Log4jの脆弱性の影響を受ける企業も 日本の時価総額上位25社のIT資産にサイバーリスク

Tenableは日本の時価総額上位25社の12万件以上のIT資産がサイバーリスクにさらされていると報告した。中にはTLS 1.0や旧版Log4Jをまだ利用中の企業もあった。

[後藤大地，有限会社オングス]

　Tenable Network Security Japanは2023年7月13日、時価総額上位25に入る国内企業（Companies Market Cap調査）のセキュリティ実態調査を公開した。調査によると、12万件を超えるIT資産が悪用のリスクにさらされていることが明らかになったという。

時価総額上位25に入る国内企業（出典：Companies Market CapのWebサイト）

TLS 1.0や旧版Log4jをまだ利用中　大手企業が抱えるセキュリティリスク

　調査対象の企業は平均で4800件以上のインターネットと接続のあるIT資産を所有していることが分かった。Tenableは調査結果を踏まえ、「機密データや重要システムの保護には、膨大な規模のセキュリティアーキテクチャが必要だ」と指摘している。

　Tenableは今回の調査結果において、特に以下の4点について指摘している。

• 調査対象となった企業のIT資産のうち7000件がいまだにTLS 1.0対応だった。TLS 1.0は1999年に定義されたセキュリティプロトコルで、2022年9月にはMicrosoftが機能を無効にするなどすでに非推奨になっている。この状況はインターネットを利用している企業にとって古い技術を特定して更新することが難しくなっていることを示している
• 調査対象となった企業のIT資産のうち4000件がいまだに古いバージョンの「Apache Log4j」（Log4j）を使っており、Log4jにおける重大な脆弱（ぜいじゃく）性、通称「Log4Shell」の影響を受けることが分かった
• 調査対象となった企業のIT資産のうち1万2000件以上が内部での使用を前提としているが、知らないうちに現在では外部からアクセス可能な状態になっていた。この状況は組織にとって大きなリスクにつながる可能性がある
• 調査対象となった企業のIT資産のうち6000以上のAPIが特定された。APIはシームレスなデータ交換を可能にするために必要だが、不十分な認証や入力検証、アクセス制御、APIv3実装の依存関係脆弱性などが原因でアタックサーフェスを形成している。これを悪用することで、サイバー攻撃者によって不正アクセスやデータ破壊が引き起こされる可能性がある

　日本ではあらゆる業界のさまざまな規模の企業でクラウド利用が推進されている。この結果、インターネットに接続されたIT資産の増加が続いており、それらが組織内部への侵入経路になり得るリスクを生んでいる。

　Tenableは調査の結果、「デジタルフットプリント全体を包括的に把握している企業がほんの少数であるというのが実態だ」と指摘した。サイバー攻撃の事後処理に徹するのではなく、先行的に攻撃を防止することでデジタルインフラの効果的なセーフガードが確立できるようだ。