脆弱性の“爆増”が止まらない、悪用も約3倍に増加 対処法はあるか?:Cybersecurity Dive
信用格付機関のS&Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。
信用格付機関であるS&P Global Ratings(以下、S&P)は(注1)、2024年10月28日(現地時間)に発表した報告書の中で「企業におけるソフトウェアの脆弱(ぜいじゃく)性管理の不備は、サイバーセキュリティガバナンスの全体的な不備の指標となり得る」と述べた。
脆弱性の“爆増”が止まらない 悪用は約3倍に増加
S&Pによると、脆弱性の特定と是正に失敗した企業は、リスク管理と内部統制の全体的な水準を評価される際に責任を問われる可能性があるという。
同報告書は、2024年版の「Verizon Data Breach Investigations Report」のデータを引用しており(注2)、2023年に脆弱性の悪用が約3倍に増加した旨を指摘している。S&Pは数千社の企業を分析しており、「サイバーハイジーンの不備は業務の中断や評判の低下、財務への影響などのリスクを企業にもたらす可能性がある」と述べている。
近年、サイバーセキュリティ業界において、ソフトウェアの脆弱性の特定と是正が緊急の課題となっている。これらの脆弱性はアプリケーションのコードベースに残された欠陥を含んでおり、悪質な攻撃者がコンピュータシステムに不正アクセスできる環境を構築する恐れがある。
脆弱性管理はランサムウェアやその他の悪質な活動を防止するための重要な課題だ。サイバー保険を提供するCoalitionのデータによると(注3)、脆弱性の数は増加し続けており、2024年には約3万5000件に達すると予想されている。
S&Pのアナリストは「これらの脆弱性管理の不備は、当社が監視している企業のセキュリティ管理に関するより大きな問題の兆候となる可能性がある」と語った。
企業は最も深刻な脆弱性に優先対応し、ソフトウェアを最新の状態に保つよう求められている。これは、脅威グループがパッチが適用されていない古いソフトウェアや過去の脆弱性を狙うケースが増えているためだ(注4)。
S&Pのポール・アルバレス氏(リードサイバーエキスパート)は、電子メールで次のように述べた。
「脆弱性管理プロセスの導入により、サイバーリスクを軽減できる。実際、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークは、リスク評価プロセスの一環として、存在する可能性のある脆弱性を理解する必要があるとしている」
連邦機関は、使用するツールの重大な脆弱性を改善するために大規模な取り組みを実施している。2023年に連邦機関は872件の脆弱性を改善した(注5)。これは2022年と比較して78%の増加となった。
(注1)Cyber Risk Insight: Poor Cyber Vulnerability Management Can Be A Governance Issue(S&P Global)
(注2)CVE exploitation nearly tripled in 2023, Verizon finds(Cybersecurity Dive)
(注3)How to manage the rising tide of CVEs(Cybersecurity Dive)
(注4)Hackers exploit CVE in older versions of Ivanti Cloud Service Appliance(Cybersecurity Dive)
(注5)CISA’s vulnerability management program spotted 250 critical CVEs in 2023(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。Microsoft、全てのEntraテナントで多要素認証を必須に 先延ばしオプションは廃止
Microsoftは「Secure Future Initiative」の一環として多要素認証を全テナントでデフォルトで有効にし、セキュリティ基準を強化すると発表した。この変更に伴い14日間MFAの登録を先延ばしできた以前のオプションは廃止される。イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。