アメリカの政府国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)と連邦捜査局(FBI)は、2016年から2019年までの4年間、頻繁に悪用されたソフトウェアについての調査レポートを公表しました。
概要
調査レポートに挙げられた、脆弱性のあったソフトウェアは以下のとおりです。
| ・Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016、Vista SP2、Server 2008 SP2、Windows 7 SP1、Windows 8.1 |
| ・Apache Strutsの2 2.3.xより以前のバージョン |
| ・Microsoft SharePoint |
| ・Microsoft Windows Vista SP2; Windows Server 2008 SP2、R2 SP1、Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold、R2; Windows RT 8.1;Windows 10 Gold、1511、Windows Server 2016 |
| ・28.0.0.161より前のAdobe Flash Player |
| ・Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7 |
| ・Microsoft Word 2007 SP3、Office 2010 SP2、Word 2010 SP2、Word 2013 SP1、Word 2013 RT SP1、Word for Mac 2011、Office互換機能パックSP3、SharePoint Server 2010 SP2、2013 SP1上のWord Automation Services、Office Web Apps Server 2010 SP2、2013 SP1 |
| ・7.58より前のDrupal、8.3.9より前の8.x、8.4.6より前の8.4.x、8.5.1より前の8.5.x |
レポートには、これらの脆弱性を狙った攻撃に、国家が支援する攻撃グループをはじめ、正体がわからないハッカーグループによるものが確認されたとする内容が記されております。
対策方法として最も効果的なのは、各ソフトウェアの最新セキュリティパッチを適用することだと挙げられており、外部からの攻撃を大きく弱体化できると解説されております。
| 【参考URL】 FBIとDHSが明らかに–最も悪用された10の脆弱性 |