不十分な脆弱性管理や設定ミスがセキュリティ被害の温床に–テナブル調査

今回は「不十分な脆弱性管理や設定ミスがセキュリティ被害の温床に–テナブル調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Tenable Network Security Japanは3月15日、2022年のセキュリティ動向について分析した「Tenable 脅威状況レポート(2022年)」を発表した。脆弱(ぜいじゃく)性対応の遅れやシステムの設定ミスなどが、システムへの侵害や情報漏えいなどの大きな要因だと指摘している。

 同日行われた記者説明会では、米Tenable シニアスタッフリサーチエンジニアのSatnam Narang氏が、報告書での要点として下記の5つを挙げて、それぞれについて解説した。

 Narang氏によれば、2022年に観測されたサイバー攻撃で悪用される脆弱性は、2017~2021年に発覚、情報公開された既知のものが最も多い。これは、脆弱性を修正するパッチの適用が遅れているなどの不十分な脆弱性管理になる。

 例えば、2023年2月には「VMware ESXi」の既知の脆弱性(2021年2月23日に情報公開されたOpenSLPヒープオーバーフローの脆弱性)を悪用するランサムウェア攻撃が発覚し、「われわれの調査で、攻撃発覚時にパッチ適用済みの組織は34%、発覚から10日後で87%にまで上昇した。だが現在も13%は適用していない」(Narang氏)という状況だ。

 他方で、パッチが提供されていない状況の脆弱性(ゼロデイ脆弱性)を悪用する攻撃は、2021年の83.0%から5.8ポイント減少し、2022年は77.2%になった。「ただし、ゼロデイ脆弱性の情報は、それが広まると、悪用する攻撃者も増えることになる」とNarang氏は指摘する。

 2022年に外部流出したデータは22.9億件に上る。地域別の割合では、アジア太平洋が68%で最多を占めた。アジア太平洋における根本的な原因の最多はランサムウェアの30%、次いで不特定なサイバー攻撃の29%だった。日本における根本的な原因の最多もランサムウェアで、57%を占めた。

 Narang氏は、「一部にランサムウェアの脅威が後退しているとの指摘がなされているが、当社の観測では、ランサムウェアを使用する攻撃が衰えているとは言えない。(攻撃者が金銭を得るために)ランサムウェアが効果的な手段となっている」と警鐘を鳴らしている。

 同社の調査では、2022年のデータ侵害の3%は、データベースのセキュリティ対策が不適切だったことで発生した。その規模は約8億件になるという。Narang氏は、2022年秋に大手のクラウドサービスにおいて、クラウドサービス事業者の設定不備により大量の顧客情報を格納したクラウドサービスへアクセスできしてしまえる状況が発生した例を挙げ、「クラウドサービス事業者ですら設定ミスにより問題を起こしてしまうので、ユーザーも細心の注意が必要」と指摘する。

 またクラウドサービスでは、事業者側がユーザーに通知することなく脆弱性を修正することが多いとする。「クラウド環境の脆弱性に対してCVE(共通脆弱性識別子)が割り振られず、周知されることなく事業者が修正する。今後もクラウドの利用が広まるとすれば、ユーザーはCSPM(クラウドセキュリティ設定管理のソリューション)などを活用すべき」とNarang氏。クラウドサービスは基本的に、サービス提供基盤(インフラ)領域の問題に提供者側が対処し、アプリケーションやデータなどの領域の問題にはユーザー側が対応する「責任共有モデル」の考え方が適用される。この考え方に沿ったセキュリティ対策の運用をユーザーがきちんと理解しておくべきであるようだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Tableau、強化アナリティクス機能を拡充–AI活用を拡大
IT関連
2021-07-01 18:10
画像生成AI「Image Creator from Microsoft Designer」で画像を作成するには
IT関連
2024-01-28 06:29
日用品商社のあらた、「SAP Concur」を採用–1年当たり約2万7000時間の工数削減へ
IT関連
2023-03-26 22:43
DXYZとxIDが連携–京都府鶴岡市で顔認証受付の実証を開始
IT関連
2024-01-26 11:31
顧客とのやりとりをチャットで実現–アパレル企業のバロックが「LINE WORKS」導入
IT関連
2023-03-23 01:59
富士通、2023年度第3四半期決算は微増収減益–強気姿勢を崩さない3つの理由
IT関連
2024-02-02 14:26
Linuxスマートフォン「PinePhone Pro」の「Explorer Edition」登場
IT関連
2022-01-20 03:14
Google CloudがIntelのベテランをカスタムチップ開発チームに招く
ハードウェア
2021-03-24 11:40
NRIが取り組む、ソフト開発における生成AI活用の狙い
IT関連
2024-06-22 09:53
ALSI、ゼロトラストに基づいた安全な学習環境の構築をサポート
IT関連
2024-06-25 02:19
THK、数百万件の製品情報を一元管理–散在するシステムをノーコード開発基盤に統合
IT関連
2022-05-03 22:40
ヤマハ、「Oracle Cloud HCM」で従業員の自律的なキャリア開発を支援
IT関連
2025-02-12 17:49
AWS、マイクロソフト、グーグル–主要クラウド動向2021年版(1)
IT関連
2021-04-01 06:59
Python 3.14、新型インタプリタ採用で実行速度が最大30%改善の見通し
Python
2025-02-14 02:47