米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、Windowsカーネルの脆弱性「CVE-2024-35250」を既知の悪用脆弱性カタログに追加した。
この脆弱性はMicrosoft Kernel-Mode Driverにおける不正ポインタ参照が原因で、攻撃者がSYSTEM権限を取得し任意のコードを実行する可能性がある。

Trend MicroのZero Day Initiativeを通じてDEVCOREチームが発見し、Microsoftは12月のPatch Tuesdayで修正を行った。さらにAdobe ColdFusionにも深刻なアクセス制御の欠陥「CVE-2024-20767」が存在し、これらの脆弱性はサイバー攻撃者の標的となっている。

CISAはBinding Operational Directive 22-01に基づき、連邦政府機関に対し期限までの修正を義務付けるとともに、すべての組織に対しても積極的な対応を促している。システム管理者や組織は、これらの脆弱性を優先的に対処することで、セキュリティ体制の強化を図ることが急務である。

Windows Kernelの脆弱性がもたらすSYSTEM権限取得の深刻度

CVE-2024-35250は、Windows Kernel-Mode Driverにおける不正ポインタ参照という根本的な欠陥に起因する。攻撃者がこの脆弱性を悪用すれば、システムクラッシュに加え、SYSTEM権限を奪取し任意コードの実行が可能となる。

SYSTEM権限は、Windowsシステム上で最も高い特権レベルに位置し、事実上、完全な支配権を意味する。このため、機密情報の窃取やシステム操作の改変、さらにはランサムウェアなどを仕込む高度な攻撃にも発展しかねない。

Microsoftは、脆弱性の深刻さを踏まえ12月のPatch Tuesdayで修正を実施したが、ゼロデイ脆弱性であることが攻撃者に先んじられる要因となった。Trend Micro傘下のZero Day Initiativeが脆弱性を発見し、DEVCOREリサーチチームが特定したMicrosoft Kernel Streaming Service(MSKSSRV.SYS)に対する脆弱性は、既に実際の攻撃でも観測されている。

この脆弱性を特定し公表したことは迅速な対策を可能としたが、企業や組織の対応の遅れはリスクを増大させる。システム管理者は、未だ修正が完了していない端末や環境の洗い出しと、速やかなパッチ適用が求められる状況にある。

Adobe ColdFusionのアクセス制御問題が示す脆弱性管理の限界

一方で、CVE-2024-20767はAdobe ColdFusionのアクセス制御の不備に起因しており、サイバー攻撃者にとって絶好のターゲットとなっている。アクセス制御が甘いシステムでは、不正な情報取得や外部からのアクセスが容易となり、組織内に蓄積された重要情報やシステム構造そのものが脅威にさらされる。

特にColdFusionのような業務用途で頻繁に活用されるソフトウェアに欠陥が生じる場合、その影響は広範囲に及ぶことが予想される。この脆弱性は、単なるシステムリスクの一つではなく、組織の「脆弱性管理体制そのもの」の不備を浮き彫りにするものだ。

Adobe側は修正を進めているものの、過去に蓄積された脆弱性パッチが未適用のシステムが依然として多く存在しており、これが攻撃者に付け入る隙を与えている。企業がこの脆弱性に対処するには、システムのアップデートを定期的に実施するだけでなく、アクセス制御の見直しや、不正アクセスを検知するためのセキュリティ監視体制を強化する必要がある。

組織が取るべき脆弱性管理の戦略とCISAの推奨措置

CISAが発表したBinding Operational Directive(BOD)22-01は、連邦政府機関に対し指定期限内での修正を義務付ける重要な方針である。しかし、この指針は民間企業にも参考にすべき点が多い。特に、サイバー攻撃の多様化が進む中、攻撃者が迅速に既知の脆弱性を悪用する現実が示されている。

CISAが推奨する「既知の悪用脆弱性カタログ」への対応は、組織にとっても優先事項として位置づけるべきである。具体的には、脆弱性の特定から修正、さらには影響範囲の把握を含めた一連のプロセスをシステム管理の中核に据えなければならない。

この取り組みは単に「パッチを当てる」作業にとどまらず、組織全体でのセキュリティ文化の醸成にも寄与する。例えば、CVE-2024-35250やCVE-2024-20767のように、具体的なリスクが確認されている脆弱性に対しては優先的な修正が欠かせない。さらに、システム管理者とセキュリティ専門家の連携強化、リアルタイムでの監視体制がサイバー攻撃の未然防止において重要な役割を果たす。

CISAの取り組みを活用し、攻撃対象となり得る脆弱性を迅速に管理することが、組織のセキュリティ基盤を強固なものにする鍵である。