#ネットワーク

2025年6月23日2025年10月14日

Qilinランサムウェア攻撃の実態と対策：Fortinet脆弱性の悪用を解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【関連ウェビナー開催情報】
弊社では10月22日（水）14:00より、「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」と題したウェビナーを開催予定です。最新のランサムウェア攻撃手口と国内外の被害事例を解説するとともに、企業が取るべき実践的な「防御の仕組み」を具体的に紹介します。ご関心がおありでしたらぜひお申込みください。

昨今、Qilin（キリン）ランサムウェアによる攻撃が世界中で大きな話題となっています。特にFortinet製のネットワーク機器を標的とした攻撃は、企業や公共機関に甚大な被害をもたらしており、セキュリティ業界では警戒感が高まっています。本記事では、Qilinの攻撃手法や被害事例、そして企業が今すぐ取り組むべき対策について、詳しく解説します。

contents

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

世界中で猛威を振るうランサムウェアグループQilinの概要と被害事例

Qilinは2022年8月ごろから活動を開始したとされる脅威グループで、Fortinet製品の複数の重大な脆弱性を悪用して侵入を試みます。Bleeping Computerの最新報道によれば、2025年6月時点で310件以上の被害がダークウェブ上のリークサイトで公表されているとのことです。被害を受けた組織の中には、中国の自動車部品大手や米国の出版大手、豪州の裁判所サービス局など、グローバルに名だたる企業や機関が名を連ねています。

英国における医療機関への攻撃と社会的影響

特に注目すべきは、英国の病理検査機関への攻撃でしょう。この事件では、ロンドンの主要なNHS病院にも影響が及び、数百件の診療や手術が中止に追い込まれました。医療現場が機能不全に陥る事態は社会全体に大きな衝撃を与え、ランサムウェア攻撃が単なるIT問題ではなく、人命や社会インフラにも直結する深刻な脅威であることを改めて浮き彫りにしました。

Qilinが悪用するFortinet脆弱性の詳細

PRODAFT Flash Alertの報告によれば、主にCVE-2024-21762およびCVE-2024-55591というFortiOSやFortiProxyの重大な脆弱性が悪用されています。これらの脆弱性は、CVSSスコアが9.6と極めて高く、米国CISAも「既知の悪用された脆弱性カタログ（KEV）」に追加し、連邦機関に対策を義務付けています。CVE-2024-21762は2025年2月に修正パッチが提供されていますが、The Shadowserver Foundationの調査によれば、未だに約15万台のデバイスが脆弱なまま運用されているという現状があります。

Qilinの攻撃手法と特徴

攻撃手法としては、FortiGateファイアウォールの脆弱性を突いて侵入し、部分的に自動化されたランサムウェア攻撃を展開するのが特徴です。Bleeping Computerの記事によれば、Qilinはスペイン語圏の組織を中心に攻撃を仕掛けているものの、今後は地域を問わず拡大する可能性が高いとされています。

日本国内での動向と匿名化された被害事例

日本国内でもQilinグループが、ある医療機関や製造業企業への攻撃をダークウェブ上で主張しているとの情報があります。公式な被害報告は現時点で確認されていませんが、今後も注意が必要です。なお、当該企業名はプライバシー保護の観点から匿名とさせていただきます。

企業が今すぐ取り組むべき対策

こうした状況を踏まえ、企業や組織が今すぐ取り組むべき対策について考えてみましょう。まずは、既知の脆弱性に対するパッチ適用を徹底することが最優先です。パッチ適用が遅れるほど、攻撃リスクが高まることは言うまでもありません。さらに、定期的なセキュリティ評価やネットワークの見直し、サプライチェーン全体のセキュリティ強化も欠かせません。CISAやThe Shadowserver Foundationが警告しているように、最新の脅威情報の収集と共有も重要です。

まとめ：Qilinランサムウェア攻撃の教訓と今後の展望

最後に、Qilinランサムウェア攻撃の教訓として、「パッチ適用の徹底」「セキュリティ評価の定期的な実施」「サプライチェーン全体のセキュリティ強化」の3つが企業にとって不可欠な対策であることを強調しておきます。AIや自動化技術の進化によって攻撃手法も高度化している今、企業は常に最新の脅威情報をキャッチアップし、自社のセキュリティ体制を見直す姿勢が求められています。

【参考情報】

Bleeping Computer
https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/
https://www.bleepingcomputer.com/tag/fortinet/

PRODAFT Flash Alert
https://industrialcyber.co/ransomware/forescout-details-superblack-ransomware-exploiting-critical-fortinet-vulnerabilities/
https://www.cybersecuritydive.com/news/superblack-ransomware-used-to-exploit-fortinet-vulnerabilities/742578/

CISA（既知の悪用された脆弱性カタログ）
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年6月25日（水）13:00～14:00
「リモートワークの落とし穴を塞ぐ！セキュリティ情報の効率的な収集法＆対策のポイント」

2025年7月2日（水）13:00～14:00
「いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-」

2025年7月16日（水）14:00～15:00
「進化するランサムウェア攻撃-国内最新事例から学ぶ！被害を防ぐ実践ポイント10項目を解説-」

最新情報はこちら

2025年6月6日2025年6月9日

企業のためのデジタルフォレンジック入門
第3回：デジタルフォレンジックは誰に任せるべきか？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

デジタルフォレンジック調査の質は「誰に任せるか」によって大きく左右されます。調査を依頼する際は、必要なスキルや資格を有する信頼できる専門家を見極めることが重要です。「企業のためのデジタルフォレンジック入門」シリーズ第3回目となる今回は、デジタルフォレンジック調査に求められるスキルや、信頼できる調査パートナーを選ぶためのポイントについて解説します。

デジタルフォレンジック調査に求められるスキル

デジタルフォレンジック調査は、単なる技術的作業にとどまらず、法的対応や組織内のコミュニケーションなど、多岐にわたるスキルが求められる高度な専門分野です。調査の正確性と法的証拠能力を確保するためには、以下のようなスキルが求められます。

1.技術的スキル
フォレンジック調査では、コンピュータやモバイルデバイス、ネットワーク機器など、さまざまなデジタルデバイスから証拠を収集・分析する高度な技術が不可欠です。具体的には、ログ解析、マルウェア解析、ネットワークトラフィックの分析、暗号化データの復号、クラウド環境やIoTデバイスからのデータ抽出など、多岐にわたる技術的知識と経験が求められます。

2.法的知識
デジタルフォレンジックの調査結果は、訴訟や内部処分などの法的対応に利用されるケースが多くあります。そのため、証拠保全の適切な手続きや電子データの証拠能力を担保する方法についての理解は欠かせません。調査の過程で収集したデータが、法的に無効とならないよう慎重に取り扱うことが求められます。

3.分析力と問題解決能力
フォレンジック調査では、大量のデータの中から関連性のある情報を特定し、攻撃の手口や経路を明らかにする必要があります。そのため、データの相関関係を見抜く分析力や、複雑な問題に対して柔軟に対応する問題解決能力が重要です。

またフォレンジック調査は、調査担当者だけで完結するものではありません。調査を円滑に進めるためには、IT部門や法務部門、経営層との連携が不可欠です。専門的な調査結果を、非技術部門にもわかりやすく説明し、経営判断や法的対応に必要な情報を正確に伝える力も重要です。これらのスキルをバランスよく備えた人材が、企業のインシデント対応力を大きく高める鍵となります。調査を依頼する際は、こうしたスキルセットを有する専門家に依頼することが、調査の精度と効果を高めるための重要なポイントです。

デジタルフォレンジック関連の資格

デジタルフォレンジック調査は高度な専門知識と技術が求められる分野であり、調査を担当する人材のスキルによって調査結果の正確性や証拠能力が大きく左右されます。そのため、調査を依頼する際は、担当者がどのような資格や専門性を持っているかを必ず確認することが重要です。以下に、代表的な資格とその特徴を紹介します。

GCFA（GIAC Certified Forensic Analyst）

GCFAはSANS Instituteが提供するGIAC認定資格の一つで、デジタルフォレンジック調査に特化した国際資格です。データ侵害の調査、インシデント対応、脅威ハンティングなど、実践的なスキルを証明します。

CDFP（Certified Digital Forensics Professional）

デジタル・フォレンジック研究会が実施する資格で、基礎資格（CDFP-B）、実務者資格（CDFP-P）、管理者資格（CDFP-M）の3段階があります。日本国内でのデジタルフォレンジックに特化した資格として注目されています。

CHFI（Computer Hacking Forensic Investigator）

EC-Councilが提供する資格で、サイバー攻撃の痕跡を特定し、必要な証拠を適切に収集・分析するスキルを習得することを目的としています。

またクレジットカード業界の情報漏えい事故を調査する資格にQSA（Qualified Security Assessor）があります。特に、カード情報を扱う企業にとっては、QSAの資格を持つ専門家によるフォレンジック調査が重要な意味を持ちます。

これらの資格は単なる知識だけでなく、実務経験や倫理的な判断能力を備えていることの証明にもなります。調査を依頼する際は、「どの資格を保有しているか」「過去にどのような調査実績があるか」を確認し、信頼できる専門家に依頼することが重要です。

インシデント対応としてのフォレンジックの重要性

サイバー攻撃や内部不正などのインシデントが発生した際、企業に求められるのは迅速かつ的確な対応です。その中で、デジタルフォレンジック調査は、被害の拡大を防ぎ、再発防止策を講じるうえで極めて重要な役割を果たします。

フォレンジック調査を適切に実施することで、攻撃者の侵入経路や攻撃手法、被害範囲を正確に特定できます。これにより、攻撃の拡大を防ぐために必要な対策を即座に講じることが可能となり、被害の最小化につながります。また、攻撃の原因を突き止め、脆弱性の修正や運用体制の見直しを行うことで、同様の被害が再び発生するリスクを大幅に低減できます。
しかし、こうした迅速な対応を実現するには、事前の備えが不可欠です。経営層や管理部門は、平時からインシデント発生時の対応体制を整えておく必要があります。具体的には、以下のような準備が求められます。

インシデント対応ポリシーの策定：どのような事象をインシデントと定義し、発生時にどの部門がどのように対応するかを明確化します。

証拠保全体制の整備：調査に必要なログやデータを適切に保存し、改ざんや消失を防ぐ体制を構築します。

外部専門家との連携準備：緊急時にすぐに相談・調査を依頼できるよう、フォレンジック調査会社との連絡ルートや契約手続きを整えておきます。

社内教育・訓練の実施：情報システム部門や関係者に対して、インシデント対応手順や証拠保全の重要性について定期的な教育を行います。

インシデントは、いつ発生してもおかしくありません。被害拡大を防ぎ、企業の信用を守るためには、フォレンジック調査を中心とした実効性のあるインシデント対応体制の構築が不可欠です。経営層がリスクマネジメントの一環としてこの重要性を認識し、積極的に体制整備に取り組むことが、企業の持続的な成長と信頼維持につながります。

【関連サービス】
インシデント初動対応準備支援はこちら

信頼できる調査会社・専門家の選び方

デジタルフォレンジック調査を依頼する際には、調査会社や専門家の信頼性と対応力を慎重に見極めることが不可欠です。

1.過去の調査実績・公開事例の有無
調査会社や専門家を選ぶ際は、まず過去の調査実績や公開事例の有無を確認しましょう。実績が豊富な会社は、さまざまな業種や企業規模のインシデントに対応した経験を持っており、適切な調査手法と迅速な対応力を備えています。また、可能であれば、同業他社での対応事例や解決までのプロセスを確認することで、自社の課題に対する対応力を具体的にイメージできます。

2.調査体制（緊急対応可能か、社内対応チームの有無）
サイバーインシデントは突発的に発生します。万が一の際に備え、24時間365日対応可能な緊急体制を整えているかを確認することが重要です。また、外部委託だけでなく、社内に専門の調査チームを有している企業は、ノウハウの蓄積や迅速な意思決定が可能であり、調査の品質も高い傾向にあります。緊急時の連絡手段や初動対応までの所要時間も事前に確認しておくと安心です。

3.事前相談・見積もり段階での対応姿勢
調査を依頼する前段階の事前相談や見積もり時の対応姿勢も、信頼できる調査会社かどうかを見極めるポイントです。質問に対する回答が的確かつ分かりやすいか、専門用語をかみ砕いて説明してくれるかなど、コミュニケーションの質を重視しましょう。また、調査内容や費用の内訳について明確に説明がない場合は、後から想定外の追加費用が発生するリスクもあるため、しっかりと確認しましょう。

このように、実績・体制・対応姿勢の3点をバランスよく確認することで、信頼できるパートナーを選定することができます。インシデント発生時に慌てることがないよう、平時から調査会社の候補をリストアップし、必要に応じて事前相談を行っておくことが理想的です。

まとめ：リスクに備える最善の準備とは

サイバー攻撃や情報漏えいといったインシデントは、今やどの企業にとっても現実的なリスクとなっています。そのリスクにどう向き合い、どのように被害を最小限に抑えるかは、企業の信頼性と持続的成長を左右する重要な課題です。本シリーズでは、デジタルフォレンジック調査の基礎知識から、調査の流れや費用、そして信頼できる調査パートナーの選び方まで、実務に役立つ情報を解説してきました。これらの内容は、単にインシデント発生時の対応策としてだけではなく、経営層や管理部門が平時から備えておくべきリスクマネジメントの一環です。企業がこれから取り組むべきは、「万が一ではなく、いつ起きてもおかしくない」という前提で、適切な体制を整えておくこと」です。必要な情報を正しく理解し、信頼できる専門家とのネットワークを構築しておくことで、万が一の事態にも冷静かつ的確に対応できる企業体制を実現できるでしょう。本記事が、皆様のリスク対策とインシデント対応体制の強化に少しでも貢献できれば幸いです。

緊急時の対応にお困りですか？
24時間365日対応可能な専門チームが、迅速にサポートいたします。
今すぐ相談する

サイバー攻撃や情報漏えいのリスクは、企業規模を問わず現実のものとなっています。万が一の事態に備え、信頼できるパートナーと連携し、迅速かつ適切な対応体制を整えておくことが重要です。株式会社ブロードバンドセキュリティ（BBSec）では緊急対応支援サービスを提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。詳細はこちら。

【連載一覧】

―第1回「デジタルフォレンジック調査とは？企業が知っておくべき基本情報」―
―第2回「デジタルフォレンジック調査の流れと費用とは？」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年5月29日2025年6月9日

企業のためのデジタルフォレンジック入門
第2回：デジタルフォレンジック調査の流れと費用とは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃や情報漏えいなどのインシデント発生時には、重要な役割を果たすデジタルフォレンジック調査ですが、「実際にどのような手順で進むのか」「どのくらいの費用がかかるのか」という点が気になる方も多いのではないでしょうか。

「企業のためのデジタルフォレンジック入門」シリーズ第2回目となる今回は、デジタルフォレンジック調査の一般的な進め方と費用の目安、そして調査を依頼する際に押さえておくべきポイントについて解説します。

デジタルフォレンジックの調査フロー

デジタルフォレンジック調査は以下のような流れで進められるのが一般的です。

初動対応（証拠保全と状況把握）

インシデント発生時、最初に行うべきなのは証拠の保全です。ログやデジタルデータは非常に消失・改ざんされやすいため、調査開始前に対象端末の隔離やデータのバックアップを速やかに実施します。誤ってシステムの再起動や操作を行うと、重要な証拠が失われるリスクがあるため注意が必要です。

調査準備（対象範囲の確認と調査計画の立案）

次に、調査の対象となるシステムや端末、ネットワーク環境を明確にし、どのような調査を行うかの計画を立てます。この段階で社内のIT部門との連携や、必要に応じた外部の専門業者への調査依頼を検討します。

技術調査（詳細なデータ解析）

具体的な調査段階では、ログ解析、端末解析、ネットワーク通信の分析、メール履歴の調査などを通じて、インシデントの発生時期、侵入経路、攻撃手法、被害範囲を特定します。調査結果は、法的手続きに耐えうる形で証拠として整理されます。

調査報告（結果の報告と被害状況の説明）

調査の結果をもとに、被害状況や攻撃経路、原因の詳細をまとめた報告書が作成されます。この報告書は、経営層への説明や取引先への対応、法的措置を講じる際の重要な資料となります。

改善提案（再発防止策の提示）

最後に、調査を通じて得られた知見をもとに、今後のセキュリティ強化策や体制の見直しに関する改善提案が行われます。再発防止のためのシステム設定の見直しや運用ルールの強化など、実行可能な具体策が提示されます。

この一連の流れを円滑に進めるためには、事前に社内で緊急対応体制を整えておくことが重要です。

サイバーインシデント緊急対応

デジタルフォレンジック調査の費用相場とその要素

デジタルフォレンジック調査の費用は、調査の規模や対象範囲、緊急性によって大きく変動します。一般的に、初動対応から最終的な報告書提出までに数十万円から数百万円規模の費用がかかるケースが多く、場合によっては1,000万円を超えることもあります。調査費用は、主に以下の項目で構成されます。


調査項目	費用相場（目安）	算定要素
初動対応・証拠保全	10～30万円	緊急度、作業時間、対象機器数
ログ解析	30～100万円	調査範囲、ログの量と保存状況
端末解析	50～150万円	対象端末数、データ量、調査内容
ネットワーク解析	50～200万円	通信量、解析対象ネットワーク範囲
メール調査	30～100万円	メール数、攻撃手法の特定難易度
報告書作成・改善提案	20～50万円	被害規模、報告書の詳細度

調査費用は対応スピードの要求度や調査範囲の広さによって大きく異なります。調査を依頼する前には、事前に必要な調査項目を整理し、見積もりの内訳をしっかり確認することが重要です。

企業が予算計画に組み込むべき事項

サイバー攻撃による被害は、いつ発生するかわかりません。万が一に備え、デジタルフォレンジック調査費用をあらかじめ予算計画に組み込んでおくことは、リスクマネジメントの観点から重要な取り組みです。

まずは、フォレンジック調査に必要となるリソースの把握が必要です。どのシステムやデータが事業の中核を担っているのかを洗い出し、万が一被害を受けた場合に調査が必要となる範囲を想定しておきましょう。特に、重要な顧客情報や機密情報を扱うシステムは、調査対象として優先度が高くなります。

次に、過去のインシデント事例や業界の平均的な調査費用を参考に、初動対応費用、技術調査費用、報告書作成費用などを項目ごとに見積もり、予算化しておくことが重要です。必要に応じて、外部の専門業者から概算費用の情報を収集し、自社の規模に応じた現実的な予算を策定します。また、平時からのログ管理や証拠保全体制の整備は、調査範囲の縮小や工数削減に直結し、結果的に調査費用の抑制につながります。このような準備に必要なリソースやコストも、予算計画の中に含めておくと良いでしょう。

不測の事態に備え、フォレンジック調査の費用を計画的に確保しておくことが、経営リスクを最小限に抑える有効な手段です。

「かかりつけ」のセキュリティ企業を持つ

平時の備えがインシデントを防止し、いざインシデントが起きたときの対応力を高めてくれます。さらにもう1つ有効な取り組みとしてお伝えしたいのが、頼りになるセキュリティ企業との関係構築です。あなたの会社の業務やシステムのことを知っている、かかりつけ医のようなセキュリティ企業は、何かあったときのための備えのひとつになります。

それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などについて、わずかな時間も惜しまれるインシデント対応の現場で、いちから説明しなければならなくなります。

セキュリティ対策などの実施でセキュリティ企業に依頼を行う際は、信頼できる企業かどうか、いざというときにサポートしてくれるかどうか等、診断以外のサービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

まとめ：納得できる調査のために

サイバー攻撃などのインシデント発生時、企業は迅速かつ的確な対応を求められます。デジタルフォレンジック調査は、その過程で被害状況を正しく把握し、再発防止策を講じるために不可欠な手段です。しかし、調査は高額になりがちで、調査範囲や依頼内容を誤ると不要なコストが発生する恐れもあります。納得できる調査を実現するためには、事前に調査の流れを理解し、必要な費用感を把握したうえで、適切な調査計画を立てることが重要です。そして、もう一つ重要なのは「誰に調査を依頼するか」という視点です。

デジタルフォレンジック調査の結果は、調査を行う専門家の知識とスキルに大きく左右されます。調査の質を高めるためには、どのような専門家に依頼すべきか、その見極めが重要です。次回、第3回の記事では、信頼できる調査パートナーの選び方や、調査に必要とされる資格・スキルについて解説します。

―第3回「デジタルフォレンジックは誰に任せるべきか？」へ続く―

【連載一覧】

―第1回「デジタルフォレンジック調査とは？企業が知っておくべき基本情報」―
―第3回「デジタルフォレンジックは誰に任せるべきか？」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年5月26日2025年8月12日

サイバー攻撃とは？攻撃者の種類と目的、代表的な手法を解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報窃取やデータ改ざん、業務妨害などを行う行為です。多様な攻撃方法が存在しますが、「誰が」「なぜ」攻撃するのかを理解することで、より効果的なセキュリティ対策を考えることが可能です。この記事では、サイバー攻撃を行う5つの主体とその目的について詳しく解説します。それぞれの攻撃者の特徴を理解することで、効果的なセキュリティ対策のヒントが得られます。

コラム
「サイバー攻撃」「サイバーテロ」「サイバー保険」などにつく、”サイバー”という接頭辞はIT関連の言葉に用いられます。
由来はアメリカの数学者ノーバート・ウィーナーが提唱した「サイバネティクス（Cybernetics）」という学問にあります。

contents

サイバー攻撃とは何か

サイバー攻撃（サイバーアタック）とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報の窃取、データの改ざん、業務の妨害などを行う行為を指します。
これらの攻撃は、個人や組織、国家など多様な主体によって行われ、その目的もさまざまです。サイバー攻撃の手法は年々高度化・巧妙化しており、被害を防ぐためには攻撃者の特徴や目的を理解することが重要です。

サイバー攻撃を行う5つの主な攻撃者

サイバー攻撃は誰が行うのでしょうか。いろいろな考え方や分け方がありますが、以下では、大きく5つに分けて解説します。

1.愉快犯や悪意のある個人

このグループに分類される攻撃主体の特徴は攻撃に継続性がないことです。「愉快犯」とは、「標的型攻撃とは？」で解説したとおり、趣味や知的好奇心、技術検証など、悪意の伴わない迷惑行為が特徴です。多くは個人の趣味や研究の延長として行われます。「悪意のある個人」とは、同僚のメールを盗み読む、有名人のTwitterアカウントを乗っ取るなど、明確な悪意をもったサイバー攻撃者を指します。「愉快犯」も「悪意を持った個人」も、個別の差はあるものの攻撃の継続性や技術力・資金力に限界があるといっていいでしょう。

2.ハクティビスト

「アクティビスト（社会活動家）」という言葉と「ハッカー」を合わせた言葉である「ハクティビスト」は、サイバー攻撃を通じて社会的･政治的メッセージを表明します。

3.産業スパイ

企業が保有する各種開発情報や未登録特許など、さまざまな知的財産を盗むためにサイバー産業スパイが世界で暗躍しています。新薬研究や航空エンジン設計など、莫大な開発費を要する産業領域で先んじることが主な目的です。企業を超えたより大きな組織の支援を受けている場合には、豊富な資金を背景とした高い技術力を持ち、継続的に攻撃を行うことがあります。

4.国家支援型組織（ステートスポンサード）

国家が金銭面で下支えをしている攻撃グループを指します。主にAPT（Advanced Persistent Threat：高度で持続的な脅威）攻撃を行い、諜報活動や破壊活動を行うことが特徴です。3.の産業スパイ活動を行うこともあります。

5.サイバー犯罪組織

個人情報やクレジットカード情報などを盗み、その情報をマネタイズすることで資金を得るタイプの組織を指します。2018年のある調査では、世界全体でのサイバー犯罪による被害総額を約60兆円と見積もっています。一大「産業」となったサイバー犯罪には、多数の犯罪者が関わり、彼らは組織化･訓練され、高い技術力と豊富な資金力を持っています。「標的型攻撃」のほとんどは、国家支援型組織とサイバー犯罪組織によって行われていると考えられています。

ただし、たとえば愉快犯的なハクティビスト、知財窃取を受託する犯罪組織なども存在し、以上5つの主体は必ずしも明確に分けられるものではありません。

サイバー攻撃の主な目的

サイバー攻撃が行われる目的は、以下のように5つにまとめることができます。

1.知的好奇心や技術検証

愉快犯が行うサイバー攻撃は、知的好奇心を満足させる、技術や理論の検証を行う等の目的で行われます。

2.金銭的利益

産業スパイや犯罪組織が行うサイバー攻撃は金銭を目的に行われます。彼らの活動も我々と同じく、経済合理性に基づいています。

3.政治・社会的メッセージの発信

2010年、暴露サイトとして有名なウィキリークスの寄付受付の決済手段を提供していた決済サービス会社が、政治的判断でウィキリークスへのサービス提供を取り止めた際、決済サービス会社に対して、「アノニマス」と呼ばれるハクティビスト集団がDDoS攻撃を仕掛けました。このように、ハクティビストは、彼らが理想と考える正義を社会に対してもたらすことを目的にサイバー攻撃を行います。

4.知的財産の窃取

産業スパイは、企業が保有するさまざまな営業秘密や開発情報、知的財産の窃取を目的にサイバー攻撃を行います。盗んだ知財をもとに事業活動等を行い、最終的に金銭的利益を得るわけです。なお、知財を目的としたサイバー攻撃は、一定期間、特定の産業を重点的に狙うなどの傾向があります。

5.諜報活動

いわゆる諜報活動のために個人情報（通信履歴や渡航履歴を含む）を収集するなどの活動もあります。敵対関係にあるターゲットを標的とした破壊活動のほか、ときに自国の産業保護を目的として産業スパイ活動が行われることもあります。

これらの目的は前項の5つの主体と同様、相互に関連し合い、はっきりと区分できるものではありません。攻撃者や手法によって異なるケースが存在します。たとえば、知的好奇心で始めた攻撃が金銭目的に転じることもあります。また、犯罪組織の中には、「病院を攻撃しない」と表明することで医療従事者へのリスペクトを社会的に発信するような組織も存在します。

サイバー攻撃対策には「攻撃者」と「目的」の理解がカギ

『サイバー攻撃』と検索すると、多種多様な攻撃手法が解説されています。例えば、自宅の窓が割られた場合、その石の種類よりも『誰が』『なぜ』投げたのかが気になるでしょう。サイバー攻撃も同様です。よく耳にするサイバー攻撃としては以下のようなものがあります。

APT攻撃	様々な攻撃手法を用いて、高度かつ継続的に侵入を試み、目的を達成するサイバー攻撃
サプライチェーン攻撃	様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする攻撃最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
ランサムウェア	あらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃 APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
ビジネスメール詐欺	巧妙ななりすまし、メールアドレス乗っ取りなどを中心とした各種のサイバー攻撃
フィッシング攻撃	偽のメールやサイトで個人情報を盗む攻撃
DDoS攻撃	サーバーに大量のアクセスを送り、業務妨害する攻撃

表で解説！代表的なサイバー攻撃手法

最後に、代表的なサイバー攻撃手法を取り上げ、それぞれの攻撃でどのような手法が用いられ、どのような対象がターゲットになるのかを、表形式で見てみましょう。

	具体的な攻撃手法の例	ターゲット
Webアプリケーションの脆弱性を悪用する攻撃	・バッファオーバーフロー・SQLインジェクション・ディレクトリトラバーサル・クロスサイトスクリプティング　（XSS）他	Webアプリケーション
不正アクセス・不正ログイン	・Brute-Force攻撃・パスワードリスト型攻撃・パスワードスプレー攻撃・内部不正・有効なアカウントの　窃取・売買・悪用	各種アプリケーションやシステム、ネットワーク
フィッシング	・フィッシングメール・スミッシング（フィッシングSMS）・フィッシングサイト	・個人・法人内個人
DoS攻撃・DDoS攻撃	・フラッド攻撃・脆弱性を利用した攻撃・ボットネット悪用	・組織・企業・国家・社会･重要インフラ・個人のWebサービスなど
ゼロデイ攻撃	修正プログラムが公開されていない脆弱性に対する攻撃	・組織・企業・国家
DNS攻撃	・DoS攻撃・DNSキャッシュポイズニング・カミンスキー攻撃・DNSハイジャック　（ドメイン名ハイジャック）	・企業・組織・国家・個人のWebサービスなど
ソーシャルエンジニアリング	・会話等によるクレデンシャル　情報等の窃取	組織・企業内の個人

サイバー攻撃から組織を守るための対策

サイバー攻撃から自組織を守るためには以下のような対策例を実施することが求められます。

セキュリティポリシーの策定と徹底：組織全体でのセキュリティ意識を高め、明確なルールを設けることが重要です。
最新のセキュリティソフトの導入：ウイルス対策ソフトやファイアウォール、WAFなどを活用し、システムを防御します。
定期的なシステムのアップデート：OSやアプリケーションの脆弱性を修正するため、常に最新の状態を保ちます。
従業員へのセキュリティ教育：フィッシングメールの見分け方や、安全なパスワードの設定方法などを教育します。
アクセス権限の適切な管理：必要最小限の権限を付与し、情報漏洩のリスクを低減します。

ここで挙げられた攻撃手法のうち特に注意が必要なものは、SQAT.jpで随時解説記事を公開中です。今後も更新情報をご覧いただき、ぜひチェックいただければと思います。

・「Dos攻撃とは？DDos攻撃との違い、すぐにできる3つの基本的な対策」
・「サイバー攻撃とは何か -サイバー攻撃への対策1-」
・「フィッシングとは？巧妙化する手口とその対策」
・「ランサムウェアとは何か-ランサムウェアあれこれ 1-」
・「標的型攻撃とは？事例や見分け方、対策をわかりやすく解説」

まとめ

・サイバー攻撃とは、Webアプリケーションの脆弱性などを悪用し、情報窃取や業務妨害を行う行為です
・効果的なセキュリティ対策には、攻撃の種類だけでなく、「誰が」「なぜ」攻撃するのかを理解することが重要です
・攻撃主体は「愉快犯」「ハクティビスト」「産業スパイ」「国家支援型組織」「サイバー犯罪組織」の5つに分類できます
・サイバー攻撃の目的はサイバー攻撃の目的は「趣味や知的好奇心」「金銭」「政治・社会的メッセージの発信」「知的財産」「諜報」の5つに整理できます

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年4月21日2025年5月8日

脆弱性診断の効果を最大化するポイント解説 – やりっぱなしを防ぐサイバー保険による脆弱性管理と診断サイクルの作り方

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年3月13日「脆弱性診断、やりっぱなしになっていませんか？高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心診断から守るまでを徹底解説〜」というセミナーを開催しました。今回はその講演内容のポイントについてご紹介します。

登壇者：株式会社ブロードバンドセキュリティのセキュリティサービス本部サービス支援部支援課課長代理木下祐希

サイバー攻撃の実態と脆弱性管理の重要性

まず脆弱性診断を実施する背景として、近年のサイバー攻撃の実態について理解する必要があります。かつては愉快犯も少なくなかったサイバー攻撃は、現在では金銭目的や企業・個人に対する悪意を持った攻撃が主流となっており、その手口も高度化・巧妙化しています。こうした環境において脆弱性とは何か、そしてなぜ脆弱性管理が重要なのかを把握することが対策の第一歩となります。

サイバー攻撃の変化は明確です。以前は「愉快犯」と呼ばれる、いたずら目的のハッカーやクラッカーも少なからずおり、DDoS攻撃で嫌いな企業のサーバーを落としたり、不特定多数にフィッシングメールを送りつけたりするような行為が中心でした。しかし現在は、より直接的な、個人情報や機密情報を盗み出して金銭化することを目的とした攻撃者が増えています。

ダークウェブの出現により、盗んだ情報を売却する市場ができました。攻撃者にとっては明確な金銭的利益を得る手段となり、より悪質で深刻な攻撃が増えているのです。

脆弱性の検出実態についても驚くべき数字が示されました。ブロードバンドセキュリティによる脆弱性診断を受けた企業の統計では、Webアプリケーションでは約90%、ネットワークでは約55%の企業で何らかの脆弱性が検出されています。さらに深刻なのは、リスクレベルが「高」以上の重大な脆弱性がWebアプリケーションで16.7%、ネットワークで21.6%も検出されているという事実です。

これは一度も診断を受けたことがない企業だけではなく、定期的に脆弱性診断を実施している企業も含めた数字です。攻撃手法は日進月歩で進化していますので、定期的な診断が必須なのです。

脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、システムの機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。脆弱性が悪用されると、内部データの盗取や改ざん、削除、さらには他のコンピュータへの攻撃の踏み台にされるなど様々な被害が発生します。

「無知は最大の脆弱性」という言葉があるように、まず自社のシステムの状態を知り、必要な対策を講じることが何よりも重要です。脆弱性診断により、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切な対策が可能になります。

脆弱性診断のやり方と診断実施時の課題

次に脆弱性診断の具体的なやり方と、企業が診断を実施する際に直面する課題について解説します。

脆弱性診断を住宅に例えると、ネットワーク脆弱性診断は土地や地盤の検査、Webアプリケーション脆弱性診断は建物自体の検査に相当します。企業が脆弱性診断を実施する際には、コスト面や専門知識の必要性など様々な課題がありますが、これらを適切に解決することが重要です。

脆弱性診断とは、窓のひび割れや水道管の老朽化など、故障・欠陥箇所を探すことに似ています。ネットワーク脆弱性診断は地盤や土壌など土地に関する検査、Webアプリケーション脆弱性診断は土地の上に建っている家を検査するイメージです。

この二つの診断タイプには共通する項目もありますが、視点が異なります。ネットワーク脆弱性診断は宅外から宅内に入るまでの故障・欠陥箇所を見つけるのに対し、Webアプリケーション脆弱性診断は宅内の方から見た観点での指摘となります。

企業が脆弱性診断を実施する際に直面する主な課題として、以下の4点が挙げられます。

コストの問題：脆弱性診断は専門的な技術とツールを要するため、実施コストが高くなりがちです。

専門知識の必要性：診断結果を適切に解釈し、対策を講じるには専門的な知識が不可欠です。セキュリティの専門家が不足している企業では対応が遅れがちになります。

診断後のサポート不足：診断後に必要な修正や対策を行うためのサポートが不十分な場合が多く、結果的に脆弱性が放置されるリスクが高まります。

手動診断と自動診断のバランス：手動診断は時間とコストがかかる一方、自動診断は検出精度に限界があるため、両者の適切なバランスが求められます。

これらの課題に対処するため、「かかりつけ医」のような存在としてセキュリティベンダーとの関係構築が推奨されます。いざという時だけでなく、日頃からかかりつけ医のような存在としてセキュリティベンダーとの関係を構築することで、結果的に自社のセキュリティレベルの向上と維持が図れます。

「かかりつけ医」のメリットとしては、まず、病歴や体質（システム環境や脆弱性の状況）を把握しており、素早く適切に対応できること。そして、気軽に相談できるので、問題が早期発見しやすいこと。結果として、必要に応じて他の専門医（専門的なセキュリティサービス）への連携もスムーズになることも含め、メリットは多々あると言えます。

高精度な脆弱性診断とサイバー保険を含む継続的なサポート体制

脆弱性診断を効果的に行うためには、精度の高い診断と充実したサポート体制が不可欠です。高品質な脆弱性診断サービスには、有資格者による手動検査、網羅性の高い診断内容、わかりやすい報告書の提供、診断後のサポートなどの特徴があります。特に重要なのは、診断結果に基づいた対策の実施と、定期的な診断による継続的な脆弱性管理サイクルの確立です。

ブロードバンドセキュリティのSQAT®（Software Quality Analysis Team）脆弱性診断サービスを例に、効果的な脆弱性診断の要素が説明されました。まず「Quality（品質）」として、情報処理安全確保支援士やCISSP、CEH等の有資格者による手動/ツール検査を実施していること、OWASP TOP10やNIST SP 800シリーズ、IPAの「安全なWebサイトの作り方」などの標準を踏襲した網羅性の高い診断内容を提供していることが特徴です。

次に「Communication（コミュニケーション）」の観点では、診断実施部門だけでなく報告書のレビューを専門とする部門やツール開発部門が各役割に集中する体制を整え、専用ポータルサイトを通じた効率的な情報共有を実現しています。

さらに「Support（サポート）」面では、診断結果に関する問い合わせを診断実施後も受け付け、報告書納品日から3ヶ月間は再診断を無償で提供するなど、継続的なサポート体制を整えている点が強調できます。

付け加えると、同社の脆弱性診断サービスの特徴として、豊富な診断シグネチャ（検査パターン）、スピーディな報告（診断終了後4営業日以内の報告書納品）、情報収集力に裏打ちされた分析、多彩なオプションメニューなどが挙げられます。

手動診断とツール診断のそれぞれの特徴と使い分けについても説明します。

手動診断は網羅性、検査の深度、精度が高い一方でコストも高くなります。一方、ツール診断は低コストで実施できますが、検出できない項目もあります。両者の適切な組み合わせとして、「リリース時や年に一度は手動診断、日常的な監視はツール診断」といった使い分けが効果的です。

特に注目すべき点として、ブロードバンドセキュリティは三井住友海上火災保険株式会社との提携により、「サイバー保険付帯の脆弱性診断サービス」を提供しています。このサービスは、脆弱性診断契約日から1年間、情報漏えいやサイバー攻撃に起因する賠償損害および事故発生時に対策を講じた場合の費用損害を最大1,000万円まで補償するものです。

実際の初動対応には平均して1,000万円程度必要であると想定されています。この補償は脆弱性診断サービスにオプションとして付けるのではなく、対象となる診断サービスを受けると自動的に付帯します。

脆弱性診断を活かす継続的なセキュリティ対策

最後に、脆弱性診断を単発で終わらせるのではなく、継続的なセキュリティ対策として活用するためのポイントを紹介します。脆弱性は日々増加し、攻撃手法も進化し続けるため、一度の診断だけでは十分な対策とは言えません。診断対象の特徴や検査目的に合わせた適切な診断手法の選定と、定期的な脆弱性の洗い出しと棚卸が重要です。

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々新たな手法や種類が増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても、形を変えて再び脆弱性が生じる可能性は十分にあります。

継続的なセキュリティ対策のサイクルとして、以下のステップが推奨されています。

脆弱性診断の実施

セキュリティ対策の実施

新たな脆弱性・攻撃手法の登場に注意

自組織の環境やシステム特性に適した診断の選定

このサイクルを繰り返すことで、持続的にセキュリティレベルを向上させることができます。また、診断対象の特徴や検査目的に応じて、手動診断とツール診断を適切に組み合わせることも重要です。

まとめ：効果的な脆弱性管理で高まるセキュリティ体制

脆弱性診断を「やりっぱなし」にせず、継続的な脆弱性管理の一環として活用することが、組織のセキュリティ体制強化には不可欠です。サイバー攻撃が高度化・巧妙化する現代においては、脆弱性診断の実施、診断結果に基づく対策の実施、新たな脆弱性への対応という一連のサイクルを確立することが重要です。自社の環境やシステム特性に合わせた適切な診断手法を選定し、定期的な診断を通じて継続的にセキュリティレベルを向上させていきましょう。

脆弱性をなくすこと（攻撃の的をなくすこと）が最も重要です。攻撃者は実際の攻撃行動に移る前に、クローリングツールなどを使って脆弱性をスキャンします。脆弱性の少ないシステムは攻撃者にとって「コストパフォーマンスが悪い」ターゲットとなり、結果的に攻撃を受けにくくなります。

サイバー保険も含めた総合的な脆弱性対策を構築することで、万が一の事態にも備えることができます。ブロードバンドセキュリティのように、高精度な診断と充実したサポート体制を持つセキュリティベンダーと連携することで、より効果的な脆弱性管理が可能になります。

脆弱性管理は単なるコスト要素ではなく、企業の競争力維持やリスク管理のための重要な投資です。サイバー保険の付帯のある脆弱性診断サービスを受けていても、被害があったときかかってしまう損害額を考えると費用対効果は決して悪くないと言えます。

最終的に、脆弱性診断を含む継続的なセキュリティ対策サイクルの確立は、お客様に安心して自社サービスを利用し続けてもらうための基盤となるのです。これからのデジタル時代において、適切な脆弱性管理は企業の信頼性と持続可能性を支える重要な要素であると言えるでしょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年4月23日（水）14:00～15:00
「今知るべき！サポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年4月30日（水）13:00～13:30
「CVSSとSSVCで実践する次世代脆弱性管理：サイバー攻撃対策セミナー2024」

2025年5月14日（水）14:00～15:00
「クラウド利用の落とし穴と対策とは？今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
」

最新情報はこちら

2025年2月28日2025年5月8日

脆弱性診断の基礎と実践！
手動診断とツール診断の違いを徹底解説　
第1回：手動診断のメリットとは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点（脆弱性）を特定する検査手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第1回として、脆弱性診断の手法の一つである「手動診断」のメリットや適用すべきケースを解説します。

第2回「ツール診断のメリットとは？」はこちら

脆弱性診断とは？

脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点（脆弱性）を特定する検査手法です。サイバー攻撃のリスクを最小限に抑えるために、企業が実施するべきセキュリティ対策の一つとされています。

セキュリティ対策としての脆弱性診断の重要性

近年、サイバー攻撃は巧妙化・多様化しており、企業のシステムやWebサービスが標的になるケースが増えています。攻撃者は、脆弱性を悪用して不正アクセスを試みたり、情報を窃取したりするため、事前に脆弱性を発見し、適切な対策を行うことが重要です。特に、以下の理由から脆弱性診断の実施が推奨されています。

データ漏えいの防止：個人情報や機密データの流出を防ぐ
サービスの継続性を確保：システム停止や改ざんを未然に防ぐ
法令・ガイドラインの遵守：情報セキュリティに関する規制対応（ISMS、NIST、PCI DSS など）
企業の信頼性向上：セキュリティ対策の強化によるブランド価値の維持

脆弱性診断の一般的な手法

脆弱性診断には、主に以下の2つの手法があります。

1.ツール診断（自動診断）

脆弱性診断ツールを使用し、自動でシステムのセキュリティをチェック
短時間で広範囲を診断でき、コストを抑えやすい
ただし、誤検出や一部検査できない項目もある

2.手動診断（セキュリティエンジニアによる診断）

専門家がシステムの動作やコードを解析し、精密な診断を行う
網羅的な範囲での診断ができる
高精度な診断が可能だが、コストと時間がかかる

このように、脆弱性診断は企業のセキュリティ対策の基盤となる重要な取り組みであり、ツール診断と手動診断を適切に組み合わせることで、より効果的な対策が実現できます。

手動診断とは？

手動診断とはセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。一般的な診断ツールでは検出しにくい複雑な脆弱性や攻撃手法にも対応できるため、より高精度な診断が可能になります。

手動診断の一般的な実施プロセス

手動診断の一般的な実施プロセスは以下のとおりです。

1.事前調査・ヒアリング

対象システムの構成や使用技術、セキュリティ要件を確認
想定される脅威シナリオの洗い出し

2.情報収集

システムの公開情報や利用可能なエントリポイントの特定
OSやミドルウェア、アプリケーションのバージョン情報を分析

3.手動テスト・脆弱性の特定

システム固有の処理に基づく攻撃シナリオの検証
ツールでは検出が難しい脆弱性（例：権限昇格、認証回避、APIの悪用）の発見

4.診断結果の分析とレポート作成

発見された脆弱性のリスク評価（重大度の分類）
具体的な対策案を含めたレポート作成

5.フィードバックと改善提案

お客様に診断結果を共有し、改善策を提案。必要に応じて再診断を実施

手動診断のメリット

手動診断を実施するメリットは、特に以下の3つの点があります。

1.高精度な診断が可能（ツール診断では見落としがちな脆弱性も発見できる）

自動ツールでは検出が難しい複雑な脆弱性やシステム固有のセキュリティリスクを特定できるのが、手動診断の大きな強みです。ツール診断はパターンマッチングやシグネチャベースでの診断が主ですが、手動診断では環境に応じた柔軟なテストが可能です。例えば、認証バイパスや権限昇格などの一部の脆弱性は、手動診断でないと見つけにくいケースが多くあります。

2.システム固有の処理を考慮した診断が可能（攻撃者視点でのリスク分析）

攻撃者がどのような手法でシステムを侵害できるかを想定し、システム固有の脆弱性を考慮した診断が可能です。例えば、Eコマースサイトでは、カート機能を悪用した決済の不正操作、ログイン処理の回避、注文金額の改ざんなどのシステム固有の処理に存在する脆弱性が狙われます。このような攻撃パターンは、ツールでは自動検出が困難です。企業のシステムに対する実際の攻撃手法を再現し、攻撃者視点でリスクを洗い出すことで、より実践的な対策が可能になります。

3.診断結果の詳細なレポートと具体的な改善策の提示

手動診断では、単に脆弱性の有無を報告するだけでなく、診断結果の詳細な分析と、具体的な改善策の提案が可能です。

脆弱性のリスク評価
発見された脆弱性に対して、攻撃が実際に実行された場合の影響度を評価し、対応の優先度を明確にします。これにより、企業がどの対策を優先すべきか判断しやすくなります。
システムに適した改善策の提案
対象システムの構造や運用に最適な対応策を提示できます。
組織のセキュリティレベル向上に貢献
診断後のレポートを活用することで、企業の開発・運用チームがセキュリティ意識を高め、今後のリスク管理をすることに役立ちます。

セキュリティエンジニアによる分析の重要性

手動診断が有効な理由は、セキュリティエンジニアの専門知識と攻撃者視点の分析が加わることで、より実践的な脆弱性の発見が可能になるためです。コストや時間がかかるものの、企業の重要なシステムや高度なセキュリティ対策が求められる環境では、不可欠な診断手法といえます。

手動診断が適しているケース

手動診断は特に以下のケースで実施が推奨されます。

1.Webアプリケーションやシステムの重要な部分を診断したい場合

企業の基幹システムやWebアプリケーションは、ビジネスに直結する重要な資産であり、セキュリティの脆弱性が重大な被害につながる可能性があります。手動診断を行うことで、攻撃者の視点から脆弱性を洗い出し、リスクを最小限に抑えることができます。ミッションクリティカルなシステム（決済システム、顧客管理システム（CRM）、医療情報システム）など、情報漏えいや不正アクセスの影響が大きいシステムにも最適です。

2.ツール診断では対応できない複雑な脆弱性を特定したい場合

ツール診断は一般的な脆弱性をスキャンするのに適していますが、攻撃者が巧妙に悪用するような複雑な脆弱性の検出には限界があります。手動診断では、ツールでは見つけられない高度な攻撃パターンを想定して診断を行うことができます。

ツール診断では発見しにくい脆弱性の例
・システム固有の処理の不備（例：注文金額の改ざん、認証バイパス、不正送金）
・認証・認可の欠陥（例：権限昇格、APIの不正利用、セッション管理の不備）
・ゼロデイ攻撃のリスク評価（ツールでは未知の脆弱性を検出できない）
手動診断が有効なケース
・ツール診断の結果に基づき、より詳細な調査が必要な場合
・重大な脆弱性が懸念されるシステムで、ツールの誤検出や見落としが心配な場合

3.企業独自のシステムに合わせたセキュリティ診断が必要な場合

標準化された診断ツールは、広く一般的な脆弱性を検出するのに適していますが、企業が開発した独自システムの仕様に依存する一部の脆弱性の検出はできません。手動診断では、個々の企業システムに合わせた診断も可能です。

特定の業界や業務フローに依存するシステム
・金融機関のオンラインバンキングシステム
・ECサイトのカート・決済フロー
・医療機関の電子カルテシステム
企業のポリシーに基づいたカスタム診断
・企業独自のセキュリティ要件に基づいた診断が可能
・企業の内部プロセスを考慮したセキュリティ評価ができる

手動診断を実施する際の注意点

手動診断を実施する際にはいくつかの注意点があります。特に、コストや診断期間の確保について事前に理解しておくことが重要です。

1.コストが高くなる傾向がある

手動診断は専門のセキュリティエンジニアが個別に対応するため、ツール診断と比較してコストが高くなりやすいという特徴があります。なぜコストが高くなるのでしょうか。

エンジニアの専門知識と経験が必要
・セキュリティの専門家がシステムの構造や処理を分析し、最適な攻撃シナリオを考慮するため、人件費がかかる。
診断範囲に応じた工数が発生
・大規模なシステムや複数のアプリケーションを対象にする場合、診断工数が増え、それに伴いコストも上昇。
カスタム診断が必要な場合は追加費用が発生
・企業独自のシステムや特殊な環境（IoT、クラウド環境、APIなど）の診断には、標準的な診断手法ではカバーできないケースがあり、追加費用が必要になることも。

2.診断に時間がかかる（スケジュールの確保が必要）

手動診断は、対象システムの規模や複雑さに応じて診断期間が長くなる傾向があります。企業の規模によっては数週間～数か月程度かかる場合もあるため、診断を実施する際は、事前に十分なスケジュールを確保することが重要です。

まとめ

手動診断はセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。診断結果はレポートとして具体的な改善策を提示し提供されるため、企業のセキュリティレベル向上に貢献します。ただし、コストが高く、診断には時間がかかるため、ツール診断と組み合わせることで、効率的かつ精度の高いセキュリティ対策が可能になります。企業のシステムやWebアプリの重要な部分を守るためには、ツール診断と手動診断を上手く組み合わせて実施することが有効です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

―第2回「ツール診断のメリットとは？」はこちら―
―第3回「手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方」はこちら―

2025年2月5日2025年8月13日

【徹底解説】
日本航空のDDoS攻撃被害の実態と復旧プロセス

contents

概要

2024年12月26日、日本航空（JAL）はDDoS攻撃を受け、国内外のフライトで大規模な遅延が発生。国内線60便、国際線24便で30分以上の遅延が生じ、最大4時間2分の遅延が報告されました。攻撃はネットワーク機器への大量データ送信による過負荷が原因で、飛行計画や貨物重量計算システムが通信不能となりました。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「Dos攻撃とは？DDos攻撃との違い、すぐにできる3つの基本的な対策」

DDoS攻撃とは？

DDoS攻撃とは、攻撃者が複数のコンピューターを利用し、標的のシステムに大量のデータを送りつけることでサービスを妨害する手法です。特に航空業界では、この攻撃が深刻な影響を及ぼすことがあります。日本航空（JAL）に対する攻撃もその一例であり、システムに過負荷をかけ、正常な運用を妨げました。

攻撃の詳細

このDDoS攻撃は、2024年12月26日午前7時24分に発生しました。この時間帯は多くのフライトが運航するピーク時であり、影響は甚大でした。日本航空（JAL）は、攻撃発生時に多くの乗客が移動中であったため、システムの混乱がさらに深刻化したと報告しています。DDoS攻撃の結果、JALの一部システムが一時的に停止し、フライトの遅延が発生しました。具体的には、国内線24便が30分以上遅延し、多くの乗客に影響を与えました。

システム復旧の過程

日本航空（JAL）は、発生したDDoS攻撃により、システムの不具合や航空券販売の停止、フライトの遅延などの影響を受けました。年末の繁忙期に多くの乗客が影響を受ける中、専門のサイバーセキュリティチームが迅速に対応し、ネットワークの一時遮断と復旧作業を実施。数時間でシステムは正常化し、フライトの安全性にも影響はありませんでした。復旧後、JALはセキュリティ対策を強化し、最新の防御技術を導入するとともに、従業員のサイバーセキュリティ教育を推進。今後の攻撃リスクを軽減し、乗客の安全確保を目指しています。

DDoS攻撃に対する今後の予防策

多要素認証の導入
システムへのアクセス制限を強化し、不正アクセスを防止する
定期的なネットワークのストレステスト
脆弱性を早期に発見し、攻撃時の影響を最小限に抑える
サイバーセキュリティ意識の向上
スタッフへの定期的なトレーニングや演習を実施し、攻撃の兆候を早期に察知できる体制を整備する
インシデント対応計画の見直しと更新
攻撃発生時の役割分担や連絡体制を明確化し、シミュレーションを通じて計画の実効性を確認する
過去の攻撃事例の分析と対策の最適化
これまでの攻撃事例を検証し、より効果的な防御策を導入することで業務の継続性を確保する

これらの対策を実施することで、DDoS攻撃のリスクを軽減し、システムの安全性を高めることができます。

まとめ

今回の事件は、日本のサイバーセキュリティの脆弱性を浮き彫りにし、航空業界全体における防御強化の必要性を示しました。今後、日本は国際的な協力を強化し、より強固なサイバーセキュリティ対策を講じることが求められます。今回の事件を教訓に、防御策の強化が急がれています。

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月12日（水）14:00～15:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

2025年2月19日（水）14:00～15:00
「Web担当者に求められる役割とは？Webサイトのガバナンス強化とセキュリティ対策を解説」

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

最新情報はこちら

2025年1月31日2025年5月8日

ネットワーク脆弱性診断とは？
【応用編】：企業のセキュリティを守る重要な対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。最終回となる第3回目は応用編として、企業が直面するネットワークのセキュリティ課題について、事例とともに紹介します。最後に、ネットワーク脆弱性診断の実施メリットや適切なサービス選びのポイントを解説します。

企業が直面するネットワークセキュリティの3つの課題

近年、企業ネットワークに対する攻撃はますます高度化・多様化しており、外部からのサイバー攻撃だけでなく、内部要因によるセキュリティリスクも増加しています。企業が直面しがちなセキュリティ課題について主な例を紹介します。

外部からの攻撃
外部からのサイバー攻撃は、組織にとって最大の脅威の一つです。例えば、ランサムウェア攻撃によって重要なデータが暗号化され、多額の身代金を要求される事例が増加しています。また、DDoS攻撃によってウェブサイトやシステムが停止し、業務継続に支障をきたすケースもあります。

内部脅威（内部者の不正行為、設定ミス）
内部者による不正行為や設定ミスも深刻な課題です。例えば、従業員が意図せず機密情報を漏洩したり、不適切なシステム設定が攻撃者に侵入の隙を与えたりするケースもあります。特に、クラウドサービスの設定ミスは外部から気づかれにくいため、重大な被害を引き起こすことがあります。

ハイブリッド環境における複雑な管理
クラウドとオンプレミスのシステムが共存するハイブリッド環境では、ネットワークの複雑さが増し、セキュリティ管理が難しくなっています。例えば、クラウド環境でのアクセス制御ミスや、オンプレミス環境の古いシステムに未適用のセキュリティパッチが攻撃の入り口となることがあります。

これらのセキュリティ課題を放置してしまうと、情報漏洩や業務停止といった直接的な損害だけでなく、顧客や取引先の信頼を失うという長期的な影響も避けられません。これらの課題に適切に対応するためには、ネットワーク環境全体の脆弱性を把握し、的確な対策を講じることが不可欠です。

ネットワーク脆弱性のリスクとは？古いOSやソフトウェア使用の危険性

企業のネットワーク環境で脆弱性が放置されていると、攻撃者に侵入されるリスクが高まります。よく知られるネットワークの脆弱性カテゴリの例は以下の通りです。

古いソフトウェアやOS
サポートが終了したOSや古いバージョンのソフトウェアを使用していると、攻撃者が既知の脆弱性を悪用し、システムに侵入するリスクが高まります。

デフォルト設定や弱いパスワード
ネットワーク機器やアプリケーションがデフォルト設定のままだと、攻撃者が簡単に侵入できる可能性があります。また、『123456』や『password』のように単純な文字列で構成されたパスワードは、総当り（Brute-Force）攻撃の成功率を高めます。

ネットワークの脆弱性を悪用した攻撃事例

ネットワークの脆弱性を悪用した攻撃は、世界中で多くの企業に甚大な影響を与えています。ここでは、実際に起きた攻撃事例の情報が掲載されているサイトの一部をご紹介します。

ランサムウェア攻撃の事例
近年、企業で最も被害件数が増えているサイバー攻撃はランサムウェア攻撃です。ランサムウェアは、個人情報や企業の機密情報などの重要なデータを暗号化することによって、被害者に深刻な損害をもたらします。
【2025年最新】国内外におけるランサムウェアの被害企業一覧とその実態
参考：https://cybersecurity-jp.com/contents/data-security/1612/

DDoS攻撃の事例
【2024年版】国内DDoS攻撃被害企業の例
参考：https://act1.co.jp/column/0125-2/

SQAT.jpでは以下の記事でDoS攻撃・DDoS攻撃に関する情報をご紹介しています。こちらもあわせてご覧ください。
「DoS攻撃とは？DDoS攻撃との違い、すぐにできる3つの基本的な対策」

攻撃者は依然として、セキュリティがあまいシステムを狙っているため、隙をつくらないよう事前に防御しておきたいところです。ネットワーク脆弱性診断を定期的に実施することで、潜在的なリスクを早期に発見し、被害を未然に防ぐことができます。次の項目で、ネットワーク脆弱性診断実施によるメリットについて具体的に紹介します。

ネットワーク脆弱性診断実施によるメリット

ネットワーク脆弱性診断を実施することで得られるメリットは大きく分けて以下の3つになります。

攻撃リスクの低減
ネットワーク脆弱性診断を実施することで、サーバやネットワーク機器、端末などに対する攻撃リスクを大幅に低減できます。ネットワーク脆弱性診断では、情報漏洩やデータ改ざんの原因となるセキュリティホール、構成ミス、OSやミドルウェア、サーバソフトウェアの未適用パッチを事前に特定することによって、どのように対策を講じればよいかがみえてきます。これにより、サイバー攻撃のリスクを未然に防ぎ、ビジネス継続性を確保します。結果的に企業全体のセキュリティレベルが向上するため、自組織がサイバー攻撃の対象となる機会を減らし、安心して業務を進められる環境を整えることができます。

顧客・取引先からの信頼向上
顧客や取引先に対し、情報資産を守るための積極的な姿勢をアピールすることで、信頼度が向上します。診断の実施は、セキュリティコンプライアンスの基準を満たすことにも寄与し、パートナー企業や規制当局からの信頼性を確保します。結果的に、安心感を提供することで取引関係の強化や新規顧客獲得のチャンスを広げ、企業成長を後押しします。

セキュリティ対策コストの削減
ネットワーク脆弱性診断は、長期的な視点で考えると、セキュリティ対策コストを削減する効果があります。診断を通じて、リスクの優先順位を明確化し、効果的かつ効率的な対策を講じることで、不要な出費を回避できます。例えば、全てのシステムやデバイスに無差別に対策を施すのではなく、本当に必要な部分にのみリソースを集中させることが可能です。また、診断の結果をもとに適切な運用改善やセキュリティツールの選定を行うことで、運用コストを最適化します。さらに、セキュリティインシデント発生時の対応コストや業務停止による損失を未然に防ぐことにもつながります。

定期的な脆弱性診断の実施の重要性

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステムの特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

脆弱性診断サービスの選び方

脆弱性診断サービスを選ぶ際には、信頼性と効果的な診断を提供できるベンダーを選定することが重要です。選定時に注目すべきポイントをご紹介します。

ベンダーの実績確認
まず、ベンダーの実績を確認することが大切です。過去に同業種の企業での診断経験があるか、セキュリティに関する認定資格を持つ専門家がいるかを確認しましょう。例えば、独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティサービス基準適合サービスリスト」には、経済産業省が策定した「情報セキュリティサービス基準」に適合した信頼性の高い事業者のサービスが掲載されています。また、顧客レビューや導入事例の有無も信頼性を判断するポイントです。

診断範囲やツールの使用状況
提供される診断範囲や使用ツールを確認しましょう。ネットワーク、アプリケーション、クラウド環境など、対象範囲が自社のセキュリティニーズに合致していることが重要です。また、自動診断ツールと手動診断を組み合わせたサービスは、より精度の高い結果が期待できます。

コストパフォーマンスとアフターサポート
コストパフォーマンスも重要なポイントです。見積もり金額だけでなく、診断後のレポート作成や改善提案、アフターサポートが充実しているかを確認しましょう。一時的な診断だけでなく、継続的なサポートを提供しているベンダーは、長期的なセキュリティ向上に貢献します。

また、選定時は価格だけで判断せず、サービス内容やサポート体制も慎重に検討しましょう。診断結果が形骸化しないよう、実行可能な改善提案を行うベンダーを選ぶことも重要です。

適切な脆弱性診断サービスを選ぶことで、ネットワークのセキュリティリスクを大幅に軽減できます。弊社ブロードバンドセキュリティが提供するSQAT脆弱性診断サービスでは、診断範囲の柔軟なカスタマイズや専門家によるサポートを提供しています。詳細はこちらをご覧ください。

SQAT脆弱性診断サービスの優位性

SQAT®（Software Quality Analysis Team）サービスは「システムの弱点をあらゆる視点から網羅する」「正確かつ客観性の高いレポートをする」「お客様にわかりやすく説明する」が特徴です。お客様は、すべての問題部位と脆弱性のポイントの把握、リスクに対する明確な理解、具体的な対策立案のヒントを得ることが出来ます。

SQAT脆弱性診断サービスの特長

外部からの脆弱性診断のみご提供するのではなく、様々な情報セキュリティ対策の観点からサービス・ソリューションを組み合わせ、お客様にとって最適解をご提案するのが、SQAT脆弱性診断サービスの特徴です。

まとめ

ネットワーク脆弱性診断は、企業のセキュリティを守るために不可欠な対策の一つです。本記事では、外部攻撃、内部脅威、ハイブリッド環境の管理の複雑さという主要なセキュリティ課題を解説しました。特にランサムウェアやDDoS攻撃の事例では、情報漏洩や業務停止など深刻な被害が発生しています。脆弱性診断を実施することで、未適用パッチや設定ミスなどを特定し、サイバー攻撃のリスクを低減させることが可能です。また、定期的な診断は顧客や取引先の信頼向上にも寄与し、長期的にはコスト削減や効率的なリソース配分に繋がります。診断サービス選定時には、ベンダーの実績、診断範囲、コストパフォーマンス、アフターサポートの確認が重要です。特に弊社のサービスである、SQAT脆弱性診断サービスは柔軟な診断範囲や専門家のサポートを特徴とし、企業のセキュリティ強化を総合的に支援します。定期的な診断の実施で潜在リスクを早期発見し、セキュリティレベル向上を図りましょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年1月20日2025年5月8日

ネットワーク脆弱性診断とは？
【実践編】：実施の手順・診断ツールの効果的な選定ポイントを解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第2回目の今回は実践編として、ネットワーク脆弱性診断のステップ、NessusやOpenVASなどの脆弱性診断ツールの比較、選定ポイントについて解説します。セキュリティ強化に役立つ情報満載です！

ネットワーク脆弱性診断のプロセス

脆弱性診断は、情報システムやアプリケーションに存在するセキュリティ上の欠陥を特定し、リスクを軽減するための重要なプロセスです。以下は、脆弱性診断の一般的な流れです。

事前準備および調査

診断対象の特定
どのシステムやアプリケーションを診断するかを決定します。これには、Webアプリケーション、サーバ、ネットワーク機器などが含まれます。
診断範囲確定
診断する機能や画面遷移を洗い出し、重要な部分に焦点を当てます。これにより、コストや時間を効率的に管理できます。

診断実施

ツールを用いたスキャン
自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする方法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。
エンジニアによる手動診断
専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。

リスク分析

検出された脆弱性について、その深刻度や影響度を評価します。過去のデータ・最新の脅威動向および各種国際標準（例: CVSS等）を踏まえたリスク分析を実施します。

診断結果のレポート作成（対応策の提示）

発見された脆弱性の詳細、再現手順、および推奨される対策を含む報告書を作成します。この報告書は関係者に提供され、必要な対策が講じられる基礎となります。

フォローアップ

再診断:レポートの結果により、対処が必要な脆弱性の部分において修正が加えられたあと、再度その部分の診断を行い、脆弱性が適切に対処されたか確認します。また、必要に応じて追加のサポートやアドバイスも提供されます。

この流れは一般的なものであり、具体的なプロセスは組織やシステムによって異なる場合があります。

セキュリティ専門企業によるセキュリティ診断

外部のセキュリティ専門企業に脆弱性診断を依頼した場合は、まず事前準備や調査において、診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。診断が終了するとベンダーからレポートが提供されます。レポートに記載された脆弱性には深刻度や影響度などがスコア化されていることがあります。そのレポートをもとに、内容に応じて優先度をつけて、問題のある箇所を対処していきます。また、必要に応じて報告会が行われることもあります。

脆弱性診断ツールの例

脆弱性診断ツールは、システムやネットワーク内のセキュリティ上の弱点を検出し、未然にリスクを防ぐための重要な役割を果たします。以下に代表的なツールを紹介します。

Nessus
Nessusは、Tenable社が提供する商用の脆弱性スキャナで、ネットワーク機器やサーバ、アプリケーションに存在する脆弱性を高精度で検出します。ユーザーフレンドリーなインターフェースと定期的な脆弱性データベースの更新により、最新の脅威にも対応可能です。多様なプラグインを活用して、幅広い診断が行える点も特徴です。ただし、商用ツールのため、導入や運用にはコストがかかります。
OpenVAS
OpenVASは、オープンソースの脆弱性診断ツールで、無料で利用可能です。高い拡張性と柔軟性を持ち、コミュニティによる継続的なアップデートで最新の脆弱性情報にも対応しています。多様なスキャン設定が可能で、カスタマイズ性に優れています。一方、設定や運用には専門的な知識が求められるため、導入時には適切な人材の確保が重要です。
Burp Suite
Burp Suiteは、PortSwigger社が開発したWebアプリケーションのセキュリティテストに特化したプラットフォームです。ユーザがブラウザからWebアプリケーションにアクセスしたとき、サーバに対するリクエストとレスポンスを分析することで脆弱性を診断します。無料版と有料版があり、無料版でも十分な機能を持っているため、世界中で利用されています。

効果的な診断ツールの選び方

ツールを選ぶ際には、以下の点を考慮することが重要です。

コスト
初期費用やランニングコストを比較検討し、予算に合ったツールを選択します。ツールには無料版と有料版が存在し、それぞれ機能やサポート体制が異なります。無料版は初期費用がかからない反面、機能が限定されている、サポートが受けられないといった場合があります。一方、有料版は充実した機能とサポートを提供しますが、導入コストが発生します。自社の予算や必要な機能を明確にし、費用対効果を検討することが重要です。
スキル
ツールの操作性や必要な専門知識も選定時の重要な要素です。専門人材がいる場合は、高度な設定やカスタマイズが可能なツールを選ぶことで、より詳細な診断が可能です。一方、専門知識が乏しい場合は、ユーザーフレンドリーで操作が簡単なツールを選ぶと、効果的に活用できます。ツールの操作性やサポート体制を確認し、自社の人材スキルに適したものを選びましょう。
診断範囲
診断対象の規模や範囲もツール選定の際に考慮すべきポイントです。大規模なネットワークや複数のWebサイトを管理している場合、診断範囲が広く、同時に複数の診断が可能なツールが適しています。また、将来的な拡張性も視野に入れ、スケーラビリティの高いツールを選ぶことで、長期的な運用がスムーズになります。診断範囲や項目が自社のニーズに合致しているかを確認しましょう。

これらのポイントを総合的に評価し、自社の要件に最適な脆弱性診断ツールを選定することが、効果的なセキュリティ対策につながります。

まとめ

脆弱性診断は、情報システムやアプリケーションのセキュリティリスクを特定し、軽減するための重要なプロセスです。まず事前調査で診断対象と範囲を確定し、Webアプリやサーバ、ネットワーク機器に焦点を当てます。診断では、ツールを使ったスキャンで既知の脆弱性を迅速に検出し、エンジニアが手動でツールでは見つけられない複雑な問題を特定します。次に、検出した脆弱性の深刻度や影響度を評価し、CVSSなど国際標準に基づいたリスク分析を実施します。結果はレポートとしてまとめ、再現手順や対策が示されます。修正後には再診断を行い、対策が有効か確認し、必要に応じて追加のサポートも提供されます。外部ベンダーに依頼する場合も、事前調査からレポート提供までの流れは同様です。代表的な診断ツールには、商用のNessus、オープンソースのOpenVAS、Web診断向けのBurp Suiteがあり、それぞれ特性が異なります。ツール選定では、コスト、操作スキル、診断範囲を考慮し、自社に適したものを選ぶことが効果的なセキュリティ対策に繋がります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年12月27日2025年5月8日

2024年のサイバーセキュリティ振り返り
-KEVカタログが示す脆弱性の実態-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

米サイバーセキュリティ・社会基盤安全保障庁（Cybersecurity and Infrastructure Security Agency、以下CISA）が2021年から公開しているKEVカタログ（Known Exploited Vulnerabilities Catalog）は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

※本記事で扱うKEVカタログの情報は2024年12月10日（アメリカ現地時間付け）のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。（参考：2023年1月～12月…187件）

KEVカタログに登録された脆弱性の概要

KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

表1　CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

米国以外での悪用実態の反映

2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の２件です。

CVE-2023-28461：Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
KEVカタログ登録日：2024年11月25日
JPCERT/CC注意喚起（2023年9月22日発行）:https://www.jpcert.or.jp/at/2023/at230020.html

SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告：ArrayOS AG における深刻な脆弱性 CVE-2023-28461」

CVE-2023-45727：North Grid ProselfのXML外部エンティティ（XEE）参照の不適切な制限の脆弱性
KEVカタログ登録日：2024年12月3日
JPCERT/CC注意喚起（2023年10月26日発行）:https://www.jpcert.or.jp/at/2023/at230022.html

2024年11月にトレンドマイクロが公開したブログ*1では上記２件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

CVE-2024-11667：Zyxelの複数ファイアウォールのパストラバーサル脆弱性
KEVカタログ登録日：2024年12月3日
独Bundesamt für Sicherheit in der Informationstechnik（以下BSI）による注意喚起（2024年11月22日発行）※ドイツ語:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf?__blob=publicationFile&v=3

なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

ベンダ別登録数

2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

図1　KEVカタログベンダ別登録数（一部）

なぜMicrosoftの登録数が多いのか

Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94％となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア（ランサムウェア含む）を配置し、自身の目的（金銭や情報の窃取など）を達成することができます。

一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性（主にゼロデイ）となります。

Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
「Active Directoryを侵害から守るためのガイド」

Windows OSの脆弱性：古いテクノロジーの残存

Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性（EdgeにおけるIEモードのサポート）の維持の目的で最新のOSでも残存しています。

事例：CVE-2024-43573：Windows MSHTMLの脆弱性

MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

図2　CVE-2024-43573：Windows MSHTMLの脆弱性

その他登録数上位のベンダ

2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの５社になります。各ベンダについては以下をご参照ください。


ベンダ名	説明
Ivanti	旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
Android	Android OSなどを提供する米国Google社内のAndroid Open Source Project
D-Link	台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
Palo Alto Networks	ファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
VMware	ハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

製品タイプ別登録数

2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています（40件、23%）。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も３位となっています（15件、9%）。そしてインフラストラクチャ管理製品が全体の10%（２位、18件）、エンドポイント管理製品が6%（４位、11件）を占めています。

図3　製品タイプ別KEVカタログ登録数

インフラストラクチャ管理製品の悪用

インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用


対象製品	CVE	CWE	自動化
FortiManager	CVE-2024-47575*3	CWE-306 重要な機能の使用に対する認証の欠如	不可
PAN-OSの管理インターフェース	CVE-2024-0012*4	CWE-306 重要な機能の使用に対する認証の欠如	可
	CVE-2024-9474*5	CWE-77 OSコマンドインジェクション	不可


製品	製品概要	攻撃の概要注 3)	攻撃者
FortiManager	Fortinet製品の統合管理用のアプライアンス	・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得・脅威アクターのデバイスをFortiManagerに登録	不明備考 IOCなどはこちらを参照。 https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
PAN-OSの管理インターフェース	PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。	・WebShell（難読化）を使用して管理者権限を奪取・管理アクションの実行や設定改ざん、特権昇格など	不明備考 IOCなどはこちらを参照。 https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

ITアセット統合管理ツールの脆弱性悪用


対象製品	CVE	CWE	自動化
CyberPersons Cyber Panel	CVE-2024-51378*6	CWE-276 不適切なデフォルトパーミッション	可
VMware vCenter Server	CVE-2024-38812	CWE-122 バッファオーバーフロー	可
	CVE-2024-38813	CWE-250 不要な特権による実行	不可
		CWE-273 削除された特権に対する不適切なチェック	不可


製品	製品概要	攻撃の概要	攻撃者
CyberPersons Cyber Panel	オープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できる	ミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7	Helldownランサムウェア*8
VMware vCenter Server	vSphereシリーズの大規模仮想化環境の運用管理支援ツール	vCenter Server v7.0で導入されたPlatform Services Controller（PSC）によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9	不明

EOL製品への対応

ここでEnd-of-Life（サポート終了期限）と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL（End-of-Life、製品サポート終了）を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

表2　2024年にKEVカタログに登録されたD-Link製品と推奨対策


対象製品	CVE	KEVカタログ登録日	推奨対策
DIR-820	CVE-2023-25280	2024年9月30日	買い替え
DIR-600	CVE-2014-100005	2024年5月16日	買い替え
DIR-605	CVE-2021-40655	2024年5月16日	買い替え
複数のNAS製品注 5)	CVE-2024-3272	2024年4月11日	買い替え
	CVE-2024-3273	2024年4月11日	買い替え
DSL-2750B	CVE-2016-20017	2024年1月8日	製品型番を確認の上、必要に応じてパッチ適用

CWE別登録数

2024年のCWE別登録数のトップ10は以下の通りです。

表3　CWE別KEVカタログ登録件数


ランク	CWE	概要	件数	CWE top 25ランク	2023年登録数	2023年登録数ランク
1位	CWE-502	信頼できないデータのデシリアライゼーション	11	16	8	7
1位	CWE-78	OSコマンドインジェクション	11	7	11	3
3位	CWE-416	開放済みメモリの使用	10	8	16	2
4位	なし	CWEに該当する項目がないもの	9	–	22	1
5位	CWE-22	パストラバーサル	8	5	4	15
6位	CWE-287注 6)	不適切な認証	8	14	5	12
7位	CWE-787	境界外書き込み	7	2	9	5
8位	CWE-843	型の取り違え	6	ランク外	4	15
8位	CWE-94	コードインジェクション	6	11	9	5
10位	CWE-284注 7)	不適切なアクセス制御	5	ランク外	6	8

※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ１件としてカウントしています。

2024年のCWE別登録数の傾向

C言語起因の脆弱性の減少

代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個（全体の約28％）から2024年は33個（全体の約19％）へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

Apple登録件数…2023年21件→2024年7件
Samsung登録件数…2023年8件→2024年0件

表4　C言語が関連するKEVに登録されたCVE一覧（2023年～2024年）


C言語が主要な原因となるCWE	2024年にKEVに登録されたCVE	2023年にKEVに登録されたCVE
CWE-119: バッファオーバーフロー	CVE-2017-1000253, CVE-2023-6549	CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
CWE-120: クラシックバッファオーバーフロー		CVE-2023-33009, CVE-2023-33010, CVE-2023-41064
CWE-122: ヒープベースのバッファオーバーフロー	CVE-2024-38812, CVE-2024-49138, CVE-2024-30051	CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
CWE-125: 範囲外メモリの読み取り		CVE-2021-25487, CVE-2023-28204, CVE-2023-42916
CWE-134: 制御されていないフォーマット文字列	CVE-2024-23113
CWE-190: 整数オーバーフロー/アンダーフロー	CVE-2022-0185, CVE-2024-38080	CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
CWE-401: メモリリーク		CVE-2023-26083
CWE-416:解放後使用(Use After Free)	CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586	CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
CWE-787: 範囲外への書き込み	CVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761	CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
CWE-823: メモリ位置外へのポインタ参照		CVE-2021-25372

これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

登録件数上位のCWEと代表的な脆弱性

表5　登録件数上位のCWEと代表的な2024年の脆弱性


CWE	CVE	ベンダ・製品名	脆弱性概要	攻撃者の情報	自動化
CWE-78	CVE-2024-40711	Veeam Backup & Replication	非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10	ランサムウェア（Akira, Fog, Frag）*11	可
CWE-78	CVE-2024-1212	Progress Kemp LoadMaster	非認証ユーザーによるOSコマンドインジェクション*12	不明	可
CWE-22	CVE-2024-8963	Ivanti Cloud Services Appliance (CSA)	管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。	不明備考ただしIOCや悪用の詳細についてはFortinet社から公開されている。 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa	可

脆弱性悪用の自動化の可否

2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization（ステークホルダー固有の脆弱性の分類、略称SSVC）に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル（アプリケーションや機器を実環境で使っている人が対象のモデル）では脆弱性に対するAutomatable（自動化の可否）の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

SSVC（Stakeholder-Specific Vulnerability Categorization）について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
「脆弱性診断は受けたけれど～脆弱性管理入門」

表6　2024年にKEVカタログに掲載された脆弱性の自動化可否

自動化可否	件数
可能	75
不可	86
データなし	14

出典：https://github.com/cisagov/vulnrichmentよりデータを取得

ランサムウェアグループの悪用が判明しているもの

2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

表7　ランサムウェアグループによる悪用の判明

ランサムウェアグループの悪用	件数
判明している	22
不明	153

注：
1)　CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
2)　CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
3)　https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/（2024年12月13日参照）
4)　PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
5)　対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
6)　CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
7)　CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年1月15日（水）13:00～14:00
「スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」

2025年1月22日（水）14:00～15:00
「ランサムウェア対策の要！ペネトレーションテストとは？ -ペネトレーションテストの効果、脆弱性診断との違い-」

2025年1月29日（水）13:00～14:00
「サイバー攻撃から企業を守る！ソースコード診断が実現する“安全な開発”」

最新情報はこちら

	具体的な攻撃手法の例	ターゲット
Webアプリケーションの脆弱性を悪用する攻撃	・バッファオーバーフロー・SQLインジェクション・ディレクトリトラバーサル・クロスサイトスクリプティング　（XSS）他	Webアプリケーション
不正アクセス・不正ログイン	・Brute-Force攻撃・パスワードリスト型攻撃・パスワードスプレー攻撃・内部不正・有効なアカウントの　窃取・売買・悪用	各種アプリケーションやシステム、ネットワーク
フィッシング	・フィッシングメール・スミッシング（フィッシングSMS）・フィッシングサイト	・個人・法人内個人
DoS攻撃・DDoS攻撃	・フラッド攻撃・脆弱性を利用した攻撃・ボットネット悪用	・組織・企業・国家・社会･重要インフラ・個人のWebサービスなど
ゼロデイ攻撃	修正プログラムが公開されていない脆弱性に対する攻撃	・組織・企業・国家
DNS攻撃	・DoS攻撃・DNSキャッシュポイズニング・カミンスキー攻撃・DNSハイジャック　（ドメイン名ハイジャック）	・企業・組織・国家・個人のWebサービスなど
ソーシャルエンジニアリング	・会話等によるクレデンシャル　情報等の窃取	組織・企業内の個人