバを標的にしている。

　これらの古い脆弱性の悪用は新しい現象ではない。脅威グループは何年も前から古い脆弱性を積極的に標的にしてきた。2024年に悪用された脆弱性のおよそ40％は、もともと2020年以前に発見されたものだった。

（注1）GreyNoise Uncovers Unique Risks From Resurgent Cybersecurity Vulnerabilities（GreyNoise）
（注2）GreyNoise Uncovers Unique Risks From Resurgent Cybersecurity Vulnerabilities（GreyNoise）
（注3）CVE-2018-13379 Detail（NIST）
（注4）CVE-2018-10561 Detail（NIST）
（注5）CVE-2017-9841 Detail（NIST）