不十分な脆弱性管理や設定ミスがセキュリティ被害の温床に–テナブル調査

今回は「不十分な脆弱性管理や設定ミスがセキュリティ被害の温床に–テナブル調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Tenable Network Security Japanは3月15日、2022年のセキュリティ動向について分析した「Tenable 脅威状況レポート(2022年)」を発表した。脆弱(ぜいじゃく)性対応の遅れやシステムの設定ミスなどが、システムへの侵害や情報漏えいなどの大きな要因だと指摘している。

 同日行われた記者説明会では、米Tenable シニアスタッフリサーチエンジニアのSatnam Narang氏が、報告書での要点として下記の5つを挙げて、それぞれについて解説した。

 Narang氏によれば、2022年に観測されたサイバー攻撃で悪用される脆弱性は、2017~2021年に発覚、情報公開された既知のものが最も多い。これは、脆弱性を修正するパッチの適用が遅れているなどの不十分な脆弱性管理になる。

 例えば、2023年2月には「VMware ESXi」の既知の脆弱性(2021年2月23日に情報公開されたOpenSLPヒープオーバーフローの脆弱性)を悪用するランサムウェア攻撃が発覚し、「われわれの調査で、攻撃発覚時にパッチ適用済みの組織は34%、発覚から10日後で87%にまで上昇した。だが現在も13%は適用していない」(Narang氏)という状況だ。

 他方で、パッチが提供されていない状況の脆弱性(ゼロデイ脆弱性)を悪用する攻撃は、2021年の83.0%から5.8ポイント減少し、2022年は77.2%になった。「ただし、ゼロデイ脆弱性の情報は、それが広まると、悪用する攻撃者も増えることになる」とNarang氏は指摘する。

 2022年に外部流出したデータは22.9億件に上る。地域別の割合では、アジア太平洋が68%で最多を占めた。アジア太平洋における根本的な原因の最多はランサムウェアの30%、次いで不特定なサイバー攻撃の29%だった。日本における根本的な原因の最多もランサムウェアで、57%を占めた。

 Narang氏は、「一部にランサムウェアの脅威が後退しているとの指摘がなされているが、当社の観測では、ランサムウェアを使用する攻撃が衰えているとは言えない。(攻撃者が金銭を得るために)ランサムウェアが効果的な手段となっている」と警鐘を鳴らしている。

 同社の調査では、2022年のデータ侵害の3%は、データベースのセキュリティ対策が不適切だったことで発生した。その規模は約8億件になるという。Narang氏は、2022年秋に大手のクラウドサービスにおいて、クラウドサービス事業者の設定不備により大量の顧客情報を格納したクラウドサービスへアクセスできしてしまえる状況が発生した例を挙げ、「クラウドサービス事業者ですら設定ミスにより問題を起こしてしまうので、ユーザーも細心の注意が必要」と指摘する。

 またクラウドサービスでは、事業者側がユーザーに通知することなく脆弱性を修正することが多いとする。「クラウド環境の脆弱性に対してCVE(共通脆弱性識別子)が割り振られず、周知されることなく事業者が修正する。今後もクラウドの利用が広まるとすれば、ユーザーはCSPM(クラウドセキュリティ設定管理のソリューション)などを活用すべき」とNarang氏。クラウドサービスは基本的に、サービス提供基盤(インフラ)領域の問題に提供者側が対処し、アプリケーションやデータなどの領域の問題にはユーザー側が対応する「責任共有モデル」の考え方が適用される。この考え方に沿ったセキュリティ対策の運用をユーザーがきちんと理解しておくべきであるようだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
開発者の大量離職時代はまだ続く–過半数が1年以内の離職を検討
IT関連
2023-01-18 05:56
インフラの保守を助けるGeckoのロボットとソフトウェア
IT関連
2022-03-06 22:35
国立天文台、宇宙を占める「暗黒物質」の“地図”をAIで作成 スパコンによるシミュレーションで観測ノイズを除去
ロボット・AI
2021-07-06 12:17
GitHub、1200台以上のMySQL 5.7を8.0へアップグレード。サービス無停止のまま成功させる
GitHub
2023-12-12 10:43
Appleのフェデリギ上級副社長、児童ポルノ検知ソフト批判に回答
報道チーム
2021-08-17 07:12
店舗オペレーション管理ツール「V-Manage」が多言語対応–日々のタスクを自動翻訳
IT関連
2023-11-15 18:34
オムロンら3社、工場の無線化でWi-Fi 6とローカル5Gを比較検証
IT関連
2024-10-19 01:34
YouTubeが新しい収益化機能「Super Thanks」発表、個別の動画に対してクリエイターに投げ銭可能に
ネットサービス
2021-07-22 06:07
Terraform Cloudの無料枠が強化、ユーザー数制限なし、シングルサインオン可能など
DevOps
2023-06-01 19:28
NFTマーケットのOpenSea、フィッシング攻撃の被害額は約2億円以上
IT関連
2022-02-23 09:06
自動実験ロボとデータ科学により人の100倍以上の速度でリチウム空気電池の電解液の調合・電池性能評価を実施、充放電サイクル寿命が2倍に
IT関連
2022-03-26 11:39
PC版Chrome、Twitterの検索窓を「ID入力欄」と勘違い? Facebookも
セキュリティ
2021-05-14 19:05
シスコがSplunkの買収を発表、約4兆円で。同社の歴史上最大規模の買収
Cisco
2023-09-22 09:29
インテルのニューロモーフィックシステム「Hala Point」–1秒間に2京回の演算処理
IT関連
2024-04-27 13:11