米英含む情報同盟、脆弱性対策におけるエンドユーザーの責任を強調:Cybersecurity Dive
Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。
英語圏5カ国で機密情報を共有する枠組みである「Five Eyes」のサイバー当局が2023年8月3日(現地時間)に発表した共同勧告によると、2022年に最も多く悪用された12の脆弱(ぜいじゃく)性の半数は2021年に発見されたものだという(注1)。上位12のうちの1つは2018年に発見されていた。
「とにかく急いでパッチを適用せよ」 米国や英国含む情報同盟が勧告
日常的に悪用される脆弱性の3分の1はMicrosoft製品のものであり、これには「Microsoft Exchange Server」について2021年に発見された3件の共通脆弱性識別子(CVE)も含まれており、3分の2の脆弱性は、AtlassianやMicrosoft、VMwareの製品から見つかっている。このリストには、「Apache Log4j」やF5 Networks、Fortinet、Zohoも含まれている。
古い脆弱性の持続力は、企業の長期的な取り組みと、一般的な脅威に対する企業の防御力という2つの課題を強調する。
脆弱性に対するパッチの適用が遅れたり、一貫性がなかったりすることは、依然として根本的な問題である。これに加えてベンダーや設計者、開発者がセキュア・バイ・デザインとセキュア・バイ・デフォルトの原則に従っていないことが、攻撃者による侵害のリスクを悪化させている(注2)。
米国やオーストラリア、カナダ、ニュージーランド、英国の当局が参加する情報同盟Five Eyesは、ソフトウェア開発のライフサイクル全体を通じて、ベンダーは安全な設計の慣行に従うべきだと繰り返し強調してきた。
「特にタイムリーなパッチ適用を実現する管理システムと、セキュア・バイ・デザインを実現するプログラムに対してソフトウェアプロバイダーが関与しているかどうかの見直しには、エンドユーザーである組織にも責任がある」と当局は述べている。
Five Eyesは勧告の中で「タイムリーなパッチ適用によって、既知の脆弱性の有効性が低下し、攻撃者の活動ペースが低下し、攻撃者はよりコストと時間のかかる手法を検討せざるを得なくなる」と述べている。
セキュリティトレーニングを提供するKnowBe4でサイバーオペレーションを担当するシニアバイスプレジデントのローザ・スマザーズ氏は「適切なパッチの管理はサイバーセキュリティの基本であり、古い脆弱性を残したままの組織は脅威の状況に関して明らかに無関心である」と述べた。
「全ての企業はセキュア・バイ・デフォルトが実現されたソフトウェアの提供を目指すべきだが、起こり得る全ての脆弱性を予測し、テストすることは困難だ。ホスト企業の組織的な無関心や、既知の脆弱性に何年もパッチを当てずに自社のソフトウェアやデバイスに関する脅威を無視することこそが失敗である」(スマザーズ氏)
(注1)2022 Top Routinely Exploited Vulnerabilities(CISA)
(注2)Explore the core tactics of secure by design and default(Cybersecurity Dive)
関連記事
- インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - ASUSのハイエンドWi-FiルーターにCVSS9.8の脆弱性 迅速にアップデートを
TWCERT/CCはASUSTeKの3つのWi-Fiルーターに「緊急」の脆弱性があると発表した。ルーターが乗っ取られる危険性があり、ユーザーは迅速にアップデートを適用することが求められている。 - Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。 - クラウド侵害の半数以上は弱いパスワードのせい Google Cloud調査で判明
Google Cloudの調査によると、クラウドで発生した侵害の5件に3件以上が、アクセス管理の不備、特に脆弱なパスワードなどを原因としていたという。
© Industry Dive. All rights reserved.