80%のケースで新たなCVE公開前に悪意ある活動の急増を観測

研究者たちは、約80%のケースで、ネットワーク偵察や標的型スキャン、ブルートフォース攻撃などの悪意ある活動の急増が、新たなセキュリティ脆弱性（CVE）の公開前6週間以内に前兆として現れることを発見しました。

これは脅威監視企業GreyNoiseによって明らかにされたもので、これらの現象はランダムではなく、再現性があり統計的に有意なパターンで特徴付けられると報告されています。

GreyNoiseは2024年9月以降に収集した「Global Observation Grid（GOG）」のデータに基づき、結果を歪める恣意的な抽出を避けるため、客観的な統計的閾値を適用しています。

ノイズや曖昧、不鮮明なデータを除外した結果、同社は8つのエンタープライズエッジベンダーに関連する216件の急増イベントを特定しました。

「調査した216件すべての急増イベントのうち、50%は3週間以内に、80%は6週間以内に新たなCVEが公開されていました」と研究者らは説明しています。

この相関はIvanti、SonicWall、Palo Alto Networks、Fortinet製品で特に強く、MikroTik、Citrix、Ciscoでは弱い傾向が見られました。国家支援の攻撃者は、初期アクセスや永続化のためにこれらのシステムを繰り返し標的にしています。

GreyNoiseは、これらの急増の大半において、攻撃者が既知の古い脆弱性を悪用しようと試みていることを指摘しています。

研究者らは、これが新たな弱点の発見や、次の攻撃段階で新しいエクスプロイトを利用するために狙われるインターネット上に公開されたエンドポイントの特定を促進していると考えています。

「カナリア鉱山」

従来、防御側はCVEが公開された後に対応していましたが、GreyNoiseの調査結果は、攻撃者の行動が先行指標となり、積極的な防御体制の構築に役立つことを示しています。

この公開前の急増を捉えることで、防御側は攻撃に備えて監視を強化し、システムを堅牢化する猶予を得ることができます。たとえセキュリティアップデートで保護されていなくても、どのシステムコンポーネントや機能が狙われているか分からなくても有効です。

GreyNoiseは、スキャン活動を厳重に監視し、発信元IPを迅速にブロックすることを推奨しています。これにより、通常後の実際の攻撃につながる偵察から除外できます。

研究者らは、攻撃者が公開資産をカタログ化するために古い脆弱性を狙ったスキャンを行うのは当然であり、完全にパッチが適用されたエンドポイントへの侵入失敗と見なして無視すべきではないと強調しています。

関連する動きとして、GoogleのProject Zeroは、脆弱性が発見されてから1週間以内に公表を開始すると発表しました。これにより、ベンダーが修正パッチを開発する間、システム管理者が防御を強化できるようになります。

Project Zeroは今後、新たな脆弱性が影響するベンダー／プロジェクトや製品、発見時期、公開期限（従来通り90日）を共有します。

技術的な詳細や概念実証エクスプロイト、攻撃者にヒントを与える情報は含まれないため、Googleはこの変更がセキュリティに悪影響を与えることはなく、「パッチギャップ」の縮小に役立つと期待しています。