【速報版】情報セキュリティ10大脅威 2025 -脅威と対策を解説-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年1月30日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2025」(組織編)を公表しました。本記事では、脅威の項目別に攻撃手口や対策例をまとめ、最後に組織がセキュリティ対策へ取り組むための考え方について解説します。2025年新たに登場した「地政学的リスク」や再浮上した「DDoS攻撃」にも注目です。

情報セキュリティ10大脅威 2025概要

情報セキュリティ10大脅威 2025
出典:独立行政法人情報処理推進機構(IPA)
情報セキュリティ10大脅威 2025」(2025年1月30日)組織向け脅威

※「システムの脆弱性を突いた攻撃」は、昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を7位の「脆弱性対策情報の公開に伴う悪用増加」に統合したもの

独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2025」を発表しました。「組織」向けの脅威では、1位「ランサム攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」が前年と同じ順位を維持。3位には「システムの脆弱性を突いた攻撃」が入りました。また、新たに「地政学的リスクに起因するサイバー攻撃」が7位にランクインし、「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに8位として復活。昨年の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と「脆弱性対策情報の公開に伴う悪用増加」は「システムの脆弱性を突いた攻撃」に統合され、名称が変更されました。その他の一部の脅威についても前年までから名称が変更されていることに注意が必要です。

2024年度版との比較

ここからは細かく内容をみていきましょう。まず、2024年と比較してみると、上位については変動が少なく、3位にランクインした「システムの脆弱性を突いた攻撃」は「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」(昨年5位)と「脆弱性対策情報の公開に伴う悪用増加」(昨年7位)を統合して、3位にランクインしており、そこから押し出されるように「内部不正による情報漏えい等」「機密情報等を狙った標的型攻撃」が4位、5位とランクインしています。つまり1位から5位にかけては大きく変動がみられず、引き続き脅威として社会に強い影響を及ぼしていると考えられます。

6位以降に目を向けると、新設された「地政学的リスクに起因するサイバー攻撃」が7位にランクインしていること、分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに圏外から8位に復活していることが目を引きます。

不動の1位2位「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」

前年に続き「ランサム攻撃による被害」と「サプライチェーンや委託先を狙った攻撃」が1位・2位を占めました。これらの攻撃は、単なる技術的な問題にとどまらず、企業や組織の事業継続性そのものを脅かす脅威として定着していることがみてとれます。2024年に発生した大手出版グループが被害にあったランサムウェア攻撃の事例が記憶に新しいでしょう。

ランサム攻撃による被害

ランサムウェア攻撃は、データを暗号化し、復号のために身代金を要求するマルウェアの一種ですが、近年では情報窃取を伴う「二重脅迫」が増加し、データの公開を防ぐために多額の支払いを迫られるケースも少なくありません。特に、国際的な犯罪グループが組織的に展開する攻撃が増えており、標的は政府機関から中小企業、医療機関に至るまで広範囲に及びます。攻撃の手口も巧妙化し、ネットワーク機器を標的とした攻撃や、正規の業務メールを装ったフィッシング攻撃、リモートデスクトッププロトコル(RDP)の脆弱性を悪用した侵入など、様々な起点から攻撃される恐れがあります。そうして一度侵入を許してしまえば、システムが完全に暗号化されるだけでなく、社内ネットワーク全体に感染が広がり、復旧には多大な時間とコストがかかります。そのため、定期的なバックアップやセキュリティ監査の実施、多要素認証の導入といった基本的な対策の徹底が求められます。

サプライチェーンや委託先を狙った攻撃

サプライチェーン攻撃は、標的となる組織が直接狙われるのではなく、その取引先や委託業者のシステムを経由して攻撃が行われる点が特徴です。多くの企業がクラウドサービスや外部のITベンダに依存している現在、攻撃者は比較的セキュリティが脆弱な部分を狙い、標的に到達します。例えば、委託先のネットワーク機器の脆弱性を利用してネットワークに侵入し、そこから標的のネットワークに到達する、あるいはソフトウェアのアップデートに悪意あるコードを仕込み、正規の更新として広範囲に感染させる手口などが考えられます。2024年には全国の自治体や企業から、顧客への通知等の印刷業務などを請け負う企業がサイバー攻撃を受け、委託元から相次いで情報漏洩被害を発表する事態に発展しました。このようなサプライチェーン攻撃は、企業の単独努力だけで防ぐことが難しく、取引先全体のセキュリティを強化する必要があります。そのため、契約時にセキュリティ要件を明確にし、定期的な監査を行うことが不可欠となります。他にもゼロトラストアーキテクチャを採用し、すべてのアクセスを検証する仕組みを構築することも有効です。

新設された「地政学的リスクに起因するサイバー攻撃」

「情報セキュリティ10大脅威 2025」において、新たに7位にランクインした「地政学的リスクに起因するサイバー攻撃」は、国際情勢の変動が直接的にサイバー脅威へと結びつくリスクを指しています。

IPAの「情報セキュリティ10大脅威」はその年に注意すべき脅威を「10大脅威選考会」によって選定しており、通常は攻撃手法等に焦点が置かれていますが、この項は政治的・外交的理由/背景という、動機の部分に着目されたカテゴリとなります。

近年、国家間の対立に起因する経済制裁、地域紛争などの影響を受けて、国家が支援するサイバー攻撃が増加しています。アメリカでは「Volt Typhoon」「Salt Typhoon」といった中国系攻撃グループにより、重要インフラが狙われたと発表*1されており、日本でも電力網や通信システム、金融機関への影響が懸念されています。また、特定の国や組織が支援するAPT攻撃グループによるサイバー攻撃も活発化しており、国の機密情報や、企業の先端情報が狙われるケースもあります。こうした攻撃は政治的影響力の拡大を目的としていると考えられますが、一方で国家支援による金銭目的の攻撃も存在します。北朝鮮が支援するグループ「TraderTraitor」(トレイダートレイター)により、わが国の暗号資産関連事業者から約482億円相当の暗号資産を窃取した事例*2がこれに該当します。北朝鮮はこうして得た資金を、兵器開発や国家運営のために充てていると考えられ、今後も攻撃が継続される懸念があります。

地政学リスクに起因するサイバー攻撃に関わる攻撃者は、豊富なリソースを用いて、ありとあらゆる手段を駆使して目的の達成を狙います。基本的なサイバーセキュリティ対策はもちろんですが、アタックサーフェス(サイバー攻撃の対象となりうるIT資産や攻撃点・攻撃経路)を意識し、優先順位をつけて対策をすることが重要です。

圏外からの浮上「分散型サービス妨害攻撃(DDoS攻撃)」

DDoS攻撃は、IoTデバイスを乗っ取り形成されたボットネットを利用し、膨大なトラフィックを送りつけることで、サービスの可用性に打撃を与えるサイバー攻撃として知られています。2024年末、国内外の銀行や航空会社等を狙った大規模なDDoS攻撃が発生し、社会的な混乱を引き起こしました。特に、日本の大手銀行では複数行のオンラインバンキングの接続障害が発生し、利用者の送金や決済に大きな影響が及びました。また、大手航空会社も攻撃を受け、一部の便で遅延や欠航が発生しました。このような社会に影響を及ぼす大規模な攻撃が発生したことで、内閣サイバーセキュリティセンター(NISC)からは2025年2月4日に注意喚起*3が出されています。改めて脅威としての警戒感が高まったことが、今回の浮上の背景にあるでしょう。

その他の脅威

ここからは、これまでに述べた4つ以外の脅威について説明します。

3位「システムの脆弱性を突いた攻撃」

この脅威は昨年の5位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と、7位「脆弱性対策情報の公開に伴う悪用増加」を統合した脅威となっています。ソフトウェアやシステムの脆弱性が発見されると、攻撃者は修正プログラムが提供される前に攻撃を仕掛けることがあります(ゼロデイ攻撃)。また、修正プログラムが公開された後も、更新を怠る企業や組織を狙い、既知の脆弱性を悪用するケースがあります。

対策:最新のセキュリティパッチを迅速に適用することが不可欠であり、脆弱性管理体制の強化が有効です。

4位「内部不正による情報漏えい等」

組織の従業員や元従業員等の関係者による機密情報の持ち出しや削除といった不正行為を指します。組織に不満を持つ者や不正に利益を得ようとする者による悪意ある行動のほか、情報管理規則に違反して持ち出された情報が紛失や漏洩などにより、第三者に開示されてしまうことも含まれます。組織の社会的信用の失墜、慰謝料・損害賠償、顧客離れ、取引停止、技術情報漏洩による競争力の低下など、甚大な損害に繋がるおそれがあります。

対策:アクセス権限の最小化、ログ監視の強化、定期的な従業員教育の実施、退職者のアカウント管理徹底、機密情報の持ち出しルールの制定をし、不正行為の抑止と早期発見を図る、といったことが有効です。

5位「機密情報等を狙った標的型攻撃」

標的型攻撃とは、明確な意思と目的を持った人間が特定の企業・組織・業界を狙って行うサイバー攻撃を指します。不特定多数の相手に無差別に行う攻撃とは異なり、特定の企業・組織・業界をターゲットにして、保有している機密情報の窃取やシステム・設備の破壊・停止といった明確な目的を持って行われます。長期間継続して行われることがあり、標的とする組織内部に攻撃者が数年間潜入して活動するといった事例もあります。

対策:従業員への標的型攻撃訓練、メールのセキュリティ強化、ゼロトラストモデルの導入、ネットワーク監視の強化、多要素認証の実施、アプリケーション許可リストの作成、異常な通信や挙動を検知するシステムを活用し、侵入の防止と早期発見を図ることが有効です。

6位「リモートワーク等の環境や仕組みを狙った攻撃」

新型コロナウイルス対策として急速なテレワークへの移行が求められたことにより、VPNを経由した自宅等社外からの社内システムへのアクセスや、Zoom等によるオンライン会議等の機会が増加しました。結果として、私物PCや自宅ネットワークの利用、VPN等のために初めて使用するソフトウェアの導入等、従来出張用や緊急用だったシステムをテレワークのために恒常的に使うケースが増加しました。テレワーク業務環境に脆弱性があると、社内システムに不正アクセスされたり、Web会議をのぞき見されたり、PCにウイルスを感染させられたりするリスクに繋がります。

対策:ゼロトラストセキュリティの導入、ネットワーク機器を含むVPNセキュリティ強化、最新セキュリティパッチの適用、多要素認証の徹底、従業員のセキュリティ教育を行うといったことなどが有効です。

9位「ビジネスメール詐欺」

ビジネスメール詐欺は、巧妙な偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらす攻撃です。攻撃の準備として、企業内の従業員等の情報が狙われたり、情報を窃取するウイルスが使用されたりします。

対策:メール送信ドメイン認証(DMARC・SPF・DKIM)の導入、不審な送金依頼の複数人確認ルールの徹底、従業員への詐欺メール訓練、セキュリティソフトによるメールフィルタリングを強化し、被害の防止と早期発見を図るといったことが有効です。

10位「不注意による情報漏えい等」

不注意による情報漏洩といえばメールの誤送信ですが、その原因は「宛先の入力ミス」「情報の取り扱いに関する認識不足」「宛先や添付ファイルについての勘違い」が考えられます。うっかりミスによるメールの誤送信が、場合によっては、情報漏洩など大きな事故に繋がります。

対策:メール送信前の上長承認や誤送信防止ツールの導入、送信先の自動チェック機能の活用、メールの電子署名の付与(S/MIMEやPGP)・DMARCの導入、機密情報の暗号化、誤送信時の迅速な対応手順マニュアルの策定、従業員への定期的な情報管理教育を実施するといった対策が有効です。

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

sqat.jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

SQAT脆弱性診断

BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。


Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは?手口と脅威を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産(仮想通貨)取引所から約482億円が窃取された事案に関連して注意喚起*4を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

    ソーシャルエンジニアリング攻撃の概要

    北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA(米サイバーセキュリティ・インフラセキュリティ庁)によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2

    ソーシャルエンジニアリングとは
    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    関連記事:「ソーシャルエンジニアリングとは?その手法と対策

    ソーシャルエンジニアリングの手法

    「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

    SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

    参考:金融庁/警察庁/内閣サイバーセキュリティセンター
    北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる 暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

    ソーシャルエンジニアリング攻撃の代表的な手法

    手法
    フィッシングターゲットをだますことで情報を引き出す(認証情報や個人情報)、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
    スピアフィッシングフィッシングの一形態
    特定の個人や企業を狙ったフィッシング攻撃を指す
    ビジネスメール詐欺取引先などになりすまし、入金を促す詐欺
    ベイティングマルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
    プリテキスティング権威のある人物(銀行員、警察、ITサポートなど)になりすまし、個人情報を聞き出す
    テールゲーティング正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

    ソーシャルエンジニアリング攻撃の事例

    近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

    • XZ Utilsへのソーシャルエンジニアリング攻撃
      Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3です。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
    • ディープフェイク技術を悪用した詐欺
      在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル(日本円で約40億円)を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

    ソーシャルエンジニアリング攻撃の対策方法

    今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

    ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

    関連情報:
    Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

    まとめ

    • ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
    • 従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
    • 最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【徹底解説】
    日本航空のDDoS攻撃被害の実態と復旧プロセス

    Share

    概要

    2024年12月26日、日本航空(JAL)はDDoS攻撃を受け、国内外のフライトで大規模な遅延が発生。国内線60便、国際線24便で30分以上の遅延が生じ、最大4時間2分の遅延が報告されました。攻撃はネットワーク機器への大量データ送信による過負荷が原因で、飛行計画や貨物重量計算システムが通信不能となりました。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
    記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?
    Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策

    DDoS攻撃とは?

    DDoS攻撃とは、攻撃者が複数のコンピューターを利用し、標的のシステムに大量のデータを送りつけることでサービスを妨害する手法です。特に航空業界では、この攻撃が深刻な影響を及ぼすことがあります。日本航空(JAL)に対する攻撃もその一例であり、システムに過負荷をかけ、正常な運用を妨げました。

    攻撃の詳細

    このDDoS攻撃は、2024年12月26日午前7時24分に発生しました。この時間帯は多くのフライトが運航するピーク時であり、影響は甚大でした。日本航空(JAL)は、攻撃発生時に多くの乗客が移動中であったため、システムの混乱がさらに深刻化したと報告しています。DDoS攻撃の結果、JALの一部システムが一時的に停止し、フライトの遅延が発生しました。具体的には、国内線24便が30分以上遅延し、多くの乗客に影響を与えました。

    システム復旧の過程

    日本航空(JAL)は、発生したDDoS攻撃により、システムの不具合や航空券販売の停止、フライトの遅延などの影響を受けました。年末の繁忙期に多くの乗客が影響を受ける中、専門のサイバーセキュリティチームが迅速に対応し、ネットワークの一時遮断と復旧作業を実施。数時間でシステムは正常化し、フライトの安全性にも影響はありませんでした。復旧後、JALはセキュリティ対策を強化し、最新の防御技術を導入するとともに、従業員のサイバーセキュリティ教育を推進。今後の攻撃リスクを軽減し、乗客の安全確保を目指しています。

    DDoS攻撃に対する今後の予防策

    1. 多要素認証の導入
      システムへのアクセス制限を強化し、不正アクセスを防止する
    2. 定期的なネットワークのストレステスト
      脆弱性を早期に発見し、攻撃時の影響を最小限に抑える
    3. サイバーセキュリティ意識の向上
      スタッフへの定期的なトレーニングや演習を実施し、攻撃の兆候を早期に察知できる体制を整備する
    4. インシデント対応計画の見直しと更新
      攻撃発生時の役割分担や連絡体制を明確化し、シミュレーションを通じて計画の実効性を確認する
    5. 過去の攻撃事例の分析と対策の最適化
      これまでの攻撃事例を検証し、より効果的な防御策を導入することで業務の継続性を確保する

    これらの対策を実施することで、DDoS攻撃のリスクを軽減し、システムの安全性を高めることができます。

    まとめ

    今回の事件は、日本のサイバーセキュリティの脆弱性を浮き彫りにし、航空業界全体における防御強化の必要性を示しました。今後、日本は国際的な協力を強化し、より強固なサイバーセキュリティ対策を講じることが求められます。今回の事件を教訓に、防御策の強化が急がれています。


    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月12日(水)14:00~15:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ネットワーク脆弱性診断とは?
    【応用編】:企業のセキュリティを守る重要な対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。最終回となる第3回目は応用編として、企業が直面するネットワークのセキュリティ課題について、事例とともに紹介します。最後に、ネットワーク脆弱性診断の実施メリットや適切なサービス選びのポイントを解説します。

    企業が直面するネットワークセキュリティの3つの課題

    近年、企業ネットワークに対する攻撃はますます高度化・多様化しており、外部からのサイバー攻撃だけでなく、内部要因によるセキュリティリスクも増加しています。企業が直面しがちなセキュリティ課題について主な例を紹介します。

    1. 外部からの攻撃
      外部からのサイバー攻撃は、組織にとって最大の脅威の一つです。例えば、ランサムウェア攻撃によって重要なデータが暗号化され、多額の身代金を要求される事例が増加しています。また、DDoS攻撃によってウェブサイトやシステムが停止し、業務継続に支障をきたすケースもあります。
    2. 内部脅威(内部者の不正行為、設定ミス)
      内部者による不正行為や設定ミスも深刻な課題です。例えば、従業員が意図せず機密情報を漏洩したり、不適切なシステム設定が攻撃者に侵入の隙を与えたりするケースもあります。特に、クラウドサービスの設定ミスは外部から気づかれにくいため、重大な被害を引き起こすことがあります。
    3. ハイブリッド環境における複雑な管理
      クラウドとオンプレミスのシステムが共存するハイブリッド環境では、ネットワークの複雑さが増し、セキュリティ管理が難しくなっています。例えば、クラウド環境でのアクセス制御ミスや、オンプレミス環境の古いシステムに未適用のセキュリティパッチが攻撃の入り口となることがあります。

    これらのセキュリティ課題を放置してしまうと、情報漏洩や業務停止といった直接的な損害だけでなく、顧客や取引先の信頼を失うという長期的な影響も避けられません。これらの課題に適切に対応するためには、ネットワーク環境全体の脆弱性を把握し、的確な対策を講じることが不可欠です。

    ネットワーク脆弱性のリスクとは?古いOSやソフトウェア使用の危険性

    企業のネットワーク環境で脆弱性が放置されていると、攻撃者に侵入されるリスクが高まります。よく知られるネットワークの脆弱性カテゴリの例は以下の通りです。

    • 古いソフトウェアやOS
      サポートが終了したOSや古いバージョンのソフトウェアを使用していると、攻撃者が既知の脆弱性を悪用し、システムに侵入するリスクが高まります。
    • デフォルト設定や弱いパスワード
      ネットワーク機器やアプリケーションがデフォルト設定のままだと、攻撃者が簡単に侵入できる可能性があります。また、『123456』や『password』のように単純な文字列で構成されたパスワードは、総当り(Brute-Force)攻撃の成功率を高めます。

    ネットワークの脆弱性を悪用した攻撃事例

    ネットワークの脆弱性を悪用した攻撃は、世界中で多くの企業に甚大な影響を与えています。ここでは、実際に起きた攻撃事例の情報が掲載されているサイトの一部をご紹介します。

    1. ランサムウェア攻撃の事例
      近年、企業で最も被害件数が増えているサイバー攻撃はランサムウェア攻撃です。ランサムウェアは、個人情報や企業の機密情報などの重要なデータを暗号化することによって、被害者に深刻な損害をもたらします。

      【2025年最新】国内外におけるランサムウェアの被害企業一覧とその実態
      参考:https://cybersecurity-jp.com/contents/data-security/1612/

    2. DDoS攻撃の事例
      【2024年版】国内DDoS攻撃被害企業の例
      参考:https://act1.co.jp/column/0125-2/

    SQAT.jpでは以下の記事でDoS攻撃・DDoS攻撃に関する情報をご紹介しています。こちらもあわせてご覧ください。
    DoS攻撃とは?DDoS攻撃との違い、すぐにできる3つの基本的な対策

    攻撃者は依然として、セキュリティがあまいシステムを狙っているため、隙をつくらないよう事前に防御しておきたいところです。ネットワーク脆弱性診断を定期的に実施することで、潜在的なリスクを早期に発見し、被害を未然に防ぐことができます。次の項目で、ネットワーク脆弱性診断実施によるメリットについて具体的に紹介します。

    ネットワーク脆弱性診断実施によるメリット

    ネットワーク脆弱性診断を実施することで得られるメリットは大きく分けて以下の3つになります。

    • 攻撃リスクの低減
      ネットワーク脆弱性診断を実施することで、サーバやネットワーク機器、端末などに対する攻撃リスクを大幅に低減できます。ネットワーク脆弱性診断では、情報漏洩やデータ改ざんの原因となるセキュリティホール、構成ミス、OSやミドルウェア、サーバソフトウェアの未適用パッチを事前に特定することによって、どのように対策を講じればよいかがみえてきます。これにより、サイバー攻撃のリスクを未然に防ぎ、ビジネス継続性を確保します。結果的に企業全体のセキュリティレベルが向上するため、自組織がサイバー攻撃の対象となる機会を減らし、安心して業務を進められる環境を整えることができます。
    • 顧客・取引先からの信頼向上
      顧客や取引先に対し、情報資産を守るための積極的な姿勢をアピールすることで、信頼度が向上します。診断の実施は、セキュリティコンプライアンスの基準を満たすことにも寄与し、パートナー企業や規制当局からの信頼性を確保します。結果的に、安心感を提供することで取引関係の強化や新規顧客獲得のチャンスを広げ、企業成長を後押しします。
    • セキュリティ対策コストの削減
      ネットワーク脆弱性診断は、長期的な視点で考えると、セキュリティ対策コストを削減する効果があります。診断を通じて、リスクの優先順位を明確化し、効果的かつ効率的な対策を講じることで、不要な出費を回避できます。例えば、全てのシステムやデバイスに無差別に対策を施すのではなく、本当に必要な部分にのみリソースを集中させることが可能です。また、診断の結果をもとに適切な運用改善やセキュリティツールの選定を行うことで、運用コストを最適化します。さらに、セキュリティインシデント発生時の対応コストや業務停止による損失を未然に防ぐことにもつながります。

    定期的な脆弱性診断の実施の重要性

    脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステムの特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

    脆弱性診断サービスの選び方

    脆弱性診断サービスを選ぶ際には、信頼性と効果的な診断を提供できるベンダーを選定することが重要です。選定時に注目すべきポイントをご紹介します。

    • ベンダーの実績確認
      まず、ベンダーの実績を確認することが大切です。過去に同業種の企業での診断経験があるか、セキュリティに関する認定資格を持つ専門家がいるかを確認しましょう。例えば、独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティサービス基準適合サービスリスト」には、経済産業省が策定した「情報セキュリティサービス基準」に適合した信頼性の高い事業者のサービスが掲載されています。また、顧客レビューや導入事例の有無も信頼性を判断するポイントです。
    • 診断範囲やツールの使用状況
      提供される診断範囲や使用ツールを確認しましょう。ネットワーク、アプリケーション、クラウド環境など、対象範囲が自社のセキュリティニーズに合致していることが重要です。また、自動診断ツールと手動診断を組み合わせたサービスは、より精度の高い結果が期待できます。
    • コストパフォーマンスとアフターサポート
      コストパフォーマンスも重要なポイントです。見積もり金額だけでなく、診断後のレポート作成や改善提案、アフターサポートが充実しているかを確認しましょう。一時的な診断だけでなく、継続的なサポートを提供しているベンダーは、長期的なセキュリティ向上に貢献します。

    また、選定時は価格だけで判断せず、サービス内容やサポート体制も慎重に検討しましょう。診断結果が形骸化しないよう、実行可能な改善提案を行うベンダーを選ぶことも重要です。

    適切な脆弱性診断サービスを選ぶことで、ネットワークのセキュリティリスクを大幅に軽減できます。弊社ブロードバンドセキュリティが提供するSQAT脆弱性診断サービスでは、診断範囲の柔軟なカスタマイズや専門家によるサポートを提供しています。詳細はこちらをご覧ください。

    SQAT脆弱性診断サービスの優位性

    SQAT®(Software Quality Analysis Team)サービスは「システムの弱点をあらゆる視点から網羅する」「正確かつ客観性の高いレポートをする」「お客様にわかりやすく説明する」が特徴です。お客様は、すべての問題部位と脆弱性のポイントの把握、リスクに対する明確な理解、具体的な対策立案のヒントを得ることが出来ます。

    SQAT脆弱性診断サービスの特長

    外部からの脆弱性診断のみご提供するのではなく、様々な情報セキュリティ対策の観点からサービス・ソリューションを組み合わせ、お客様にとって最適解をご提案するのが、SQAT脆弱性診断サービスの特徴です。

    まとめ

    ネットワーク脆弱性診断は、企業のセキュリティを守るために不可欠な対策の一つです。本記事では、外部攻撃、内部脅威、ハイブリッド環境の管理の複雑さという主要なセキュリティ課題を解説しました。特にランサムウェアやDDoS攻撃の事例では、情報漏洩や業務停止など深刻な被害が発生しています。脆弱性診断を実施することで、未適用パッチや設定ミスなどを特定し、サイバー攻撃のリスクを低減させることが可能です。また、定期的な診断は顧客や取引先の信頼向上にも寄与し、長期的にはコスト削減や効率的なリソース配分に繋がります。診断サービス選定時には、ベンダーの実績、診断範囲、コストパフォーマンス、アフターサポートの確認が重要です。特に弊社のサービスである、SQAT脆弱性診断サービスは柔軟な診断範囲や専門家のサポートを特徴とし、企業のセキュリティ強化を総合的に支援します。定期的な診断の実施で潜在リスクを早期発見し、セキュリティレベル向上を図りましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    二要素認証と多要素認証の違いとは?導入のメリットと注意点を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    「二要素認証(2FA)」・「多要素認証(MFA)」は、サイバー攻撃が増加する中で重要性が高まるセキュリティ対策です。本記事では、二要素認証・多要素認証の違いの仕組みや違い、導入するメリットと注意点を具体例を交えて解説。アメリカ国立標準技術研究所(NIST)の認証に関するガイドラインを紹介しながら、企業がこうした認証方式をどのような場合に用いるべきかを提案します。

    二要素認証とは

    インターネットにおける「認証」とは、たとえば、あるWebサービス等を利用しようとしているユーザが、本当にその本人であるか、その正しさを確認するプロセスや行為のことです。「二要素認証」とは、セキュリティ水準を高めるために、ふたつの要素を用いて認証を行うことです。二要素認証では、IDとパスワードだけでなく、トークンや指紋など2つの要素を用いて本人確認を行います。

    「KNOW」「HAVE」「ARE」、認証に用いる3要素とは

    「要素」とは、認証に用いる情報等のことです。たとえば、あるWebサービスの利用時、IDとパスワードの入力が求められるのであれば、それは「IDを持つ人がこの人であるかどうかを確認するためにパスワードという要素が用いられている」ということになります。

    要素には、パスワードのような「ユーザが知っていること(something you know」、部屋のカギのような「ユーザが所持しているもの(something you have」、指紋や虹彩(眼球の瞳の周辺にある膜)のような「ユーザ自身であるもの(something you are」などがあり、このうちどれかふたつの要素を用いて認証を行うことを二要素認証と呼びます。

    二要素認証を行えば、従来のようなパスワードだけを用いた認証よりも、セキュリティ水準を高めることができます。

    二要素認証と多要素認証の違い

    二要素認証は、IDやパスワードに加えて、もう1つの要素(例: SMS認証やOTP)を追加することでセキュリティを強化します。一方、多要素認証は、これに加えて、生体認証やセキュリティキーなど複数の要素を組み合わせ、さらに高度な保護を提供します。多要素認証は特に、フィッシング攻撃やリプレイ攻撃への耐性が高い点が特徴です。

    「多要素認証」とは、「ユーザが知っていること(something you know)」「ユーザが所持しているもの(something you have)」「ユーザ自身であるもの(something you are)」のうち、ふたつ以上の要素を用いて認証を行うことで、二要素認証は多要素認証に含まれます。

    なお、多要素認証は英語では「MFA(Multi-Factor Authentication)」と表記され、2つの要素を用いる場合に「Two-Factor Authentication」という呼称が使われることがあります。

    また、過去に日本国内で普及していた認証方法に「二段階認証」があります。これは、パスワード入力の後に「秘密の質問」などを設けて、ユーザが知っていることを用いてもう一回認証を行い、セキュリティを高めようとするものです。

    よくある「秘密の質問」は、セキュリティ的にはどうなのか

    秘密の質問は、ユーザの本人確認を行うための手段として広く使用されてきましたが、そのセキュリティに関しては多くの懸念が存在します。特に、秘密の質問の答えが容易に推測可能である場合、セキュリティリスクが高まります。

    ユーザの認証手段に常時使われることは望ましくない、というのが多くの専門家の認識となっており、多要素認証が利用できない場合の非常代替手段として、またはアカウントの回復に用いる認証の一部として、限定的に用いられることが望ましいとされています。

    最近では、多くの企業が秘密の質問の使用を廃止し、より安全な認証方法に移行しています。
    例えば、AWSやYahoo! JAPANなどのサービスでは、秘密の質問を廃止し、他の認証手段を導入しています。

    多要素認証の場合、秘密の質問だけに依存せず、他の認証手段(例:SMS認証やアプリによる認証)を併用することで、セキュリティを向上させることができます。

    基準となるNISTのガイドライン

    アメリカ国立標準技術研究所(NIST)が公開しているガイドライン「SP 800-63」(最新版は2017年公開の第三版「SP 800-63-3」)は、オンラインで行われる認証に関して最も参照されるドキュメントのひとつです。

    同書は、NISTが考える「電子認証はこうあるべき」を記載したもので、「SP 800-63A」「SP 800-63B」「SP 800-63C」から構成されています。

    SP 800-63Aでは認証やIDの管理全般について記述し、SP 800-63Bはトークン等の認証器の仕様として「AAL1」「AAL2」「AAL3」の三種類を定め、SP 800-63Cではフェデレーション認証について記述しています。

    日本の経済産業省の規格も「SP 800-63-3」を参照して作られています。

    LINE、Google、Facebook、Slack ~ 二要素認証・多要素認証を使用した具体例

    すでに、LINEやGoogle、Facebook、LinkedIn、Slackなどの大手ITサービスでは、二要素認証・多要素認証が利用されています。スマートフォンやメールアドレス宛にパスコードを送る、「Authenticator」と呼ばれる認証用アプリにパスコードなどを表示させるなど、方法もさまざまです。

    以前「ブルートフォース攻撃」に関する記事で解説したとおり、サイバー攻撃の激化・高度化にともなって、パスワードだけで認証する時代はもう終わりを迎えています。今後、二要素認証・多要素認証は上記に挙げた大規模なサービスにとどまらず、企業内でも積極的に活用されていくことでしょう。では、どんな場面でこれを用いればいいのでしょうか。

    二要素認証と多要素認証の導入メリット

    SQAT.jpでは、「セキュリティのレベルが異なる領域間でのアクセスや通信」に対して、二要素認証・多要素認証を使うことをおすすめしています。

    具体的な例を挙げると、「クラウドサービスを利用するために、社外のクラウドサービスのアカウントに社内からアクセスするとき」、そして、「テレワーク等の実施のために、社外からイントラネットなど社内にアクセスするとき」のふたつです。

    特に、社外からイントラネットなど社内にアクセスするときは、トークンを使った多要素認証を用いたVPN接続をおすすめします。

    なお、SNSやメールサービスなどのSaaSで、ユーザ本人のアクセスであることを確認する必要性が高いサービスなどでも、多要素認証が用いられることが多いといえます。社内からこうしたサービスにアクセスしている場合、当該サービスが多要素認証を適用しているか、適用できるような設定になっているかも確認してみてはどうでしょう。

    二要素認証・多要素認証の注意点と今後の展望

    SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、主要クラウド(IaaS)を対象としたセキュリティ診断サービスも提供していますが、診断の結果リスクを指摘される事項の大半が、認証に関わる問題です。クラウドサービスを、つい「オンプレミス環境の延長」あるいは「オンプレミス環境と同じ」と考えてしまうことで、誤った設定がなされてしまうことがあるようです。詳細は、「診断結果にみるクラウドセキュリティの今」で詳しく解説していますので、ぜひご覧ください。

    まとめ

    • 二要素認証とは、「KNOW」「HAVE」「ARE」という3つの認証要素の中の2つを用いて認証を行うことです。
    • 二要素認証は多要素認証に含まれます。
    • 二要素認証・多要素認証を行うことでセキュリティ強度を高めることができます。LINE、Google、Facebookなど多くのサービスでこの認証方式が使われています。
    • NISTが公開したガイドライン「SP 800-63-3」は認証に関して世界で最も参照されるドキュメントのひとつです。
    • セキュリティのレベルが異なる領域間でのアクセスや通信には、二要素認証・多要素認証を使うことをおすすめします。
    • クラウドサービスを利用する場合は、認証関係の設定ミスに注意しましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 2025年2月5日(水)12:50~14:00
    【好評アンコール配信】
    中小企業に迫るランサムウェア!サプライチェーン攻撃とは
  • 2025年2月12日(水)14:00~15:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ネットワーク脆弱性診断とは?
    【実践編】:実施の手順・診断ツールの効果的な選定ポイントを解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第2回目の今回は実践編として、ネットワーク脆弱性診断のステップ、NessusやOpenVASなどの脆弱性診断ツールの比較、選定ポイントについて解説します。セキュリティ強化に役立つ情報満載です!

    ネットワーク脆弱性診断のプロセス

    脆弱性診断は、情報システムやアプリケーションに存在するセキュリティ上の欠陥を特定し、リスクを軽減するための重要なプロセスです。以下は、脆弱性診断の一般的な流れです。

    事前準備および調査

    • 診断対象の特定
      どのシステムやアプリケーションを診断するかを決定します。これには、Webアプリケーション、サーバ、ネットワーク機器などが含まれます。
    • 診断範囲確定
      診断する機能や画面遷移を洗い出し、重要な部分に焦点を当てます。これにより、コストや時間を効率的に管理できます。

    診断実施

    • ツールを用いたスキャン
      自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする方法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。
    • エンジニアによる手動診断
      専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。

    リスク分析

    検出された脆弱性について、その深刻度や影響度を評価します。過去のデータ・最新の脅威動向および各種国際標準(例: CVSS等)を踏まえたリスク分析を実施します。

    診断結果のレポート作成(対応策の提示)

    発見された脆弱性の詳細、再現手順、および推奨される対策を含む報告書を作成します。この報告書は関係者に提供され、必要な対策が講じられる基礎となります。

    フォローアップ

    再診断:レポートの結果により、対処が必要な脆弱性の部分において修正が加えられたあと、再度その部分の診断を行い、脆弱性が適切に対処されたか確認します。また、必要に応じて追加のサポートやアドバイスも提供されます。

    この流れは一般的なものであり、具体的なプロセスは組織やシステムによって異なる場合があります。

    セキュリティ専門企業によるセキュリティ診断

    外部のセキュリティ専門企業に脆弱性診断を依頼した場合は、まず事前準備や調査において、診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。診断が終了するとベンダーからレポートが提供されます。レポートに記載された脆弱性には深刻度や影響度などがスコア化されていることがあります。そのレポートをもとに、内容に応じて優先度をつけて、問題のある箇所を対処していきます。また、必要に応じて報告会が行われることもあります。

    セキュリティ専門企業によるセキュリティ診断の図

    脆弱性診断ツールの例

    脆弱性診断ツールは、システムやネットワーク内のセキュリティ上の弱点を検出し、未然にリスクを防ぐための重要な役割を果たします。以下に代表的なツールを紹介します。

    • Nessus
      Nessusは、Tenable社が提供する商用の脆弱性スキャナで、ネットワーク機器やサーバ、アプリケーションに存在する脆弱性を高精度で検出します。ユーザーフレンドリーなインターフェースと定期的な脆弱性データベースの更新により、最新の脅威にも対応可能です。多様なプラグインを活用して、幅広い診断が行える点も特徴です。ただし、商用ツールのため、導入や運用にはコストがかかります。
    • OpenVAS
      OpenVASは、オープンソースの脆弱性診断ツールで、無料で利用可能です。高い拡張性と柔軟性を持ち、コミュニティによる継続的なアップデートで最新の脆弱性情報にも対応しています。多様なスキャン設定が可能で、カスタマイズ性に優れています。一方、設定や運用には専門的な知識が求められるため、導入時には適切な人材の確保が重要です。
    • Burp Suite
      Burp Suiteは、PortSwigger社が開発したWebアプリケーションのセキュリティテストに特化したプラットフォームです。ユーザがブラウザからWebアプリケーションにアクセスしたとき、サーバに対するリクエストとレスポンスを分析することで脆弱性を診断します。無料版と有料版があり、無料版でも十分な機能を持っているため、世界中で利用されています。

    効果的な診断ツールの選び方

    ツールを選ぶ際には、以下の点を考慮することが重要です。

    • コスト
      初期費用やランニングコストを比較検討し、予算に合ったツールを選択します。 ツールには無料版と有料版が存在し、それぞれ機能やサポート体制が異なります。無料版は初期費用がかからない反面、機能が限定されている、サポートが受けられないといった場合があります。一方、有料版は充実した機能とサポートを提供しますが、導入コストが発生します。自社の予算や必要な機能を明確にし、費用対効果を検討することが重要です。
    • スキル
      ツールの操作性や必要な専門知識も選定時の重要な要素です。専門人材がいる場合は、高度な設定やカスタマイズが可能なツールを選ぶことで、より詳細な診断が可能です。一方、専門知識が乏しい場合は、ユーザーフレンドリーで操作が簡単なツールを選ぶと、効果的に活用できます。ツールの操作性やサポート体制を確認し、自社の人材スキルに適したものを選びましょう。
    • 診断範囲
      診断対象の規模や範囲もツール選定の際に考慮すべきポイントです。大規模なネットワークや複数のWebサイトを管理している場合、診断範囲が広く、同時に複数の診断が可能なツールが適しています。また、将来的な拡張性も視野に入れ、スケーラビリティの高いツールを選ぶことで、長期的な運用がスムーズになります。診断範囲や項目が自社のニーズに合致しているかを確認しましょう。

    これらのポイントを総合的に評価し、自社の要件に最適な脆弱性診断ツールを選定することが、効果的なセキュリティ対策につながります。

    まとめ

    脆弱性診断は、情報システムやアプリケーションのセキュリティリスクを特定し、軽減するための重要なプロセスです。まず事前調査で診断対象と範囲を確定し、Webアプリやサーバ、ネットワーク機器に焦点を当てます。診断では、ツールを使ったスキャンで既知の脆弱性を迅速に検出し、エンジニアが手動でツールでは見つけられない複雑な問題を特定します。次に、検出した脆弱性の深刻度や影響度を評価し、CVSSなど国際標準に基づいたリスク分析を実施します。結果はレポートとしてまとめ、再現手順や対策が示されます。修正後には再診断を行い、対策が有効か確認し、必要に応じて追加のサポートも提供されます。外部ベンダーに依頼する場合も、事前調査からレポート提供までの流れは同様です。代表的な診断ツールには、商用のNessus、オープンソースのOpenVAS、Web診断向けのBurp Suiteがあり、それぞれ特性が異なります。ツール選定では、コスト、操作スキル、診断範囲を考慮し、自社に適したものを選ぶことが効果的なセキュリティ対策に繋がります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AWSを狙うランサムウェアCodefingerの脅威と
    企業が取るべきセキュリティ対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。


    はじめに

    近年、クラウドサービスの利用が拡大する中で、新たなサイバー攻撃が注目を集めています。その中でもCodefingerというランサムウェアグループが、Amazon Web Services(AWS)のS3バケットを標的にした攻撃を展開していることが報告されています。この攻撃は、データの暗号化を通じて企業に多大な被害をもたらし、対策の重要性が浮き彫りになっています。

    ■関連記事
    https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c

    Codefingerによる攻撃の手口

    Codefingerの攻撃は、AWSの認証情報を不正に入手するところから始まります。主にフィッシング攻撃や既知の脆弱性を利用して認証情報を取得した攻撃者は、その情報を使い、AWSの「Server-Side Encryption with Customer Provided Keys(SSE-C)」機能を悪用します。この機能は、ユーザーが独自の暗号鍵を用いてデータを暗号化するものですが、攻撃者はこれを逆手に取り、データを勝手に暗号化してしまいます。

    さらに、攻撃者はS3 Object Lifecycle Management APIを使用し、データを自動的に削除するポリシーを設定します。この結果、被害を受けた企業は重要なデータにアクセスできなくなるばかりか、高額な身代金を要求される事態に陥ります。

    攻撃の影響とリスク

    この攻撃がもたらす影響は非常に深刻です。暗号化されたデータはAWS側にも復号化ができない仕組みになっており、攻撃者以外によるデータの復旧がほぼ不可能です。そのため、多くの場合、被害者は身代金を支払うか、データを諦める選択を迫られます。このような状況は、企業の業務停止や信頼失墜を引き起こし、さらには経済的損失にもつながります。また、Codefingerの攻撃手法は他のサイバー犯罪グループによって模倣される可能性があり、攻撃の拡大が懸念されています。クラウドサービスを利用する企業にとって、こうしたリスクは今後さらに高まるでしょう。

    企業が取るべき防御策

    このような攻撃に対抗するには、以下のような多層的な対策を講じることが重要です。

    • AWS環境での認証情報の管理の徹底
      AWSのセキュリティ設定を強化することも効果的です。例えば、SSE-Cの利用を制限するポリシーを設定することで、攻撃者による悪用を防ぐことができます。また、必要最低限の権限のみを付与する「権限の最小化」を徹底することで、万が一認証情報が漏洩しても被害を最小限に抑えることが可能です。
    • AWSセキュリティ設定の強化
      Codefingerによる攻撃は、AWSだけでなく、他のクラウドサービスプロバイダーにとっても警鐘となる事例です。業界全体で防御策を進化させる必要があり、クラウドサービスプロバイダーも不正なアクティビティを迅速に検出し、対応できる体制を構築する必要があります。さらに、顧客への迅速な通知体制を整えることも重要です。認証情報の漏洩が確認された場合、速やかに顧客に通知し、被害拡大を防ぐための具体的な対応策を提示することが求められます。

    業界全体でのセキュリティ強化の必要性

    Codefingerによる攻撃は、AWSだけでなく、他のクラウドサービスプロバイダーにとっても警鐘となる事例です。業界全体で防御策を進化させる必要があり、クラウドサービスプロバイダーも不正なアクティビティを迅速に検出し、対応できる体制を構築する必要があります。さらに、顧客への迅速な通知体制を整えることも重要です。認証情報の漏洩が確認された場合、速やかに顧客に通知し、被害拡大を防ぐための具体的な対応策を提示することが求められます。

    まとめ

    Codefingerの攻撃は、AWS環境におけるセキュリティリスクを浮き彫りにしました。このような脅威に対処するためには、認証情報の管理、多要素認証の導入、セキュリティ設定の強化など、企業が積極的に防御策を講じる必要があります。また、クラウドサービスプロバイダーも、不正アクセスを迅速に検出し、対応できる仕組みを強化することで、顧客の信頼を守ることが求められます。今回の事例を契機に、セキュリティ対策の見直しを検討してみてはいかがでしょうか。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2024年のサイバーセキュリティ振り返り
    -KEVカタログが示す脆弱性の実態-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    米サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency、以下CISA)が2021年から公開しているKEVカタログ(Known Exploited Vulnerabilities Catalog)は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

    ※本記事で扱うKEVカタログの情報は2024年12月10日(アメリカ現地時間付け)のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。(参考:2023年1月~12月…187件)

    KEVカタログに登録された脆弱性の概要

    KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

    表1 CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

    米国以外での悪用実態の反映

    2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の2件です。

    • CVE-2023-28461:Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
      KEVカタログ登録日:2024年11月25日
      JPCERT/CC注意喚起(2023年9月22日発行):https://www.jpcert.or.jp/at/2023/at230020.html

    SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

    • CVE-2023-45727:North Grid ProselfのXML外部エンティティ(XEE)参照の不適切な制限の脆弱性
      KEVカタログ登録日:2024年12月3日
      JPCERT/CC注意喚起(2023年10月26日発行):https://www.jpcert.or.jp/at/2023/at230022.html

    2024年11月にトレンドマイクロが公開したブログ*6では上記2件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

    なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

    ベンダ別登録数

    2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

    図1 KEVカタログ ベンダ別登録数(一部)

    図1KEVカタログベンダ別登録数(一部)
    ※KEVカタログの2024年1月1日~12月10日および2023年1月1日~12月31日の登録情報をベンダごとに集計。2024年の当該期間の登録数上位10位(同率10位が2件)までを表示

    なぜMicrosoftの登録数が多いのか

    Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94%となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

    企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア(ランサムウェア含む)を配置し、自身の目的(金銭や情報の窃取など)を達成することができます。

    一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性(主にゼロデイ)となります。

    Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
    Active Directoryを侵害から守るためのガイド

    Windows OSの脆弱性:古いテクノロジーの残存

    Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性(EdgeにおけるIEモードのサポート)の維持の目的で最新のOSでも残存しています。

    事例:CVE-2024-43573:Windows MSHTMLの脆弱性

    MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

    図2 CVE-2024-43573:Windows MSHTMLの脆弱性

    その他登録数上位のベンダ

    2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの5社になります。各ベンダについては以下をご参照ください。

    ベンダ名 説明
    Ivanti 旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
    Android Android OSなどを提供する米国Google社内のAndroid Open Source Project
    D-Link 台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
    Palo Alto Networks ファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
    VMware ハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

    製品タイプ別登録数

    2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています(40件、23%)。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も3位となっています(15件、9%)。そしてインフラストラクチャ管理製品が全体の10%(2位、18件)、エンドポイント管理製品が6%(4位、11件)を占めています。

    図3 製品タイプ別KEVカタログ登録数

    図3製品タイプ別KEVカタログ登録数
    弊社でKEVカタログに登録されたCVEを調査し、製品タイプ別に分けたものとなります。製品が複数の機能を含む場合は1.脆弱性が大きく影響を及ぼす機能、2.製品の主要な機能の順に振り分けを行っています。

    インフラストラクチャ管理製品の悪用

    インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

    ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用

    対象製品 CVE CWE 自動化
    FortiManager CVE-2024-47575*3 CWE-306
    重要な機能の使用に対する認証の欠如
    不可
    PAN-OSの管理インターフェース CVE-2024-0012*4 CWE-306
    重要な機能の使用に対する認証の欠如
    CVE-2024-9474*5 CWE-77
    OSコマンドインジェクション
    不可

    製品 製品概要 攻撃の概要注 3) 攻撃者
    FortiManager Fortinet製品の統合管理用のアプライアンス ・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得
    ・脅威アクターのデバイスをFortiManagerに登録
    不明

    備考

    IOCなどはこちらを参照。
    https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en

    PAN-OSの管理
    インターフェース
    PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。 ・WebShell(難読化)を使用して管理者権限を奪取
    ・管理アクションの実行や設定改ざん、特権昇格など
    不明

    備考

    IOCなどはこちらを参照。
    https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

    ITアセット統合管理ツールの脆弱性悪用

    対象製品 CVE CWE 自動化
    CyberPersons Cyber Panel CVE-2024-51378*6 CWE-276
    不適切なデフォルトパーミッション
    VMware vCenter Server CVE-2024-38812 CWE-122
    バッファオーバーフロー
    CVE-2024-38813 CWE-250
    不要な特権による実行
    不可
    CWE-273
    削除された特権に対する不適切なチェック
    不可

    製品 製品概要 攻撃の概要 攻撃者
    CyberPersons Cyber Panel オープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できる ミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7 Helldownランサムウェア*8
    VMware vCenter Server vSphereシリーズの大規模仮想化環境の運用管理支援ツール vCenter Server v7.0で導入されたPlatform Services Controller(PSC)によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9 不明

    EOL製品への対応

    ここでEnd-of-Life(サポート終了期限)と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL(End-of-Life、製品サポート終了)を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

    表2 2024年にKEVカタログに登録されたD-Link製品と推奨対策

    対象製品 CVE KEVカタログ登録日 推奨対策
    DIR-820 CVE-2023-25280 2024年9月30日 買い替え
    DIR-600 CVE-2014-100005 2024年5月16日 買い替え
    DIR-605 CVE-2021-40655 2024年5月16日 買い替え
    複数のNAS製品注 5) CVE-2024-3272 2024年4月11日 買い替え
    CVE-2024-3273 2024年4月11日 買い替え
    DSL-2750B CVE-2016-20017 2024年1月8日 製品型番を確認の上、必要に応じてパッチ適用

    CWE別登録数

    2024年のCWE別登録数のトップ10は以下の通りです。

    表3 CWE別KEVカタログ登録件数

    ランク CWE 概要 件数 CWE top 25ランク 2023年登録数 2023年登録数
    ランク
    1位 CWE-502 信頼できないデータのデシリアライゼーション 11 16 8 7
    1位 CWE-78 OSコマンドインジェクション 11 7 11 3
    3位 CWE-416 開放済みメモリの使用 10 8 16 2
    4位 なし CWEに該当する項目がないもの 9 22 1
    5位 CWE-22 パストラバーサル 8 5 4 15
    6位 CWE-287注 6) 不適切な認証 8 14 5 12
    7位 CWE-787 境界外書き込み 7 2 9 5
    8位 CWE-843 型の取り違え 6 ランク外 4 15
    8位 CWE-94 コードインジェクション 6 11 9 5
    10位 CWE-284注 7) 不適切なアクセス制御 5 ランク外 6 8

    ※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ1件としてカウントしています。

    2024年のCWE別登録数の傾向

    C言語起因の脆弱性の減少

    代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個(全体の約28%)から2024年は33個(全体の約19%)へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

    • Apple登録件数…2023年21件→2024年7件
    • Samsung登録件数…2023年8件→2024年0件

    表4 C言語が関連するKEVに登録されたCVE一覧(2023年~2024年)

    C言語が主要な原因となるCWE 2024年にKEVに登録されたCVE 2023年にKEVに登録されたCVE
    CWE-119: バッファオーバーフロー CVE-2017-1000253, CVE-2023-6549 CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
    CWE-120: クラシックバッファオーバーフロー CVE-2023-33009, CVE-2023-33010, CVE-2023-41064
    CWE-122: ヒープベースのバッファオーバーフロー CVE-2024-38812, CVE-2024-49138, CVE-2024-30051 CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
    CWE-125: 範囲外メモリの読み取り CVE-2021-25487, CVE-2023-28204, CVE-2023-42916
    CWE-134: 制御されていないフォーマット文字列 CVE-2024-23113
    CWE-190: 整数オーバーフロー/アンダーフロー CVE-2022-0185, CVE-2024-38080 CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
    CWE-401: メモリリーク CVE-2023-26083
    CWE-416:解放後使用(Use After Free) CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586 CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
    CWE-787: 範囲外への書き込み CVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761 CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
    CWE-823: メモリ位置外へのポインタ参照 CVE-2021-25372

    これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

    登録件数上位のCWEと代表的な脆弱性

    表5 登録件数上位のCWEと代表的な2024年の脆弱性

    CWE CVE ベンダ・
    製品名
    脆弱性概要 攻撃者の情報 自動化
    CWE-78 CVE-2024-40711 Veeam Backup & Replication 非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10 ランサムウェア(Akira, Fog, Frag)*11
    CWE-78 CVE-2024-1212 Progress Kemp LoadMaster 非認証ユーザーによるOSコマンドインジェクション*12 不明
    CWE-22 CVE-2024-8963 Ivanti Cloud Services Appliance (CSA) 管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。 不明

    備考

    ただしIOCや悪用の詳細についてはFortinet社から公開されている。
    https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa

    脆弱性悪用の自動化の可否

    2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization(ステークホルダー固有の脆弱性の分類、略称SSVC)に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル(アプリケーションや機器を実環境で使っている人が対象のモデル)では脆弱性に対するAutomatable(自動化の可否)の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

    SSVC(Stakeholder-Specific Vulnerability Categorization)について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
    脆弱性診断は受けたけれど~脆弱性管理入門

    表6 2024年にKEVカタログに掲載された脆弱性の自動化可否

    自動化可否 件数
    可能 75
    不可 86
    データなし 14
    出典:https://github.com/cisagov/vulnrichmentよりデータを取得

    ランサムウェアグループの悪用が判明しているもの

    2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

    表7 ランサムウェアグループによる悪用の判明

    ランサムウェアグループの悪用 件数
    判明している 22
    不明 153

    注:
    1) CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
    2) CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
    3) https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
    およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/(2024年12月13日参照)
    4) PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
    5) 対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
    6) CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
    7) CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    【CWE TOP 25 2024年版】にみる新たなセキュリティ脅威と指針

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    最も危険なソフトウェアエラー 「CWE TOP 25」2024年版発表

    2024年11月22日、米MITREが運営するHSSEDIと米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「2024 CWE TOP 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTOP25 2024年版)」を発表しました。

    CWE TOP 25は過去1年間に報告された3万件を超える脆弱性データを分析し、深刻度や影響範囲が大きい脆弱性タイプをランク付けしたものです。セキュリティ対策の優先順位を定め、効率的にリスクを軽減するための重要な指針として注目されています。

    順位 脆弱性名 昨年順位
    1 クロスサイトスクリプティング(CWE-79) 2
    2 範囲外の書き込み(CWE-787) 1
    3 SQLインジェクション(CWE-89) 3
    4 クロスサイトリクエストフォージェリ(CWE-352) 9
    5 パストラバーサル(CWE-22) 8
    6 範囲外の読み取り(CWE-125) 7
    7 OSコマンドインジェクション(CWE-78) 5
    8 解放したメモリの使用(CWE-416) 4
    9 認可の欠如(CWE-862) 11
    10 危険なタイプのファイルのアップロード許可(CWE-434) 10
    11 コードインジェクション(CWE-94) 23
    12 不適切な入力検証(CWE-20) 6
    13 コマンドインジェクション(CWE-77) 16
    14 不適切な認証(CWE-287) 13
    15 権限管理の不備(CWE-269) 22
    16 不適切なデータ逆シリアル化(CWE-502) 15
    17 権限を持たないユーザへの機密情報の漏洩(CWE-200) 30
    18 不適切な認可(CWE-863) 24
    19 サーバーサイドリクエストフォージェリ(CWE-918) 19
    20 メモリバッファ境界内での不適切な処理制限(CWE-119) 17
    21 NULLポインター逆参照(CWE-476) 12
    22 ハードコードされた資格情報の使用(CWE-798) 18
    23 整数のオーバーフローまたはラップアラウンド(CWE-190) 4
    24 制御されていないリソース消費(CWE-400) 37
    25 重要な機能の使用に対する認証の欠如(CWE-306) 20

    出典:https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.htmlより弊社翻訳

    CWEとは

    CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。ソフトウェアやシステムに存在する脆弱性を体系的に分類・整理したデータベースであり、開発者やセキュリティ専門家が脆弱性の回避や修正を行うための知識を提供します。

    このデータベースを基に作成されたCWE TOP 25は、影響の深刻度や頻度を基準に順位付けされています。前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。

    2024年度の全体的な傾向

    2024年版のTOP25では、クロスサイトスクリプティング(XSS)が最も危険な脆弱性として1位に返り咲きました。昨年は2位だったXSSが再びトップとなったことで、この脆弱性が依然として攻撃者にとって非常に有用であり、深刻なリスクをもたらしていることが浮き彫りとなっています。さらに、範囲外メモリへの書き込みやSQLインジェクションも上位にランクインしており、依然として攻撃手段に活用されている実態が明らかになりました。これらの脆弱性はシステムへの不正アクセスやデータ漏洩を引き起こす可能性があり、引き続き厳重な警戒と対策が求められます。

    まとめ

    CWE TOP 25は、ソフトウェアセキュリティにおける脆弱性を特定し、効果的な対策を講じるための指針として機能します。開発者にとっては、脆弱性を事前に予測し、修正作業を効率化するための実用的なツールであり、セキュリティ専門家にとっては、リスク評価や診断の基準を提供します。さらに企業にとっては、このリストを活用することで、セキュリティ戦略を再構築し、組織やシステムのセキュリティ体制を強化するための基盤となります。

    CWE TOP 25が提供する洞察は、企業や組織が脆弱性を未然に防ぎ、安全なソフトウェアやシステムを構築するための重要なステップとなります。特に、攻撃の高度化が進む現代では、このリストを活用してリスクの排除や対策の強化を図ることが、企業の存続と顧客信頼の維持に直結します。CWE TOP 25をもとに、最新のセキュリティ対策を実施することが今後さらに重要になるでしょう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ネットワーク脆弱性診断とは?
    【基本編】:企業のセキュリティを強化するための対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ネットワーク脆弱性診断は、サイバー攻撃のリスクを未然に防ぐ重要な対策です。このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第1回目の今回は基本編として、ネットワーク脆弱性診断とは何か、診断項目、診断の必要性ついて解説します。本シリーズを通して、セキュリティ強化の第一歩を踏み出しましょう!

    ネットワーク脆弱性診断とは

    ネットワーク脆弱性診断とは何かを考えるとき、健康診断をイメージしてもらうと、わかりやすいでしょう。企業や組織のネットワーク環境を細かく調査し、存在するセキュリティ上の弱点や欠陥を特定し、改善策を提案します。近年、サイバー攻撃の手法が高度化・巧妙化しており、ネットワークの脆弱性を放置すると、情報漏洩やシステムダウンといった重大な被害を招く可能性があります。ネットワーク脆弱性診断を実施することで、未然にリスクを発見し、適切な対策を講じることが可能となります。

    実施による効果

    ネットワーク脆弱性診断は、専門の知識やツールを備えたセキュリティエンジニアが、ネットワーク内の機器やシステムに潜む脆弱性を洗い出す作業です。具体的には、「古いソフトウェアの使用」、「不適切な設定」、「不十分なアクセス制御」などを検出します。これにより、攻撃者が悪用する可能性のある脆弱性を明らかにし、組織のセキュリティレベルを向上させることができます。

    診断対象範囲

    ネットワーク脆弱性診断の対象範囲は多岐にわたります。主な対象は以下の通りです。

    • ネットワーク機器:ルータ、スイッチ、ファイアウォールなど
    • サーバ:ウェブサーバ、データベースサーバ、メールサーバなど
    • システム:オペレーティングシステム、アプリケーションソフトウェア
    • IoTデバイス:ネットワークに接続された各種デバイス

    これらの機器やシステムが適切に保護されていない場合、ネットワークセキュリティ全体の低下を招き、攻撃の入口となることでサイバーリスクに繋がる可能性があります。

    ネットワーク脆弱性診断の診断項目

    ネットワーク脆弱性診断では、多角的な視点からセキュリティリスクを評価します。以下が診断項目の主な例になります。

    診断項目 主な例
    ホストのスキャン ・TCP、UDP、ICMPでのポートスキャン
    ・実行中のサービスの検出
    ネットワークサービスの脆弱性 ・DNSに関する調査
    ・メールサーバに関する調査
    ・FTPに関する調査
    ・RPCに関する調査
    ・ファイル共有に関する調査
    ・SNMPに関する調査
    ・SSHサーバに関する調査
    ・データベースサーバに関する調査
    ・その他サービスに関する調査
    Webサーバの脆弱性 ・Webサーバの脆弱性
    ・Webアプリケーションサーバの脆弱性
    ・許可されているHTTPメソッド
    各種OSの脆弱性 ・Windowsの既知の脆弱性
    ・Solarisの既知の脆弱性
    ・各種Linuxディストリビューションの既知の脆弱性
    ・その他各種OSの既知の脆弱性
    悪意あるソフトウェア ・バックドアの調査
    ・P2Pソフトウェアの調査
    ネットワーク機器の脆弱性 ・各種ルータ機器の既知の脆弱性
    ・各種ファイアウォール機器の既知の脆弱性
    ・その他各種ネットワーク機器の既知の脆弱性
    その他 ・その他ホスト全体の調査

    弊社株式会社ブロードバンドセキュリティのSQAT® ネットワーク脆弱性診断サービスでは、上記の表にある診断項目のほか、お客様のご希望に応じて、「サービス運用妨害(DoS)攻撃」「総当り(Brute Force)攻撃」なども実施しています。

    弊社のネットワーク脆弱性診断サービスについての詳細や無料相談は、以下のサービスページ内のお問い合わせフォームからお問い合わせください。

    ネットワーク脆弱性診断サービスリンクバナー
    サービス紹介動画(WEBアプリケーション/
    ネットワーク脆弱性診断)

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    ツール診断

    ツール診断は、自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする手法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。ただし、自動化ツールでは検出できない複雑な脆弱性が存在する場合もあるため、ツール診断だけで高いレベルのセキュリティを確保することは難しいのが現状です。

    ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多くありますが、その結果を専門家の目で補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

    CPEサービスリンクバナー
    サービス紹介動画
    (デイリー自動脆弱性診断診断)

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    手動診断

    手動診断は、専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。手動診断は時間とコストがかかるものの、より深いレベルでの脆弱性診断が可能となります。

    ネットワーク脆弱性診断の種類

    ネットワーク脆弱性診断は、その実施方法により大きく二つに分類されます。

    リモート診断

    リモート診断は、外部からネットワークに接続し、遠隔で脆弱性診断を行う方法です。この手法のメリットは、物理的な場所に依存せず、迅速に診断を開始できる点です。インターネット経由でアクセス可能な部分についてのセキュリティ評価に適しています。ただし、内部ネットワークの詳細な診断には限界があるため、内部からの攻撃リスクを完全に評価することは難しいです。

    オンサイト診断

    オンサイト診断は、セキュリティエンジニアが実際に現地に赴き、ネットワーク内部から診断を行う方法です。内部ネットワークの全体像を把握し、詳細なセキュリティ評価が可能です。物理的なセキュリティや、内部システム間の通信の安全性など、リモート診断では見落としがちな部分もチェックできます。ただし、スケジュール調整や移動に時間がかかる場合があります。

    弊社のネットワーク脆弱性診断サービスについての詳細や無料相談は、以下のサービスページ内のお問い合わせフォームからお問い合わせください。

    ネットワーク脆弱性診断サービスリンクバナー

    なぜネットワーク診断が必要なのか

    ネットワーク診断が必要な理由は、主に以下のような点にあります。

    情報資産を守るため

    CIA説明画像

    情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守る上で、脆弱性診断は重要です。

    「機密性」…限られた人だけが情報に接触できるように制限をかけること。
    「完全性」…不正な改ざんなどから保護すること。
    「可用性」…利用者が必要なときに安全にアクセスできる環境であること。

    これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせません。

    情報セキュリティ事故を未然に防ぐため

    攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

    サービス利用者の安心のため

    パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない昨今、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

    まとめ

    ネットワーク脆弱性診断は、現代のビジネスにおいて不可欠なセキュリティ対策の一つです。ネットワーク機器やサーバ、システムに潜む脆弱性を早期に発見し、適切な対策を講じることで、サイバー攻撃から組織を守ることができます。ツール診断と手動診断を組み合わせ、リモート診断やオンサイト診断を適切に選択することで、効果的なセキュリティ強化が可能です。ネットワーク診断を実施し、組織全体のセキュリティレベルを向上させましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像