企業の資産セキュリティ状況 現代ネットワークのダークマターとは：セキュリティニュースアラート

runZeroが企業の資産セキュリティに関する調査を報告した。ネットワークセグメンテーションの崩壊や攻撃対象領域の管理課題、ダークマターの増加などが明らかにされ、未管理デバイスや旧式システムの問題が取り上げられている。

[後藤大地，有限会社オングス]

　セキュリティ企業のrunZeroは、グローバル企業全体の資産セキュリティ状態の調査をまとめたレポート「runZero Research Report」を公開した。

　同調査では社内インフラやインターネットに接続された資産、クラウド環境などを含む数百のエンタープライズネットワークが分析されており、ネットワークセグメンテーションの崩壊、攻撃対象領域の管理における持続的な課題、現代ネットワークにおけるダークマターの増加など、憂慮すべきギャップや予期せぬ傾向が明らかにされている。

企業ネットワークの19％が未管理のデバイス　古いOSがセキュリティを脅かす

　レポートの主な調査結果は以下の通りだ。

• IT／OTの融合が進んでおり、組織の攻撃対象領域が広がっている。OTシステムは攻撃者にとって利用価値が高く、信頼されていないネットワークにさらされている。公共のインターネットにさらされているICS資産が7％以上あり、重要なインフラを支えるプログラマブルロジックコントローラーや電力計などが含まれている
• セキュリティチームは、ネットワークの物理デバイスの半数以上を可視化できないことが多い。ネットワークの「ダークマター」（IT部門によって管理されていないことが多く、ほとんど更新されないデバイス）は、企業ネットワークの19％を占め、さらにこれらのデバイスの45％は管理機能が限られている
• 製造中止のハードウェアおよびOSがセキュリティ体制を脅かしている。「Windows 2012 R2」や「Ubuntu 14.04」はサポート終了であり、古い「VMware ESXi」やサポート終了したネットワークデバイスも問題とされている
• プリンタやネットワーク接続ストレージデバイスは、ネットワーク間のトラフィック転送を許可することが多く、ネットワークセグメンテーション制御を破壊する。またスマートテレビからロボット掃除機まで、数十種類のデバイスで予期せぬIP転送の動作が確認されている
• ネットワークエッジでのゼロデイ攻撃が急増しており、サプライヤーはタイムリーなパッチを提供するのに苦労している。2024年の最初の4カ月間で、runZeroは60以上の異なる脆弱（ぜいじゃく）性をカバーする23の迅速な対応を公開した
• SSHサービスを実行しているシステムの92％がパスワード認証を許可しており、総当たり攻撃やクレデンシャルスタッフィング攻撃のリスクが高まっている。また多くのシステムが安全でない認証方法を使用し、ハードコードされた暗号鍵を共有しているためプロトコルのセキュリティ上の利点が失われている
• TLS実装の16％近くが期限切れの「OpenSSL」に依存しており、将来的な脅威にさらされる可能性がある。この情報はrunZero独自のフィンガープリンティング手法によって明らかにされている
• RDPのセキュリティについては、「Windows」ではネットワークレベル認証（NLA）の導入によって改善されている。ただし「xrdp」のような「Linux」ベースのRDP実装には引き継がれておらず、多くのWindowsシステムではより脆弱な古い設定が維持されている
• Windowsシステムの13％でSMB v1が有効になっており、この古いプロトコルを使用するレガシーシステムはまだ数百万台存在している

　レポートでは正確なフィンガープリンティングおよび異常値分析を通してリスクのあるデバイスを特定することに焦点が当てられており、runZeroの研究プロセス、作成されたフィンガープリンティング技術などの取り組みの実用的な結果についても触れられている。