Qualysの脅威調査部門(TRU)、2023年版TruRisk調査レポートを公開
セキュリティチームがリスクを低減し、組織のサイバーレジリエンスを高めるためのデータに基づいた実効性の知見を提示
企業や政府機関が、生産性を向上させるためにデジタルトランスフォーメーションを積極的に推進している中で、このような取り組みやプログラムを支える新しいソフトウェアが、以前にも増して急速に開発されています。テクノロジーの急速な発展に比例して、ソフトウェアの脆弱性も急増しており、組織に深刻なリスクをもたらしています。
Qualysは、情熱と明確なビジョンを持って、企業がサイバーリスクを低減できるように支援しています。Qualysの脅威調査部門(TRU)は、高い評価を受けているQualys Cloud Platform(https://www.qualys.com/cloud-platform/)が追跡している13兆以上のイベントを匿名化して収集し、その検出結果を詳細に分析して統計化し、デバイスで検出された脆弱性、Webアプリケーションのセキュリティ、オンプレミスデバイスの設定ミス、クラウドセキュリティ体制に関する知見を明らかにしました。この広範なナレッジベースと、攻撃前後におけるサイバー攻撃者の活動についてTRUが独自に可視化した情報を組み合わせて分析して、5つの「リスク要因」を導き出すことができました。
リスク要因1:サイバー攻撃者よりも先回りするための鍵は、脆弱性にパッチを適用するまでのスピード
エクスプロイトなどで悪用される脆弱性については、平均で30.6日以内にパッチが提供される一方で、パッチが実際に適用される割合は平均で57.7%に過ぎません。同じ脆弱性が公開されてから攻撃者がエクスプロイトとして悪用するまでの平均期間は19.5日です。つまり、組織がパッチを適用する前に、サイバー攻撃者は11.1日間も脆弱な環境を攻撃できる期間があるのです。
リスク要因2:成功と失敗を分けるのは自動化
本調査によると、自動でパッチを適用できる場合、手動でパッチを適用しなければならない場合と比較して、45%多く、また36%早く適用されています。また、パッチが自動的に適用される場合、脆弱性が修復されるまでの平均期間は25.5日であり、手動でパッチが適用される場合に脆弱性が修復されるまでの平均期間は39.8日でした。脆弱性のパッチ適用が自動化されている場合には、パッチの適用率は72.5%であったのに対し、手動の場合には49.8%に留まっています。
リスク要因3:イニシャルアクセスブローカー(IAB)は組織が重視していない対象を攻撃する
脅威環境において増加傾向にあるのが、イニシャルアクセスブローカー(IAB)またはアフィリエイトです。本レポートでは、組織がWindowsやChromeについてはパッチを迅速に適用している一方で、サイバー攻撃者(特にIAB)は、これらの2つの重要な対象以外の脆弱性を攻撃せざるを得なくなっていることを明らかにしています。WindowsとChromeの脆弱性が修正されるまでの平均期間が17.4日であるのに対し、IABが攻撃する脆弱性については45.5日となっています。また、パッチの適用率も低く、WindowsとChromeの82.9%に対して68.3%となっています。
リスク要因4:Webアプリケーションに未だに広がる設定ミス
本調査には、Qualys Webアプリケーションスキャナーで2022年に検出された情報を匿名化して分析した結果が含まれています。全世界で37万のWebアプリケーションをスキャンし、そのデータをOWASP Top 10と相関しています。これらのスキャンによって、2,500万件以上の脆弱性が発見され、それらの内の33%がOWASPのカテゴリA05「設定ミス」に該当していました。これらの設定ミスが原因で、サイバー攻撃者は約24,000のWebアプリケーションを、マルウェアを拡散するためのゲートウェイとして利用しています。
リスク要因5:インフラの設定ミスによってランサムウェアが展開される
TRUは、スキャンの50%以上で不合格になったすべてのセキュリティコントロールについて、関連するMITRE ATT&CKの手法を調査しました。クラウドの設定について不合格になったセキュリティコントロールに関連する上位3つの手法は、MITRE ATT&CKのカテゴリT1210(リモートサービスの悪用)、T1485(データの破壊)、T1530(クラウドストレージオブジェクトのデータ)でした。これは、クラウドが適切に設定されていないため、エクスプロイトによる攻撃、暗号化、データの外部への流出などのリスクに組織がさらされていることを示しています。これらの3つの手法は、現在のランサムウェアの動作を正確に反映しています。スキャンした結果、半数がこれらの設定を適切に行っておらず、合格率は49.4%でした。このような設定ミスがある場合、サイバー攻撃者が組織のネットワークを水平方向に移動する恐れもあります。
Qualysの脅威調査部門(TRU)のバイスプレジデントであるTravis Smithは、本レポートの公開にあたって次のように述べています。「サイバー攻撃者は、標的組織の環境に存在する脆弱性や弱点を把握し、攻撃を有利に進めています、本レポートでは、攻撃の経路やサイバー攻撃者の行動を明らかにし、データに基づく優れた知見を提供し、CISOやセキュリティチームにとって、リスクを最小限に抑えるための総合的なアプローチを提言しています」
その他のリソース
・Qualys TruRisk調査レポートのダウンロード(英語)
https://www.qualys.com/forms/tru-research-report/
・2023年版TruRisk調査レポートのウェビナーへの登録(オンデマンド、英語)
https://www.qualys.com/2023-trurisk-webinar
・Qualys脅威調査部門の詳細(英語)
https://www.qualys.com/tru/
・Qualysのソーシャルメディア(英語)
LinkedIn: https://www.linkedin.com/company/qualys/
Twitter: https://twitter.com/qualys
Qualysについて
Qualys, Inc.(NASDAQ:QLYS)は、革新的なクラウドベースのセキュリティ、コンプライアンス、ITソリューションを提供するパイオニア企業であり、Forbes Global 100およびFortune 100の多くの企業など、世界中で1万以上の企業顧客を抱え、業界をリードしています。Qualysは、企業がセキュリティおよびコンプライアンス対応のタスクを単一のプラットフォームで合理化および自動化し、アジリティを向上しながら、優れたビジネス成果を達成し、大幅なコスト削減を実現できるように支援しています。
Qualys Cloud Platformは、単一のエージェントを活用し、重要なセキュリティインテリジェンスを継続的に提供しながら、企業がオンプレミス、エンドポイント、サーバー、パブリックおよびプライベートクラウド、コンテナ、モバイルデバイスにわたるITシステム、ワークロード、Webアプリケーションの脆弱性検出、コンプライアンス、保護の全ての分野を自動化することを可能にします。Qualysは1999年に設立され、初のSaaSモデルのセキュリティソリューションを提供し、Amazon Web Services、Google Cloud Platform、Microsoft Azureなどのクラウドサービスプロバイダや、多くの大手マネージドサービスプロバイダ、グローバルコンサルティング会社と戦略的パートナーシップを締結し、これらのプロバイダーや企業のセキュリティ製品に、脆弱性管理機能をシームレスに統合しています。詳細については、http://www.qualys.com を参照してください。
Qualys、Qualys VMDR®およびQualysロゴは、Qualys, Inc.の商標です。その他の製品または名称は、各社の商標である場合があります。
報道関係者様のお問い合わせ先:
クォリスジャパン株式会社マーケティング担当: pr-jp@qualys.com