#ネットワーク

2025年2月28日2025年3月10日

脆弱性診断の基礎と実践！
手動診断とツール診断の違いを徹底解説　
第1回：手動診断のメリットとは？

脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点（脆弱性）を特定する検査手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第1回として、脆弱性診断の手法の一つである「手動診断」のメリットや適用すべきケースを解説します。

第2回「ツール診断のメリットとは？」はこちら

脆弱性診断とは？

脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点（脆弱性）を特定する検査手法です。サイバー攻撃のリスクを最小限に抑えるために、企業が実施するべきセキュリティ対策の一つとされています。

セキュリティ対策としての脆弱性診断の重要性

近年、サイバー攻撃は巧妙化・多様化しており、企業のシステムやWebサービスが標的になるケースが増えています。攻撃者は、脆弱性を悪用して不正アクセスを試みたり、情報を窃取したりするため、事前に脆弱性を発見し、適切な対策を行うことが重要です。特に、以下の理由から脆弱性診断の実施が推奨されています。

データ漏えいの防止：個人情報や機密データの流出を防ぐ
サービスの継続性を確保：システム停止や改ざんを未然に防ぐ
法令・ガイドラインの遵守：情報セキュリティに関する規制対応（ISMS、NIST、PCI DSS など）
企業の信頼性向上：セキュリティ対策の強化によるブランド価値の維持

脆弱性診断の一般的な手法

脆弱性診断には、主に以下の2つの手法があります。

1.ツール診断（自動診断）

脆弱性診断ツールを使用し、自動でシステムのセキュリティをチェック
短時間で広範囲を診断でき、コストを抑えやすい
ただし、誤検出や一部検査できない項目もある

2.手動診断（セキュリティエンジニアによる診断）

専門家がシステムの動作やコードを解析し、精密な診断を行う
網羅的な範囲での診断ができる
高精度な診断が可能だが、コストと時間がかかる

このように、脆弱性診断は企業のセキュリティ対策の基盤となる重要な取り組みであり、ツール診断と手動診断を適切に組み合わせることで、より効果的な対策が実現できます。

手動診断とは？

手動診断とはセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。一般的な診断ツールでは検出しにくい複雑な脆弱性や攻撃手法にも対応できるため、より高精度な診断が可能になります。

手動診断の一般的な実施プロセス

手動診断の一般的な実施プロセスは以下のとおりです。

1.事前調査・ヒアリング

対象システムの構成や使用技術、セキュリティ要件を確認
想定される脅威シナリオの洗い出し

2.情報収集

システムの公開情報や利用可能なエントリポイントの特定
OSやミドルウェア、アプリケーションのバージョン情報を分析

3.手動テスト・脆弱性の特定

システム固有の処理に基づく攻撃シナリオの検証
ツールでは検出が難しい脆弱性（例：権限昇格、認証回避、APIの悪用）の発見

4.診断結果の分析とレポート作成

発見された脆弱性のリスク評価（重大度の分類）
具体的な対策案を含めたレポート作成

5.フィードバックと改善提案

お客様に診断結果を共有し、改善策を提案。必要に応じて再診断を実施

手動診断のメリット

手動診断を実施するメリットは、特に以下の3つの点があります。

1.高精度な診断が可能（ツール診断では見落としがちな脆弱性も発見できる）

自動ツールでは検出が難しい複雑な脆弱性やシステム固有のセキュリティリスクを特定できるのが、手動診断の大きな強みです。ツール診断はパターンマッチングやシグネチャベースでの診断が主ですが、手動診断では環境に応じた柔軟なテストが可能です。例えば、認証バイパスや権限昇格などの一部の脆弱性は、手動診断でないと見つけにくいケースが多くあります。

2.システム固有の処理を考慮した診断が可能（攻撃者視点でのリスク分析）

攻撃者がどのような手法でシステムを侵害できるかを想定し、システム固有の脆弱性を考慮した診断が可能です。例えば、Eコマースサイトでは、カート機能を悪用した決済の不正操作、ログイン処理の回避、注文金額の改ざんなどのシステム固有の処理に存在する脆弱性が狙われます。このような攻撃パターンは、ツールでは自動検出が困難です。企業のシステムに対する実際の攻撃手法を再現し、攻撃者視点でリスクを洗い出すことで、より実践的な対策が可能になります。

3.診断結果の詳細なレポートと具体的な改善策の提示

手動診断では、単に脆弱性の有無を報告するだけでなく、診断結果の詳細な分析と、具体的な改善策の提案が可能です。

脆弱性のリスク評価
発見された脆弱性に対して、攻撃が実際に実行された場合の影響度を評価し、対応の優先度を明確にします。これにより、企業がどの対策を優先すべきか判断しやすくなります。
システムに適した改善策の提案
対象システムの構造や運用に最適な対応策を提示できます。
組織のセキュリティレベル向上に貢献
診断後のレポートを活用することで、企業の開発・運用チームがセキュリティ意識を高め、今後のリスク管理をすることに役立ちます。

セキュリティエンジニアによる分析の重要性

手動診断が有効な理由は、セキュリティエンジニアの専門知識と攻撃者視点の分析が加わることで、より実践的な脆弱性の発見が可能になるためです。コストや時間がかかるものの、企業の重要なシステムや高度なセキュリティ対策が求められる環境では、不可欠な診断手法といえます。

手動診断が適しているケース

手動診断は特に以下のケースで実施が推奨されます。

1.Webアプリケーションやシステムの重要な部分を診断したい場合

企業の基幹システムやWebアプリケーションは、ビジネスに直結する重要な資産であり、セキュリティの脆弱性が重大な被害につながる可能性があります。手動診断を行うことで、攻撃者の視点から脆弱性を洗い出し、リスクを最小限に抑えることができます。ミッションクリティカルなシステム（決済システム、顧客管理システム（CRM）、医療情報システム）など、情報漏えいや不正アクセスの影響が大きいシステムにも最適です。

2.ツール診断では対応できない複雑な脆弱性を特定したい場合

ツール診断は一般的な脆弱性をスキャンするのに適していますが、攻撃者が巧妙に悪用するような複雑な脆弱性の検出には限界があります。手動診断では、ツールでは見つけられない高度な攻撃パターンを想定して診断を行うことができます。

ツール診断では発見しにくい脆弱性の例
・システム固有の処理の不備（例：注文金額の改ざん、認証バイパス、不正送金）
・認証・認可の欠陥（例：権限昇格、APIの不正利用、セッション管理の不備）
・ゼロデイ攻撃のリスク評価（ツールでは未知の脆弱性を検出できない）
手動診断が有効なケース
・ツール診断の結果に基づき、より詳細な調査が必要な場合
・重大な脆弱性が懸念されるシステムで、ツールの誤検出や見落としが心配な場合

3.企業独自のシステムに合わせたセキュリティ診断が必要な場合

標準化された診断ツールは、広く一般的な脆弱性を検出するのに適していますが、企業が開発した独自システムの仕様に依存する一部の脆弱性の検出はできません。手動診断では、個々の企業システムに合わせた診断も可能です。

特定の業界や業務フローに依存するシステム
・金融機関のオンラインバンキングシステム
・ECサイトのカート・決済フロー
・医療機関の電子カルテシステム
企業のポリシーに基づいたカスタム診断
・企業独自のセキュリティ要件に基づいた診断が可能
・企業の内部プロセスを考慮したセキュリティ評価ができる

手動診断を実施する際の注意点

手動診断を実施する際にはいくつかの注意点があります。特に、コストや診断期間の確保について事前に理解しておくことが重要です。

1.コストが高くなる傾向がある

手動診断は専門のセキュリティエンジニアが個別に対応するため、ツール診断と比較してコストが高くなりやすいという特徴があります。なぜコストが高くなるのでしょうか。

エンジニアの専門知識と経験が必要
・セキュリティの専門家がシステムの構造や処理を分析し、最適な攻撃シナリオを考慮するため、人件費がかかる。
診断範囲に応じた工数が発生
・大規模なシステムや複数のアプリケーションを対象にする場合、診断工数が増え、それに伴いコストも上昇。
カスタム診断が必要な場合は追加費用が発生
・企業独自のシステムや特殊な環境（IoT、クラウド環境、APIなど）の診断には、標準的な診断手法ではカバーできないケースがあり、追加費用が必要になることも。

2.診断に時間がかかる（スケジュールの確保が必要）

手動診断は、対象システムの規模や複雑さに応じて診断期間が長くなる傾向があります。企業の規模によっては数週間～数か月程度かかる場合もあるため、診断を実施する際は、事前に十分なスケジュールを確保することが重要です。

まとめ

手動診断はセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。診断結果はレポートとして具体的な改善策を提示し提供されるため、企業のセキュリティレベル向上に貢献します。ただし、コストが高く、診断には時間がかかるため、ツール診断と組み合わせることで、効率的かつ精度の高いセキュリティ対策が可能になります。企業のシステムやWebアプリの重要な部分を守るためには、ツール診断と手動診断を上手く組み合わせて実施することが有効です。

Security Report TOPに戻る
TOP-更新情報に戻る

―第2回「ツール診断のメリットとは？」はこちら―
―第3回「手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方」はこちら―

2025年2月5日2025年2月19日

【徹底解説】
日本航空のDDoS攻撃被害の実態と復旧プロセス

contents

概要

2024年12月26日、日本航空（JAL）はDDoS攻撃を受け、国内外のフライトで大規模な遅延が発生。国内線60便、国際線24便で30分以上の遅延が生じ、最大4時間2分の遅延が報告されました。攻撃はネットワーク機器への大量データ送信による過負荷が原因で、飛行計画や貨物重量計算システムが通信不能となりました。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「Dos攻撃とは？DDos攻撃との違い、すぐにできる3つの基本的な対策」

DDoS攻撃とは？

DDoS攻撃とは、攻撃者が複数のコンピューターを利用し、標的のシステムに大量のデータを送りつけることでサービスを妨害する手法です。特に航空業界では、この攻撃が深刻な影響を及ぼすことがあります。日本航空（JAL）に対する攻撃もその一例であり、システムに過負荷をかけ、正常な運用を妨げました。

攻撃の詳細

このDDoS攻撃は、2024年12月26日午前7時24分に発生しました。この時間帯は多くのフライトが運航するピーク時であり、影響は甚大でした。日本航空（JAL）は、攻撃発生時に多くの乗客が移動中であったため、システムの混乱がさらに深刻化したと報告しています。DDoS攻撃の結果、JALの一部システムが一時的に停止し、フライトの遅延が発生しました。具体的には、国内線24便が30分以上遅延し、多くの乗客に影響を与えました。

システム復旧の過程

日本航空（JAL）は、発生したDDoS攻撃により、システムの不具合や航空券販売の停止、フライトの遅延などの影響を受けました。年末の繁忙期に多くの乗客が影響を受ける中、専門のサイバーセキュリティチームが迅速に対応し、ネットワークの一時遮断と復旧作業を実施。数時間でシステムは正常化し、フライトの安全性にも影響はありませんでした。復旧後、JALはセキュリティ対策を強化し、最新の防御技術を導入するとともに、従業員のサイバーセキュリティ教育を推進。今後の攻撃リスクを軽減し、乗客の安全確保を目指しています。

DDoS攻撃に対する今後の予防策

多要素認証の導入
システムへのアクセス制限を強化し、不正アクセスを防止する
定期的なネットワークのストレステスト
脆弱性を早期に発見し、攻撃時の影響を最小限に抑える
サイバーセキュリティ意識の向上
スタッフへの定期的なトレーニングや演習を実施し、攻撃の兆候を早期に察知できる体制を整備する
インシデント対応計画の見直しと更新
攻撃発生時の役割分担や連絡体制を明確化し、シミュレーションを通じて計画の実効性を確認する
過去の攻撃事例の分析と対策の最適化
これまでの攻撃事例を検証し、より効果的な防御策を導入することで業務の継続性を確保する

これらの対策を実施することで、DDoS攻撃のリスクを軽減し、システムの安全性を高めることができます。

まとめ

今回の事件は、日本のサイバーセキュリティの脆弱性を浮き彫りにし、航空業界全体における防御強化の必要性を示しました。今後、日本は国際的な協力を強化し、より強固なサイバーセキュリティ対策を講じることが求められます。今回の事件を教訓に、防御策の強化が急がれています。

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月12日（水）14:00～15:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

2025年2月19日（水）14:00～15:00
「Web担当者に求められる役割とは？Webサイトのガバナンス強化とセキュリティ対策を解説」

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

最新情報はこちら

2025年1月31日2025年2月3日

ネットワーク脆弱性診断とは？
【応用編】：企業のセキュリティを守る重要な対策

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。最終回となる第3回目は応用編として、企業が直面するネットワークのセキュリティ課題について、事例とともに紹介します。最後に、ネットワーク脆弱性診断の実施メリットや適切なサービス選びのポイントを解説します。

企業が直面するネットワークセキュリティの3つの課題

近年、企業ネットワークに対する攻撃はますます高度化・多様化しており、外部からのサイバー攻撃だけでなく、内部要因によるセキュリティリスクも増加しています。企業が直面しがちなセキュリティ課題について主な例を紹介します。

外部からの攻撃
外部からのサイバー攻撃は、組織にとって最大の脅威の一つです。例えば、ランサムウェア攻撃によって重要なデータが暗号化され、多額の身代金を要求される事例が増加しています。また、DDoS攻撃によってウェブサイトやシステムが停止し、業務継続に支障をきたすケースもあります。

内部脅威（内部者の不正行為、設定ミス）
内部者による不正行為や設定ミスも深刻な課題です。例えば、従業員が意図せず機密情報を漏洩したり、不適切なシステム設定が攻撃者に侵入の隙を与えたりするケースもあります。特に、クラウドサービスの設定ミスは外部から気づかれにくいため、重大な被害を引き起こすことがあります。

ハイブリッド環境における複雑な管理
クラウドとオンプレミスのシステムが共存するハイブリッド環境では、ネットワークの複雑さが増し、セキュリティ管理が難しくなっています。例えば、クラウド環境でのアクセス制御ミスや、オンプレミス環境の古いシステムに未適用のセキュリティパッチが攻撃の入り口となることがあります。

これらのセキュリティ課題を放置してしまうと、情報漏洩や業務停止といった直接的な損害だけでなく、顧客や取引先の信頼を失うという長期的な影響も避けられません。これらの課題に適切に対応するためには、ネットワーク環境全体の脆弱性を把握し、的確な対策を講じることが不可欠です。

ネットワーク脆弱性のリスクとは？古いOSやソフトウェア使用の危険性

企業のネットワーク環境で脆弱性が放置されていると、攻撃者に侵入されるリスクが高まります。よく知られるネットワークの脆弱性カテゴリの例は以下の通りです。

古いソフトウェアやOS
サポートが終了したOSや古いバージョンのソフトウェアを使用していると、攻撃者が既知の脆弱性を悪用し、システムに侵入するリスクが高まります。

デフォルト設定や弱いパスワード
ネットワーク機器やアプリケーションがデフォルト設定のままだと、攻撃者が簡単に侵入できる可能性があります。また、『123456』や『password』のように単純な文字列で構成されたパスワードは、総当り（Brute-Force）攻撃の成功率を高めます。

ネットワークの脆弱性を悪用した攻撃事例

ネットワークの脆弱性を悪用した攻撃は、世界中で多くの企業に甚大な影響を与えています。ここでは、実際に起きた攻撃事例の情報が掲載されているサイトの一部をご紹介します。

ランサムウェア攻撃の事例
近年、企業で最も被害件数が増えているサイバー攻撃はランサムウェア攻撃です。ランサムウェアは、個人情報や企業の機密情報などの重要なデータを暗号化することによって、被害者に深刻な損害をもたらします。
【2025年最新】国内外におけるランサムウェアの被害企業一覧とその実態
参考：https://cybersecurity-jp.com/contents/data-security/1612/

DDoS攻撃の事例
【2024年版】国内DDoS攻撃被害企業の例
参考：https://act1.co.jp/column/0125-2/

SQAT.jpでは以下の記事でDoS攻撃・DDoS攻撃に関する情報をご紹介しています。こちらもあわせてご覧ください。
「DoS攻撃とは？DDoS攻撃との違い、すぐにできる3つの基本的な対策」

攻撃者は依然として、セキュリティがあまいシステムを狙っているため、隙をつくらないよう事前に防御しておきたいところです。ネットワーク脆弱性診断を定期的に実施することで、潜在的なリスクを早期に発見し、被害を未然に防ぐことができます。次の項目で、ネットワーク脆弱性診断実施によるメリットについて具体的に紹介します。

ネットワーク脆弱性診断実施によるメリット

ネットワーク脆弱性診断を実施することで得られるメリットは大きく分けて以下の3つになります。

攻撃リスクの低減
ネットワーク脆弱性診断を実施することで、サーバやネットワーク機器、端末などに対する攻撃リスクを大幅に低減できます。ネットワーク脆弱性診断では、情報漏洩やデータ改ざんの原因となるセキュリティホール、構成ミス、OSやミドルウェア、サーバソフトウェアの未適用パッチを事前に特定することによって、どのように対策を講じればよいかがみえてきます。これにより、サイバー攻撃のリスクを未然に防ぎ、ビジネス継続性を確保します。結果的に企業全体のセキュリティレベルが向上するため、自組織がサイバー攻撃の対象となる機会を減らし、安心して業務を進められる環境を整えることができます。

顧客・取引先からの信頼向上
顧客や取引先に対し、情報資産を守るための積極的な姿勢をアピールすることで、信頼度が向上します。診断の実施は、セキュリティコンプライアンスの基準を満たすことにも寄与し、パートナー企業や規制当局からの信頼性を確保します。結果的に、安心感を提供することで取引関係の強化や新規顧客獲得のチャンスを広げ、企業成長を後押しします。

セキュリティ対策コストの削減
ネットワーク脆弱性診断は、長期的な視点で考えると、セキュリティ対策コストを削減する効果があります。診断を通じて、リスクの優先順位を明確化し、効果的かつ効率的な対策を講じることで、不要な出費を回避できます。例えば、全てのシステムやデバイスに無差別に対策を施すのではなく、本当に必要な部分にのみリソースを集中させることが可能です。また、診断の結果をもとに適切な運用改善やセキュリティツールの選定を行うことで、運用コストを最適化します。さらに、セキュリティインシデント発生時の対応コストや業務停止による損失を未然に防ぐことにもつながります。

定期的な脆弱性診断の実施の重要性

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステムの特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

脆弱性診断サービスの選び方

脆弱性診断サービスを選ぶ際には、信頼性と効果的な診断を提供できるベンダーを選定することが重要です。選定時に注目すべきポイントをご紹介します。

ベンダーの実績確認
まず、ベンダーの実績を確認することが大切です。過去に同業種の企業での診断経験があるか、セキュリティに関する認定資格を持つ専門家がいるかを確認しましょう。例えば、独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティサービス基準適合サービスリスト」には、経済産業省が策定した「情報セキュリティサービス基準」に適合した信頼性の高い事業者のサービスが掲載されています。また、顧客レビューや導入事例の有無も信頼性を判断するポイントです。

診断範囲やツールの使用状況
提供される診断範囲や使用ツールを確認しましょう。ネットワーク、アプリケーション、クラウド環境など、対象範囲が自社のセキュリティニーズに合致していることが重要です。また、自動診断ツールと手動診断を組み合わせたサービスは、より精度の高い結果が期待できます。

コストパフォーマンスとアフターサポート
コストパフォーマンスも重要なポイントです。見積もり金額だけでなく、診断後のレポート作成や改善提案、アフターサポートが充実しているかを確認しましょう。一時的な診断だけでなく、継続的なサポートを提供しているベンダーは、長期的なセキュリティ向上に貢献します。

また、選定時は価格だけで判断せず、サービス内容やサポート体制も慎重に検討しましょう。診断結果が形骸化しないよう、実行可能な改善提案を行うベンダーを選ぶことも重要です。

適切な脆弱性診断サービスを選ぶことで、ネットワークのセキュリティリスクを大幅に軽減できます。弊社ブロードバンドセキュリティが提供するSQAT脆弱性診断サービスでは、診断範囲の柔軟なカスタマイズや専門家によるサポートを提供しています。詳細はこちらをご覧ください。

SQAT脆弱性診断サービスの優位性

SQAT®（Software Quality Analysis Team）サービスは「システムの弱点をあらゆる視点から網羅する」「正確かつ客観性の高いレポートをする」「お客様にわかりやすく説明する」が特徴です。お客様は、すべての問題部位と脆弱性のポイントの把握、リスクに対する明確な理解、具体的な対策立案のヒントを得ることが出来ます。

SQAT脆弱性診断サービスの特長

外部からの脆弱性診断のみご提供するのではなく、様々な情報セキュリティ対策の観点からサービス・ソリューションを組み合わせ、お客様にとって最適解をご提案するのが、SQAT脆弱性診断サービスの特徴です。

まとめ

ネットワーク脆弱性診断は、企業のセキュリティを守るために不可欠な対策の一つです。本記事では、外部攻撃、内部脅威、ハイブリッド環境の管理の複雑さという主要なセキュリティ課題を解説しました。特にランサムウェアやDDoS攻撃の事例では、情報漏洩や業務停止など深刻な被害が発生しています。脆弱性診断を実施することで、未適用パッチや設定ミスなどを特定し、サイバー攻撃のリスクを低減させることが可能です。また、定期的な診断は顧客や取引先の信頼向上にも寄与し、長期的にはコスト削減や効率的なリソース配分に繋がります。診断サービス選定時には、ベンダーの実績、診断範囲、コストパフォーマンス、アフターサポートの確認が重要です。特に弊社のサービスである、SQAT脆弱性診断サービスは柔軟な診断範囲や専門家のサポートを特徴とし、企業のセキュリティ強化を総合的に支援します。定期的な診断の実施で潜在リスクを早期発見し、セキュリティレベル向上を図りましょう。

Security Report TOPに戻る
TOP-更新情報に戻る

2025年1月20日2025年1月21日

ネットワーク脆弱性診断とは？
【実践編】：実施の手順・診断ツールの効果的な選定ポイントを解説

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第2回目の今回は実践編として、ネットワーク脆弱性診断のステップ、NessusやOpenVASなどの脆弱性診断ツールの比較、選定ポイントについて解説します。セキュリティ強化に役立つ情報満載です！

ネットワーク脆弱性診断のプロセス

脆弱性診断は、情報システムやアプリケーションに存在するセキュリティ上の欠陥を特定し、リスクを軽減するための重要なプロセスです。以下は、脆弱性診断の一般的な流れです。

事前準備および調査

診断対象の特定
どのシステムやアプリケーションを診断するかを決定します。これには、Webアプリケーション、サーバ、ネットワーク機器などが含まれます。
診断範囲確定
診断する機能や画面遷移を洗い出し、重要な部分に焦点を当てます。これにより、コストや時間を効率的に管理できます。

診断実施

ツールを用いたスキャン
自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする方法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。
エンジニアによる手動診断
専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。

リスク分析

検出された脆弱性について、その深刻度や影響度を評価します。過去のデータ・最新の脅威動向および各種国際標準（例: CVSS等）を踏まえたリスク分析を実施します。

診断結果のレポート作成（対応策の提示）

発見された脆弱性の詳細、再現手順、および推奨される対策を含む報告書を作成します。この報告書は関係者に提供され、必要な対策が講じられる基礎となります。

フォローアップ

再診断:レポートの結果により、対処が必要な脆弱性の部分において修正が加えられたあと、再度その部分の診断を行い、脆弱性が適切に対処されたか確認します。また、必要に応じて追加のサポートやアドバイスも提供されます。

この流れは一般的なものであり、具体的なプロセスは組織やシステムによって異なる場合があります。

セキュリティ専門企業によるセキュリティ診断

外部のセキュリティ専門企業に脆弱性診断を依頼した場合は、まず事前準備や調査において、診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。診断が終了するとベンダーからレポートが提供されます。レポートに記載された脆弱性には深刻度や影響度などがスコア化されていることがあります。そのレポートをもとに、内容に応じて優先度をつけて、問題のある箇所を対処していきます。また、必要に応じて報告会が行われることもあります。

脆弱性診断ツールの例

脆弱性診断ツールは、システムやネットワーク内のセキュリティ上の弱点を検出し、未然にリスクを防ぐための重要な役割を果たします。以下に代表的なツールを紹介します。

Nessus
Nessusは、Tenable社が提供する商用の脆弱性スキャナで、ネットワーク機器やサーバ、アプリケーションに存在する脆弱性を高精度で検出します。ユーザーフレンドリーなインターフェースと定期的な脆弱性データベースの更新により、最新の脅威にも対応可能です。多様なプラグインを活用して、幅広い診断が行える点も特徴です。ただし、商用ツールのため、導入や運用にはコストがかかります。
OpenVAS
OpenVASは、オープンソースの脆弱性診断ツールで、無料で利用可能です。高い拡張性と柔軟性を持ち、コミュニティによる継続的なアップデートで最新の脆弱性情報にも対応しています。多様なスキャン設定が可能で、カスタマイズ性に優れています。一方、設定や運用には専門的な知識が求められるため、導入時には適切な人材の確保が重要です。
Burp Suite
Burp Suiteは、PortSwigger社が開発したWebアプリケーションのセキュリティテストに特化したプラットフォームです。ユーザがブラウザからWebアプリケーションにアクセスしたとき、サーバに対するリクエストとレスポンスを分析することで脆弱性を診断します。無料版と有料版があり、無料版でも十分な機能を持っているため、世界中で利用されています。

効果的な診断ツールの選び方

ツールを選ぶ際には、以下の点を考慮することが重要です。

コスト
初期費用やランニングコストを比較検討し、予算に合ったツールを選択します。ツールには無料版と有料版が存在し、それぞれ機能やサポート体制が異なります。無料版は初期費用がかからない反面、機能が限定されている、サポートが受けられないといった場合があります。一方、有料版は充実した機能とサポートを提供しますが、導入コストが発生します。自社の予算や必要な機能を明確にし、費用対効果を検討することが重要です。
スキル
ツールの操作性や必要な専門知識も選定時の重要な要素です。専門人材がいる場合は、高度な設定やカスタマイズが可能なツールを選ぶことで、より詳細な診断が可能です。一方、専門知識が乏しい場合は、ユーザーフレンドリーで操作が簡単なツールを選ぶと、効果的に活用できます。ツールの操作性やサポート体制を確認し、自社の人材スキルに適したものを選びましょう。
診断範囲
診断対象の規模や範囲もツール選定の際に考慮すべきポイントです。大規模なネットワークや複数のWebサイトを管理している場合、診断範囲が広く、同時に複数の診断が可能なツールが適しています。また、将来的な拡張性も視野に入れ、スケーラビリティの高いツールを選ぶことで、長期的な運用がスムーズになります。診断範囲や項目が自社のニーズに合致しているかを確認しましょう。

これらのポイントを総合的に評価し、自社の要件に最適な脆弱性診断ツールを選定することが、効果的なセキュリティ対策につながります。

まとめ

脆弱性診断は、情報システムやアプリケーションのセキュリティリスクを特定し、軽減するための重要なプロセスです。まず事前調査で診断対象と範囲を確定し、Webアプリやサーバ、ネットワーク機器に焦点を当てます。診断では、ツールを使ったスキャンで既知の脆弱性を迅速に検出し、エンジニアが手動でツールでは見つけられない複雑な問題を特定します。次に、検出した脆弱性の深刻度や影響度を評価し、CVSSなど国際標準に基づいたリスク分析を実施します。結果はレポートとしてまとめ、再現手順や対策が示されます。修正後には再診断を行い、対策が有効か確認し、必要に応じて追加のサポートも提供されます。外部ベンダーに依頼する場合も、事前調査からレポート提供までの流れは同様です。代表的な診断ツールには、商用のNessus、オープンソースのOpenVAS、Web診断向けのBurp Suiteがあり、それぞれ特性が異なります。ツール選定では、コスト、操作スキル、診断範囲を考慮し、自社に適したものを選ぶことが効果的なセキュリティ対策に繋がります。

Security Report TOPに戻る
TOP-更新情報に戻る

2024年12月27日2025年1月9日

2024年のサイバーセキュリティ振り返り
-KEVカタログが示す脆弱性の実態-

米サイバーセキュリティ・社会基盤安全保障庁（Cybersecurity and Infrastructure Security Agency、以下CISA）が2021年から公開しているKEVカタログ（Known Exploited Vulnerabilities Catalog）は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

※本記事で扱うKEVカタログの情報は2024年12月10日（アメリカ現地時間付け）のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。（参考：2023年1月～12月…187件）

KEVカタログに登録された脆弱性の概要

KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

表1　CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

米国以外での悪用実態の反映

2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の２件です。

CVE-2023-28461：Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
KEVカタログ登録日：2024年11月25日
JPCERT/CC注意喚起（2023年9月22日発行）:https://www.jpcert.or.jp/at/2023/at230020.html

SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告：ArrayOS AG における深刻な脆弱性 CVE-2023-28461」

CVE-2023-45727：North Grid ProselfのXML外部エンティティ（XEE）参照の不適切な制限の脆弱性
KEVカタログ登録日：2024年12月3日
JPCERT/CC注意喚起（2023年10月26日発行）:https://www.jpcert.or.jp/at/2023/at230022.html

2024年11月にトレンドマイクロが公開したブログ*1では上記２件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

CVE-2024-11667：Zyxelの複数ファイアウォールのパストラバーサル脆弱性
KEVカタログ登録日：2024年12月3日
独Bundesamt für Sicherheit in der Informationstechnik（以下BSI）による注意喚起（2024年11月22日発行）※ドイツ語:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf?__blob=publicationFile&v=3

なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

ベンダ別登録数

2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

図1　KEVカタログベンダ別登録数（一部）

なぜMicrosoftの登録数が多いのか

Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94％となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア（ランサムウェア含む）を配置し、自身の目的（金銭や情報の窃取など）を達成することができます。

一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性（主にゼロデイ）となります。

Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
「Active Directoryを侵害から守るためのガイド」

Windows OSの脆弱性：古いテクノロジーの残存

Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性（EdgeにおけるIEモードのサポート）の維持の目的で最新のOSでも残存しています。

事例：CVE-2024-43573：Windows MSHTMLの脆弱性

MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

図2　CVE-2024-43573：Windows MSHTMLの脆弱性

その他登録数上位のベンダ

2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの５社になります。各ベンダについては以下をご参照ください。


ベンダ名	説明
Ivanti	旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
Android	Android OSなどを提供する米国Google社内のAndroid Open Source Project
D-Link	台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
Palo Alto Networks	ファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
VMware	ハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

製品タイプ別登録数

2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています（40件、23%）。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も３位となっています（15件、9%）。そしてインフラストラクチャ管理製品が全体の10%（２位、18件）、エンドポイント管理製品が6%（４位、11件）を占めています。

図3　製品タイプ別KEVカタログ登録数

インフラストラクチャ管理製品の悪用

インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用


対象製品	CVE	CWE	自動化
FortiManager	CVE-2024-47575*3	CWE-306 重要な機能の使用に対する認証の欠如	不可
PAN-OSの管理インターフェース	CVE-2024-0012*4	CWE-306 重要な機能の使用に対する認証の欠如	可
	CVE-2024-9474*5	CWE-77 OSコマンドインジェクション	不可


製品	製品概要	攻撃の概要注 3)	攻撃者
FortiManager	Fortinet製品の統合管理用のアプライアンス	・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得・脅威アクターのデバイスをFortiManagerに登録	不明備考 IOCなどはこちらを参照。 https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
PAN-OSの管理インターフェース	PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。	・WebShell（難読化）を使用して管理者権限を奪取・管理アクションの実行や設定改ざん、特権昇格など	不明備考 IOCなどはこちらを参照。 https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

ITアセット統合管理ツールの脆弱性悪用


対象製品	CVE	CWE	自動化
CyberPersons Cyber Panel	CVE-2024-51378*6	CWE-276 不適切なデフォルトパーミッション	可
VMware vCenter Server	CVE-2024-38812	CWE-122 バッファオーバーフロー	可
	CVE-2024-38813	CWE-250 不要な特権による実行	不可
		CWE-273 削除された特権に対する不適切なチェック	不可


製品	製品概要	攻撃の概要	攻撃者
CyberPersons Cyber Panel	オープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できる	ミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7	Helldownランサムウェア*8
VMware vCenter Server	vSphereシリーズの大規模仮想化環境の運用管理支援ツール	vCenter Server v7.0で導入されたPlatform Services Controller（PSC）によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9	不明

EOL製品への対応

ここでEnd-of-Life（サポート終了期限）と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL（End-of-Life、製品サポート終了）を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

表2　2024年にKEVカタログに登録されたD-Link製品と推奨対策


対象製品	CVE	KEVカタログ登録日	推奨対策
DIR-820	CVE-2023-25280	2024年9月30日	買い替え
DIR-600	CVE-2014-100005	2024年5月16日	買い替え
DIR-605	CVE-2021-40655	2024年5月16日	買い替え
複数のNAS製品注 5)	CVE-2024-3272	2024年4月11日	買い替え
	CVE-2024-3273	2024年4月11日	買い替え
DSL-2750B	CVE-2016-20017	2024年1月8日	製品型番を確認の上、必要に応じてパッチ適用

CWE別登録数

2024年のCWE別登録数のトップ10は以下の通りです。

表3　CWE別KEVカタログ登録件数


ランク	CWE	概要	件数	CWE top 25ランク	2023年登録数	2023年登録数ランク
1位	CWE-502	信頼できないデータのデシリアライゼーション	11	16	8	7
1位	CWE-78	OSコマンドインジェクション	11	7	11	3
3位	CWE-416	開放済みメモリの使用	10	8	16	2
4位	なし	CWEに該当する項目がないもの	9	–	22	1
5位	CWE-22	パストラバーサル	8	5	4	15
6位	CWE-287注 6)	不適切な認証	8	14	5	12
7位	CWE-787	境界外書き込み	7	2	9	5
8位	CWE-843	型の取り違え	6	ランク外	4	15
8位	CWE-94	コードインジェクション	6	11	9	5
10位	CWE-284注 7)	不適切なアクセス制御	5	ランク外	6	8

※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ１件としてカウントしています。

2024年のCWE別登録数の傾向

C言語起因の脆弱性の減少

代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個（全体の約28％）から2024年は33個（全体の約19％）へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

Apple登録件数…2023年21件→2024年7件
Samsung登録件数…2023年8件→2024年0件

表4　C言語が関連するKEVに登録されたCVE一覧（2023年～2024年）


C言語が主要な原因となるCWE	2024年にKEVに登録されたCVE	2023年にKEVに登録されたCVE
CWE-119: バッファオーバーフロー	CVE-2017-1000253, CVE-2023-6549	CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
CWE-120: クラシックバッファオーバーフロー		CVE-2023-33009, CVE-2023-33010, CVE-2023-41064
CWE-122: ヒープベースのバッファオーバーフロー	CVE-2024-38812, CVE-2024-49138, CVE-2024-30051	CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
CWE-125: 範囲外メモリの読み取り		CVE-2021-25487, CVE-2023-28204, CVE-2023-42916
CWE-134: 制御されていないフォーマット文字列	CVE-2024-23113
CWE-190: 整数オーバーフロー/アンダーフロー	CVE-2022-0185, CVE-2024-38080	CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
CWE-401: メモリリーク		CVE-2023-26083
CWE-416:解放後使用(Use After Free)	CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586	CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
CWE-787: 範囲外への書き込み	CVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761	CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
CWE-823: メモリ位置外へのポインタ参照		CVE-2021-25372

これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

登録件数上位のCWEと代表的な脆弱性

表5　登録件数上位のCWEと代表的な2024年の脆弱性


CWE	CVE	ベンダ・製品名	脆弱性概要	攻撃者の情報	自動化
CWE-78	CVE-2024-40711	Veeam Backup & Replication	非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10	ランサムウェア（Akira, Fog, Frag）*11	可
CWE-78	CVE-2024-1212	Progress Kemp LoadMaster	非認証ユーザーによるOSコマンドインジェクション*12	不明	可
CWE-22	CVE-2024-8963	Ivanti Cloud Services Appliance (CSA)	管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。	不明備考ただしIOCや悪用の詳細についてはFortinet社から公開されている。 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa	可

脆弱性悪用の自動化の可否

2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization（ステークホルダー固有の脆弱性の分類、略称SSVC）に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル（アプリケーションや機器を実環境で使っている人が対象のモデル）では脆弱性に対するAutomatable（自動化の可否）の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

SSVC（Stakeholder-Specific Vulnerability Categorization）について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
「脆弱性診断は受けたけれど～脆弱性管理入門」

表6　2024年にKEVカタログに掲載された脆弱性の自動化可否

自動化可否	件数
可能	75
不可	86
データなし	14

出典：https://github.com/cisagov/vulnrichmentよりデータを取得

ランサムウェアグループの悪用が判明しているもの

2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

表7　ランサムウェアグループによる悪用の判明

ランサムウェアグループの悪用	件数
判明している	22
不明	153

注：
1)　CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
2)　CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
3)　https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/（2024年12月13日参照）
4)　PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
5)　対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
6)　CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
7)　CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

ウェビナー開催のお知らせ

2025年1月15日（水）13:00～14:00
「スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」

2025年1月22日（水）14:00～15:00
「ランサムウェア対策の要！ペネトレーションテストとは？ -ペネトレーションテストの効果、脆弱性診断との違い-」

2025年1月29日（水）13:00～14:00
「サイバー攻撃から企業を守る！ソースコード診断が実現する“安全な開発”」

最新情報はこちら

2024年12月23日2025年1月28日

サイバー攻撃とは？5つの主な攻撃者と攻撃の目的

サイバー攻撃とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報窃取やデータ改ざん、業務妨害などを行う行為です。多様な攻撃方法が存在しますが、「誰が」「なぜ」攻撃するのかを理解することで、より効果的なセキュリティ対策を考えることが可能です。この記事では、サイバー攻撃を行う5つの主体とその目的について詳しく解説します。それぞれの攻撃者の特徴を理解することで、効果的なセキュリティ対策のヒントが得られます。

コラム
「サイバー攻撃」「サイバーテロ」「サイバー保険」などにつく、”サイバー”という接頭辞はIT関連の言葉に用いられます。
由来はアメリカの数学者ノーバート・ウィーナーが提唱した「サイバネティクス（Cybernetics）」という学問にあります。

サイバー攻撃対策には「攻撃者」と「目的」の理解がカギ

『サイバー攻撃』と検索すると、多種多様な攻撃手法が解説されています。例えば、自宅の窓が割られた場合、その石の種類よりも『誰が』『なぜ』投げたのかが気になるでしょう。サイバー攻撃も同様です。よく耳にするサイバー攻撃としては以下のようなものがあります。

APT攻撃	様々な攻撃手法を用いて、高度かつ継続的に侵入を試み、目的を達成するサイバー攻撃
サプライチェーン攻撃	様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする攻撃最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
ランサムウェア	あらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃 APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
ビジネスメール詐欺	巧妙ななりすまし、メールアドレス乗っ取りなどを中心とした各種のサイバー攻撃
フィッシング攻撃	偽のメールやサイトで個人情報を盗む攻撃
DDoS攻撃	サーバーに大量のアクセスを送り、業務妨害する攻撃

サイバー攻撃の5つの攻撃主体と特徴

サイバー攻撃は誰が行うのでしょうか。いろいろな考え方や分け方がありますが、以下では、大きく5つに分けて解説します。

1.愉快犯や悪意のある個人

このグループに分類される攻撃主体の特徴は攻撃に継続性がないことです。「愉快犯」とは、「標的型攻撃とは？」で解説したとおり、趣味や知的好奇心、技術検証など、悪意の伴わない迷惑行為が特徴です。多くは個人の趣味や研究の延長として行われます。「悪意のある個人」とは、同僚のメールを盗み読む、有名人のTwitterアカウントを乗っ取るなど、明確な悪意をもったサイバー攻撃者を指します。「愉快犯」も「悪意を持った個人」も、個別の差はあるものの攻撃の継続性や技術力・資金力に限界があるといっていいでしょう。

2.ハクティビスト

「アクティビスト（社会活動家）」という言葉と「ハッカー」を合わせた言葉である「ハクティビスト」は、サイバー攻撃を通じて社会的･政治的メッセージを表明します。

3.産業スパイ

企業が保有する各種開発情報や未登録特許など、さまざまな知的財産を盗むためにサイバー産業スパイが世界で暗躍しています。新薬研究や航空エンジン設計など、莫大な開発費を要する産業領域で先んじることが主な目的です。企業を超えたより大きな組織の支援を受けている場合には、豊富な資金を背景とした高い技術力を持ち、継続的に攻撃を行うことがあります。

4.国家支援型組織（ステートスポンサード）

国家が金銭面で下支えをしている攻撃グループを指します。主にAPT（Advanced Persistent Threat：高度で持続的な脅威）攻撃を行い、諜報活動や破壊活動を行うことが特徴です。3.の産業スパイ活動を行うこともあります。

5.サイバー犯罪組織

個人情報やクレジットカード情報などを盗み、その情報をマネタイズすることで資金を得るタイプの組織を指します。2018年のある調査では、世界全体でのサイバー犯罪による被害総額を約60兆円と見積もっています。一大「産業」となったサイバー犯罪には、多数の犯罪者が関わり、彼らは組織化･訓練され、高い技術力と豊富な資金力を持っています。「標的型攻撃」のほとんどは、国家支援型組織とサイバー犯罪組織によって行われていると考えられています。

ただし、たとえば愉快犯的なハクティビスト、知財窃取を受託する犯罪組織なども存在し、以上5つの主体は必ずしも明確に分けられるものではありません。

サイバー攻撃の5つの目的と背景

サイバー攻撃が行われる目的は、以下のように5つにまとめることができます。

1.「趣味や知的好奇心」目的のサイバー攻撃

愉快犯が行うサイバー攻撃は、知的好奇心を満足させる、技術や理論の検証を行う等の目的で行われます。

2.「金銭」目的のサイバー攻撃

産業スパイや犯罪組織が行うサイバー攻撃は金銭を目的に行われます。彼らの活動も我々と同じく、経済合理性に基づいています。

3.「政治･社会的メッセージの発信」目的のサイバー攻撃

2010年、暴露サイトとして有名なウィキリークスの寄付受付の決済手段を提供していた決済サービス会社が、政治的判断でウィキリークスへのサービス提供を取り止めた際、決済サービス会社に対して、「アノニマス」と呼ばれるハクティビスト集団がDDoS攻撃を仕掛けました。このように、ハクティビストは、彼らが理想と考える正義を社会に対してもたらすことを目的にサイバー攻撃を行います。

4.「知的財産」目的のサイバー攻撃

産業スパイは、企業が保有するさまざまな営業秘密や開発情報、知的財産の窃取を目的にサイバー攻撃を行います。盗んだ知財をもとに事業活動等を行い、最終的に金銭的利益を得るわけです。なお、知財を目的としたサイバー攻撃は、一定期間、特定の産業を重点的に狙うなどの傾向があります。

5.「諜報」目的のサイバー攻撃

いわゆる諜報活動のために個人情報（通信履歴や渡航履歴を含む）を収集するなどの活動もあります。敵対関係にあるターゲットを標的とした破壊活動のほか、ときに自国の産業保護を目的として産業スパイ活動が行われることもあります。

これらの目的は前項の5つの主体と同様、相互に関連し合い、はっきりと区分できるものではありません。攻撃者や手法によって異なるケースが存在します。たとえば、知的好奇心で始めた攻撃が金銭目的に転じることもあります。また、犯罪組織の中には、「病院を攻撃しない」と表明することで医療従事者へのリスペクトを社会的に発信するような組織も存在します。

表で解説！代表的なサイバー攻撃手法

最後に、代表的なサイバー攻撃手法を取り上げ、それぞれの攻撃でどのような手法が用いられ、どのような対象がターゲットになるのかを、表形式で見てみましょう。

	具体的な攻撃手法の例	ターゲット
Webアプリケーションの脆弱性を悪用する攻撃	・バッファオーバーフロー・SQLインジェクション・ディレクトリトラバーサル・クロスサイトスクリプティング　（XSS）他	Webアプリケーション
不正アクセス・不正ログイン	・Brute-Force攻撃・パスワードリスト型攻撃・パスワードスプレー攻撃・内部不正・有効なアカウントの　窃取・売買・悪用	各種アプリケーションやシステム、ネットワーク
フィッシング	・フィッシングメール・スミッシング（フィッシングSMS）・フィッシングサイト	・個人・法人内個人
DoS攻撃・DDoS攻撃	・フラッド攻撃・脆弱性を利用した攻撃・ボットネット悪用	・組織・企業・国家・社会･重要インフラ・個人のWebサービスなど
ゼロデイ攻撃	修正プログラムが公開されていない脆弱性に対する攻撃	・組織・企業・国家
DNS攻撃	・DoS攻撃・DNSキャッシュポイズニング・カミンスキー攻撃・DNSハイジャック　（ドメイン名ハイジャック）	・企業・組織・国家・個人のWebサービスなど
ソーシャルエンジニアリング	・会話等によるクレデンシャル　情報等の窃取	組織・企業内の個人

ここで挙げられた攻撃手法のうち特に注意が必要なものは、SQAT.jpで随時解説記事を公開中です。今後も更新情報をご覧いただき、ぜひチェックいただければと思います。

・「Dos攻撃とは？DDos攻撃との違い、すぐにできる3つの基本的な対策」
・「サイバー攻撃とは何か -サイバー攻撃への対策1-」
・「フィッシングとは？巧妙化する手口とその対策」
・「ランサムウェアとは何か-ランサムウェアあれこれ 1-」
・「標的型攻撃とは？事例や見分け方、対策をわかりやすく解説」

まとめ

・サイバー攻撃とは、Webアプリケーションの脆弱性などを悪用し、情報窃取や業務妨害を行う行為です
・効果的なセキュリティ対策には、攻撃の種類だけでなく、「誰が」「なぜ」攻撃するのかを理解することが重要です
・攻撃主体は「愉快犯」「ハクティビスト」「産業スパイ」「国家支援型組織」「サイバー犯罪組織」の5つに分類できます
・サイバー攻撃の目的はサイバー攻撃の目的は「趣味や知的好奇心」「金銭」「政治・社会的メッセージの発信」「知的財産」「諜報」の5つに整理できます

Security Report TOPに戻る
TOP-更新情報に戻る

2024年12月13日2024年12月16日

ネットワーク脆弱性診断とは？
【基本編】：企業のセキュリティを強化するための対策

ネットワーク脆弱性診断は、サイバー攻撃のリスクを未然に防ぐ重要な対策です。このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第1回目の今回は基本編として、ネットワーク脆弱性診断とは何か、診断項目、診断の必要性ついて解説します。本シリーズを通して、セキュリティ強化の第一歩を踏み出しましょう！

ネットワーク脆弱性診断とは

ネットワーク脆弱性診断とは何かを考えるとき、健康診断をイメージしてもらうと、わかりやすいでしょう。企業や組織のネットワーク環境を細かく調査し、存在するセキュリティ上の弱点や欠陥を特定し、改善策を提案します。近年、サイバー攻撃の手法が高度化・巧妙化しており、ネットワークの脆弱性を放置すると、情報漏洩やシステムダウンといった重大な被害を招く可能性があります。ネットワーク脆弱性診断を実施することで、未然にリスクを発見し、適切な対策を講じることが可能となります。

実施による効果

ネットワーク脆弱性診断は、専門の知識やツールを備えたセキュリティエンジニアが、ネットワーク内の機器やシステムに潜む脆弱性を洗い出す作業です。具体的には、「古いソフトウェアの使用」、「不適切な設定」、「不十分なアクセス制御」などを検出します。これにより、攻撃者が悪用する可能性のある脆弱性を明らかにし、組織のセキュリティレベルを向上させることができます。

診断対象範囲

ネットワーク脆弱性診断の対象範囲は多岐にわたります。主な対象は以下の通りです。

ネットワーク機器：ルータ、スイッチ、ファイアウォールなど
サーバ：ウェブサーバ、データベースサーバ、メールサーバなど
システム：オペレーティングシステム、アプリケーションソフトウェア
IoTデバイス：ネットワークに接続された各種デバイス

これらの機器やシステムが適切に保護されていない場合、ネットワークセキュリティ全体の低下を招き、攻撃の入口となることでサイバーリスクに繋がる可能性があります。

ネットワーク脆弱性診断の診断項目

ネットワーク脆弱性診断では、多角的な視点からセキュリティリスクを評価します。以下が診断項目の主な例になります。


診断項目	主な例
ホストのスキャン	・TCP、UDP、ICMPでのポートスキャン・実行中のサービスの検出
ネットワークサービスの脆弱性	・DNSに関する調査・メールサーバに関する調査・FTPに関する調査・RPCに関する調査・ファイル共有に関する調査・SNMPに関する調査・SSHサーバに関する調査・データベースサーバに関する調査・その他サービスに関する調査
Webサーバの脆弱性	・Webサーバの脆弱性・Webアプリケーションサーバの脆弱性・許可されているHTTPメソッド
各種OSの脆弱性	・Windowsの既知の脆弱性・Solarisの既知の脆弱性・各種Linuxディストリビューションの既知の脆弱性・その他各種OSの既知の脆弱性
悪意あるソフトウェア	・バックドアの調査・P2Pソフトウェアの調査
ネットワーク機器の脆弱性	・各種ルータ機器の既知の脆弱性・各種ファイアウォール機器の既知の脆弱性・その他各種ネットワーク機器の既知の脆弱性
その他	・その他ホスト全体の調査

弊社株式会社ブロードバンドセキュリティのSQAT® ネットワーク脆弱性診断サービスでは、上記の表にある診断項目のほか、お客様のご希望に応じて、「サービス運用妨害（DoS）攻撃」「総当り（Brute Force）攻撃」なども実施しています。

弊社のネットワーク脆弱性診断サービスについての詳細や無料相談は、以下のサービスページ内のお問い合わせフォームからお問い合わせください。

またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

ツール診断

ツール診断は、自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする手法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。ただし、自動化ツールでは検出できない複雑な脆弱性が存在する場合もあるため、ツール診断だけで高いレベルのセキュリティを確保することは難しいのが現状です。

ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多くありますが、その結果を専門家の目で補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

手動診断

手動診断は、専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。手動診断は時間とコストがかかるものの、より深いレベルでの脆弱性診断が可能となります。

ネットワーク脆弱性診断の種類

ネットワーク脆弱性診断は、その実施方法により大きく二つに分類されます。

リモート診断

リモート診断は、外部からネットワークに接続し、遠隔で脆弱性診断を行う方法です。この手法のメリットは、物理的な場所に依存せず、迅速に診断を開始できる点です。インターネット経由でアクセス可能な部分についてのセキュリティ評価に適しています。ただし、内部ネットワークの詳細な診断には限界があるため、内部からの攻撃リスクを完全に評価することは難しいです。

オンサイト診断

オンサイト診断は、セキュリティエンジニアが実際に現地に赴き、ネットワーク内部から診断を行う方法です。内部ネットワークの全体像を把握し、詳細なセキュリティ評価が可能です。物理的なセキュリティや、内部システム間の通信の安全性など、リモート診断では見落としがちな部分もチェックできます。ただし、スケジュール調整や移動に時間がかかる場合があります。

なぜネットワーク診断が必要なのか

ネットワーク診断が必要な理由は、主に以下のような点にあります。

情報資産を守るため

情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守る上で、脆弱性診断は重要です。

「機密性」…限られた人だけが情報に接触できるように制限をかけること。
「完全性」…不正な改ざんなどから保護すること。
「可用性」…利用者が必要なときに安全にアクセスできる環境であること。

これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせません。

情報セキュリティ事故を未然に防ぐため

攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

サービス利用者の安心のため

パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない昨今、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

まとめ

ネットワーク脆弱性診断は、現代のビジネスにおいて不可欠なセキュリティ対策の一つです。ネットワーク機器やサーバ、システムに潜む脆弱性を早期に発見し、適切な対策を講じることで、サイバー攻撃から組織を守ることができます。ツール診断と手動診断を組み合わせ、リモート診断やオンサイト診断を適切に選択することで、効果的なセキュリティ強化が可能です。ネットワーク診断を実施し、組織全体のセキュリティレベルを向上させましょう。

Security Report TOPに戻る
TOP-更新情報に戻る

	具体的な攻撃手法の例	ターゲット
Webアプリケーションの脆弱性を悪用する攻撃	・バッファオーバーフロー・SQLインジェクション・ディレクトリトラバーサル・クロスサイトスクリプティング　（XSS）他	Webアプリケーション
不正アクセス・不正ログイン	・Brute-Force攻撃・パスワードリスト型攻撃・パスワードスプレー攻撃・内部不正・有効なアカウントの　窃取・売買・悪用	各種アプリケーションやシステム、ネットワーク
フィッシング	・フィッシングメール・スミッシング（フィッシングSMS）・フィッシングサイト	・個人・法人内個人
DoS攻撃・DDoS攻撃	・フラッド攻撃・脆弱性を利用した攻撃・ボットネット悪用	・組織・企業・国家・社会･重要インフラ・個人のWebサービスなど
ゼロデイ攻撃	修正プログラムが公開されていない脆弱性に対する攻撃	・組織・企業・国家
DNS攻撃	・DoS攻撃・DNSキャッシュポイズニング・カミンスキー攻撃・DNSハイジャック　（ドメイン名ハイジャック）	・企業・組織・国家・個人のWebサービスなど
ソーシャルエンジニアリング	・会話等によるクレデンシャル　情報等の窃取	組織・企業内の個人