2014年、攻撃者に最も利用されたセキュリティの脆弱性とは?Computer Weekly

HP Security Researchが、年に一度のサイバーリスクリポートを発表。このリポートにより、2014年に攻撃者が最も利用した攻撃手法が明らかとなった。

» 2015年04月15日 10時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 サイバー攻撃者が次々と新たなテクノロジーの開発を進める一方、2014年にサイバーセキュリティ上のインシデント(被害)を経験した企業や組織のほとんどにおいて、そのインシデントの原因は既知の脅威やシステム設定の不具合だという。このような調査結果を含む「Cyber Risk Report」の最新版を米HPが2015年2月に発表した。

Computer Weekly日本語版 4月15日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 HP Security Researchが年1回公開しているこのリポートによると、2014年に悪用された脆弱性の上位10種(件数ベースで集計)はほとんど既知のもので、数年前あるいは数十年前からシステムに潜んでいたことが明らかになった。

 2014年に報告されたシステム侵入事例のうち、2〜4年前からシステムに存在した脆弱性を攻撃されたものは実に44%に上る。つまり、攻撃者は一般に広く知られた手法を長く使い続けている。

 リポートでは、2014年に攻撃を受けた脆弱性がユーザーのシステムにそもそも存在した理由として、最も多いのは不適切な構成のまま運用しているサーバだと特定している。サーバに不適切な設定を残すと、攻撃者にとって格好の足掛かりが用意されたことになる。言い換えると、不適切なサーバ設定が、組織全体にとっての脆弱性となる。

 「現在最大級とみられているセキュリティリスクの中には、われわれが何十年も前から把握しているものが少なくない。企業や組織がそんなリスクを放置してきた結果、必要以上に自らの組織を危険にさらしている」と指摘するのは、米HPの上級副社長で、エンタープライズセキュリティ製品担当のゼネラルマネジャーも兼任するアート・ギリランド氏だ。

 「われわれはセキュリティを他人任せにして、将来決定的な(攻撃に対する防御や情報保護の)テクノロジーが登場するのをただ待つような、リスクを防ぐことについて逃げ腰の姿勢ではいけない。全く逆が望ましい。組織は抜本的なセキュリティ戦略に取り組まなければならない。既知の脆弱性に対処するのはもちろん、さらに一歩踏み込んで積極的にリスクをある程度事前に排除しておくくらいの戦略だ」(ギリランド氏)

ハッカーがつけ入るスキを与えない

 リポートでは、インターネットに接続された各種デバイスを標的とする、新手の攻撃が発生しているとも述べている。2014年は、モノのインターネット (IoT)を形成する計器などのデバイスでセキュリティ上の懸念が顕在化してきただけにとどまらず、モバイルデバイスのレベルでマルウェアが検出される例が増えてきた。

 コンピューティングのエコシステムが拡大を続ける中、大企業がセキュリティに本気で向き合わないと、システム上で攻撃の糸口を探し続ける攻撃者の勢いは抑えられないだろうとリポートは警告する。

 リポートはさらに、脆弱性のほとんどはプログラミングで起こりがちな、比較的少数のミスに由来する。そのため、ソフトウェア(製品)に潜んでいる脆弱性は、古かろうが新しかろうが、攻撃者はすぐに見つけて攻撃してくるとも付け加える。

 続けてリポートでは、ネットワークの防御を担当するリソースを配置して、タイムリーにパッチを適用する包括的な戦略を展開するよう勧告している。システムに対して常に最新のセキュリティ保護を確実に適用し、似たようなパターンの攻撃を立て続けに受ける事態を減らすのが狙いだ。

 加えて、社内および社外のチームを動員してペネトレーションテスト(侵入検査)とサーバ設定の検証を定期的に実施することも、リポートは勧告している。サーバの設定が正しくない箇所を攻撃者に利用される前に特定すると同時に、新しいテクノロジーを導入するに当たって、ネットワークのリスクを事前に軽減するためでもある。

セキュリティの要はコラボレーション

 IoTなどの最先端テクノロジーが次々に登場する現状では、(大企業ユーザーは)実際に攻撃を受ける前に攻撃の新しい手口にはどんなものがあるのかを把握して、セキュリティの脆弱性から組織を守ることが急務だとリポートは提言している。

 企業間の垣根を越えてセキュリティ業界全体で一致協力し、脅威に立ち向かうためには、コラボレーションと脅威インテリジェンスの共有がカギとなるとリポートは分析する。

 これらの施策を実現すれば、ユーザーの組織は敵である攻撃者の戦術に対する知見を得られるので、より積極的な防御、セキュリティシステムによる保護の強化、環境全体の安全性の向上などの達成が期待できるとリポートは述べている。

 リポートは最後に、大規模組織は常に「いつか必ず攻撃される」という心構えを崩さずに、補足的なシステム保護対策も導入するのが望ましいと、再び提言する。どの組織にも有効な万能策は存在しないので、セキュリティの担当者は補足的なセキュリティ対策を二重三重に展開して、システムの保護に最善を尽くすべきだとリポートは締めくくっている。

Computer Weekly日本語版 F1特集号(転載・再配布フリー)も公開中!

あまり報じられることのない、F1の世界で活用されているIT事情を事例やインタビューを通して紹介。ロータス、マクラーレン、メルセデス、ケータハムのクラウド、ビッグデータ、ファイル共有戦略とは?

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ