『2023 Unit 42 攻撃対象領域に関する脅威レポート』からの注目ポイント: クラウドの継続的変化は 1 か月あたりの新たな「高」ないし「重大」のエクスポージャーの 45% に寄与

2 min read

概要

絶え間なく変化しつづける脆弱な環境に置かれた組織が、自身を適切に保護しつづけるのはとてもむずかしいことです。弊社の 250 を超える組織を対象とした調査では、組織にセキュリティ侵害をまねく問題点 (セキュリティエクスポージャー) の 80% がクラウド環境で見つかったことがわかりました。また、クラウドサービスの 20% が毎月変更されていることもわかっています。こうした変動性の高さに追随していくのは並大抵のことではありませんが、非常に重要なことでもあります。

『2023 Unit 42 Attack Surface Threat Report (2023 Unit 42 攻撃対象領域に関する脅威レポート)』は、インターネット経由で誰でもアクセス可能な状態にあるエクスポージャーの観測可能データから、グローバルな攻撃対象領域の状況について調査結果をまとめたものです。同レポートは「組織はアクティブな攻撃対象領域管理にどう取り組むべきか」についての推奨事項も提供しています。

『2023 Unit 42 Attack Surface Threat Report』からの注目ポイント

クラウドの絶え間ない変化が新たなリスクを生む

Unit 42 は、組織が利用しているさまざまなクラウドプロバイダー環境で実行されている新規サービスや既存サービスの構成を 6 か月間にわたって調べました。クラウドベースの IT インフラは常に流動的な状態にあります。平均すると、250 ある組織全体で、外部からアクセス可能なクラウドサービスの 20% 強が、毎月変更されています。図 1 はさまざまな業界ごとにこの変更割合の中央値を示したものです。

画像 1 は、対象業界における平均的企業が行っているサービス変更の割合の中央値を示したグラフです。この図には 12 の異なる業界が記載されています。上位 5 つまでをあげると「運輸および物流」の変更割合が 27%、「保険」が 24%、「金融サービス」が 24%、「ハイテク」が 23%、「連邦政府」が 22% となっています。 — 図1. ある特定の月に、ある特定の業界において、その業界の平均的企業が行うサービス変更割合の中央値

これを受けて Unit 42 は「サービス変更の割合は組織にもたらされる新たなセキュリティリスク数にどう影響するか」を調べました (図 2)。ある特定の月に、ほとんどの組織で発生していたリスクの高いクラウドホスト型のエクスポージャーの 45% 強は、その前月には組織の攻撃対象表面に存在していなかった新たなサービスで観測されたものでした。したがって、インターネットから誰でもアクセスできる新たなクラウドサービスの作成 (意図して作成する場合も無許可で作成する場合も含む) は、ある特定の時点における緊急性の高い全エクスポージャーのほぼ半数に関連しているリスク要因となっています。

画像 2 は、ある特定の月にある平均的企業の攻撃対象領域に存在する、リスクの高いクラウドホスト型エクスポージャーの割合の中央値を示したグラフです。この図には 12 の異なる業界が記載されています。上位 5 つまでをあげると「運輸および物流」の中央値は 85%、「保険」が 64%、「金融サービス」が 60%、「ハイテク」が 50%、「連邦政府」が 49% となっています。 — 図2. ある特定の月に、対象業界の平均的企業がもつ攻撃対象領域で観測されたリスクの高いクラウドホスト型エクスポージャーの割合の中央値

ほとんどの組織のセキュリティリスクでクラウドにおけるエクスポージャーが優勢に

私たちの分析では、セキュリティエクスポージャーの 80% がクラウド環境で観測されました (図 3)。クラウドにおけるエクスポージャーの割合が高い理由として、以下の要因が考えられます。

構成ミスが頻繁に発生する
共有責任である
シャドーIT
インターネット接続が前提となっている
クラウド資産に対する可視性が欠けている

画像 3 は、クラウドとオンプレミスのセキュリティエクスポージャーの割合を比較したグラフです。クラウドが 80.3％、オンプレミスが 19.7％を占めています。 — 図3. クラウドとオンプレミスのセキュリティエクスポージャーの割合

グローバルな攻撃対象領域における全エクスポージャーの 60% を 3 つの要因が占める

図 4 は、私たちが分析した 250 以上の組織について、「Web フレームワークの乗っ取り」に関連するエクスポージャーが、全エクスポージャーの 22% 以上を占めていることを示したものです。たとえば、脆弱なバージョンの Apache Web サーバー/PHP/jQuery などがそうしたエクスポージャーの例です。構成が不適切なリモートアクセスサービスは、エクスポージャーの 20% を占めていました。リモートデスクトッププロトコル (RDP)、セキュアシェル (SSH)、仮想ネットワークコンピューティング (VNC) などが、そうしたサービスの例です。

画像 4 はグローバルな攻撃対象領域のエクスポージャーを示したグラフです。最も大きな割合を占めるのが「Web フレームワークの乗っ取り」で 22.8%、続いて「リモートアクセスサービス」が 20.1%、「IT セキュリティとネットワークインフラ」が 17.1%、「ファイル共有」が 12.1%、「データベース」が 9.5% となっています。 — 図4. グローバルにおける攻撃対象領域のエクスポージャー内訳

Unit 42 はまた、「IT セキュリティとネットワークインフラ」におけるエクスポージャーが、グローバルでの攻撃対象領域全体の 17% 近くを占めていることも観測しています。このカテゴリーのエクスポージャーは、インターネットからアクセス可能な以下の資産の管理ログインページで構成されていました。

ルーター
ファイアウォール
仮想プライベートネットワーク (VPN)
コアネットワークアプライアンスやセキュリティアプライアンスなど

これらの資産が侵害された場合、中核となるビジネス機能やアプリケーション、それらに含まれるデータの侵害など、組織に多大な影響がおよぶ可能性があります。

アクティブな攻撃対象領域管理のための推奨事項

ほとんどの組織は未知または管理外のエクスポージャーからくる攻撃への準備ができていません。私たちが調査した組織の 9 社中 8 社では、ある特定の月の少なくとも 25% にわたってブルートフォース攻撃に対して脆弱な RDP がインターネットからのアクセスが可能な状態で存在していたことがわかりました。

この種の攻撃対象領域の脆弱性から組織を保護するには、以下を行う必要があります。

常に可視性を保つ
クラウドベースのシステムやサービスを含めてインターネットからアクセス可能な資産をすべてリアルタイムで包括的に把握します。これにより迅速でアクティブなリスクの発見・学習・対応が可能になります。
クラウドの構成ミスに対処する
セキュリティリスク緩和のベストプラクティスにしたがい、クラウド構成を定期的にレビュー・更新します。セキュリティチームと DevOps チームの協力体制を強化し、クラウドネイティブなアプリケーション開発やデプロイを安全に行います。
優先順位をつけて修復対応する
サイバー攻撃の成功確率を下げるため、最も重大な脆弱性とエクスポージャーの対応を中心的に行います。たとえば、脆弱性の「深刻度」を示す CVSS (共通脆弱性評価システム) のスコアや、悪用の可能性がどれくらいあるかを示す EPSS (エクスプロイト予測スコアリングシステム) のスコアが高い脆弱性や脆弱性などを中心に対応します。

組織は攻撃対象領域管理プログラムを検討し、自組織の攻撃対象領域におけるエクスポージャーを継続的に発見し、トリアージし、修復する必要があります。これにより、日和見的な攻撃者に未知の資産や管理外の資産をエクスプロイトされにくくなります。

パロアルトネットワークスの提供する支援

『2023 Unit 42 Attack Surface Threat Report』をこちらからダウンロードし、グローバルな攻撃対象領域についての洞察や傾向、ベストプラクティスのための推奨事項を確認してください。

組織での攻撃対象領域管理をこれから初めて行う場合や、既存の管理プログラムを改善したいとお考えの場合は、Cortex XpanseとUnit 42 による攻撃対象領域評価をご利用いただくことで、これからの道行きで幸先のよいスタートを切れます。攻撃対象領域評価サービスを利用することで、オンプレミスの資産はもちろんクラウドベースのインターネット接続された資産への可視性も高まり、組織の防御に役立つ優先順位の高いアクションに関する推奨事項の提供を受けられます。