新たに活用できる脆弱性管理の指標がないかを探る ~ PwC 村上純一ほか | ScanNetSecurity
2025.10.24(金)

新たに活用できる脆弱性管理の指標がないかを探る ~ PwC 村上純一ほか

 PwCコンサルティング合同会社は5月8日、悪用された脆弱性の傾向を分析した解説記事を発表した。村上純一氏と松原翔太氏が執筆している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
悪用されたソフトウェアの分類
悪用されたソフトウェアの分類 全 1 枚 拡大写真

 PwCコンサルティング合同会社は5月8日、悪用された脆弱性の傾向を分析した解説記事を発表した。村上純一氏と松原翔太氏が執筆している。

 同記事では、脆弱性管理プロセスにおける判断基準として新たに活用できる指標がないかを探るため、直近2年間でCVEが発行された脆弱性のうち、実際に悪用が確認された脆弱性に一定の傾向が存在しないか分析を行った結果について、解説している。

 同記事では、2023年1月から2025年1月の間にMITRE CVE Websiteに登録が行われた脆弱性で、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)が提供するKEV(Known Exploited Vulnerabilities Catalog)に掲載された脆弱性またはPwCが独自に悪用を観測した脆弱性であるという条件に合致する脆弱性568件(KEV:480件、PwC独自観測:88件)を分析の対象としている。

 また、分析を行うにあたり、下記の4つの観点に対し仮説検証を行っている。

1.悪用されやすいソフトウェアの種類が存在する
2.悪用される脆弱性の共通脆弱性評価システム(Common Vulnerability Scoring System: CVSS)の基本評価基準には一定の傾向が存在する
3.悪用されやすい脆弱性の攻撃手法(Exploitation Technique)が存在する
4.悪用されやすい脆弱性の種別(CWE:Common Weakness Enumeration)が存在する

 脆弱性が悪用されたソフトウェアについて、性質に応じ独自の観点で約50種別に分類を行い、ソフトウェアの種別に傾向があるかを確認したところ、最も悪用されたのは、VPN機器やファイアウォールなどのネットワーク機器のOSであった。ネットワーク機器は性質上インターネットへの公開が必要なことから、ランサムウェアの感染経路として最も利用されやすく、攻撃者が積極的に脆弱性の悪用にリソースを費やしているためと考察している。

 次いで、悪用が行われたソフトウェア種別はクライアントやサーバのOSで、世界的に普及が進んでいること、定期的に脆弱性の悪用可能性を証明するためのPoC(Proof of Concept)コードが公開されており悪用を試みやすいことが要因と推測している。

 ファイル共有ソフトウェアも悪用が多く確認されており、White Austaras(通称:TA505)と呼ばれる脅威アクターグループが利用すると考えられるCl0pというランサムウェアが、2023年頃から複数のファイル転送サービスの脆弱性を悪用していたことが要因としている。

 分析結果から、上位10%のソフトウェア種別が悪用された脆弱性の約半数を占めたことが判明している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop