2022年 攻撃対象領域管理(ASM)脅威レポート

This post is also available in: English (英語)

管理されていない攻撃対象領域の継続的な慢性化、複雑化

経験豊富なセキュリティ専門家は知っています。ゼロデイ脅威は確かに頭痛の種ですが、本当の問題はいつも、組織内で毎日行われる無数の小さな判断から生じています。不注意によるたった1件の設定ミスから、防御にほころびが生じる可能性があるのです。そこで、Cortex® Xpanse™の調査チームは、複数の業界にわたる100社以上の組織から得た2021年のデータ(3月初めから9月末まで)を見て、管理されていない攻撃対象領域をマッピングして、2022年ASM (Attack Surface Management)脅威レポートを作成しました。

日和見主義の攻撃者は、脆弱性やその他の未知のまま開かれている入り口を容易に、費用をかけずに見つけられるようになったため、こうした偶然や設定ミスを当てにし始めています。比較的スキルの低い攻撃者でさえ、スキャンを行うインフラストラクチャをまとめて、インターネットを大まかにスキャンして、侵害しやすそうな資産を発見することができます。

そうした脆弱性をさっそく侵害しようとする者もいますが、それよりはるかに積極的な攻撃者は、ダークウェブで、さらに高度な攻撃を仕掛けられる入札者にスキャンデータを販売します。防御側は、攻撃対象領域を攻撃者がどのように見ているかを知ることで、かなり優位に立つことができます。

より詳細な分析を実行するために、研究者は、活発な攻撃が行われたことで知られ、連邦サイバーセキュリティ諮問委員会の重要な覚書で強調されている、2022年1月から2月の重要な脆弱性データのサンプルを検討しました。

以下に示すのは、2022年ASM脅威レポートの主な調査結果の一部であり、自己申告調査でなく、100社以上の組織から得た観測可能なデータに基づくものです。

  1. クラウドは引き続きセキュリティの悪夢となっている
    世界中の攻撃対象領域で観察されるすべての問題のほぼ80%がクラウドに存在します。クラウドの導入は容易ですが、設定ミスやシャドーITにより予想外の脆弱性が生じています。
  2. もぎ取りやすい果実がぶら下がり続けている
    ゼロデイ以外の脆弱性はどこにでもあります。弊社が攻撃対象領域で見つけた問題のほぼ4つに1つが、現在ランサムウェアのゲートウェイとして使われることが多い、公開されたRDPサーバに関するものでした。また、Xpanseによる調査では、暗号化されないまま公開されているいくつかのITサービスで、暗号化されていないログインページが700件以上見つかっています。3,000近いデータベースストレージおよび分析システムと、2,500を超える重要なビル制御システム(BCS)もまた、パブリックインターネットからアクセス可能でした。
  3. ソフトウェアサポート終了 = セキュリティ終了
    弊社の一連の調査で、約30%の組織がサポートを終了した(EOL)バージョンのソフトウェアを稼働しており、活発な攻撃が行われたことで知られ、米国政府の連邦サイバーセキュリティ諮問委員会でも取り上げられたCVEの影響を受けていました。
  4. 管理されていない攻撃対象領域が増加中
    数社の組織には、過去1か月以内に対処した進行中の問題が多数あり、セキュリティで保護されているとはとてもいえないことが観測されました。こうした組織は、その他のセキュリティ問題を修復する間にも、管理されていない攻撃対象領域が増加し続ける一方なので、その月の間ずっと脆弱なままでした。
  5. 慢性的で複雑だが独特
    Xpanseによる調査で、各業界の攻撃対象領域は独特であるものの、脆弱性は慢性的であることがわかりました。たとえば、公共事業とエネルギー分野に関するすべての問題のうち、ほぼ23%がビル制御システムによるものでした。専門・法的サービスに関連するすべての問題のうち、ほぼ50%がデータ ストレージ システムと、インターネットに公開された暗号化されていないログインによるもので、知的財産、重要な顧客情報、その他の機密性の高い情報をリスクにさらす可能性があります。

脆弱性がどこにあるかわからなければ、問題の修復を確認することもできません。多くの企業にとって、クラウドとRDPは対処が必要な慢性的な問題となりつつありますが、攻撃対象領域に散在する脆弱性は、攻撃対象領域が複雑化するにつれて増加の一途をたどるでしょう。

攻撃者は、こうした弱点を探してインターネット中をスキャンできるので、攻撃対象領域の複雑さと常に変化する性質を肥やしにしてはびこります。攻撃者の視点を持つことで、組織は修復が必要な問題を特定し、優先順位付けすることができます。これはさらに、検出までの平均時間(MTTD)や対応までの平均時間(MTTR)などの指標に注目することには、本質的に不備があるという意味でもあります。

侵害についていえば、MTTDとMTTRは許容範囲内であっても、セキュリティでは、侵害が発生する前に、防止のために可能なあらゆることに集中する必要があります。これは、未知の資産や未知の脆弱性は保護できないので、平均棚卸時間(MTTI)を重視すべきだということです。

最新の攻撃対象領域は動的であり、明確な可視性を保ち、常に更新していなければ、あっさりと慢性的な脆弱性や管理されていない資産を抱えることになります。熟練したセキュリティの専門家になるには、良質なデータを抱える以外になく、脆弱性が発生したときに発見、優先順位付け、緩和を行うために、継続的な検出と監視を強力な基盤とすることで、最新の動的な攻撃対象領域に渡り合うことができます。

100社以上の企業の観測可能データに基づく、管理されていない攻撃対象領域についてのその他の重要調査結果については、2022 Cortex Xpanse攻撃対象領域に関する脅威レポートをご覧ください。