サイバーセキュリティ体制のベンチマーキングに関するレポートを発表:インターネット上にエクスポージャーしたプロトコルの増加とそのリスクが明らかに
60%以上の組織でリモートコントロールプロトコルSSHのエクスポージャーが発生し、36%の組織でセキュリティが不十分なFTPプロトコルのエクスポージャーが発生
クラウドネイティブのネットワーク脅威検知と対応(NDR)を提供する米企業、ExtraHop Networks(https://www.extrahop.com/ja/、本社:米ワシントン州、読み方:エクストラホップ・ネットワークス、以下ExtraHop)は本日、「ExtraHop Benchmarking Cyber Risk and Readiness(ExtraHopサイバーリスクのベンチマーキングおよびレディネス)」レポート(https://www.extrahop.com/resources/papers/benchmarking-cyber-risk-readiness-report/)を発表しました。本レポートでは、日本を含むグローバルの組織が調査の対象となっています。分析した組織の大半において、SMB、SSH、Telnetといった機密性の高いプロトコルや安全性の低いプロトコルのパブリックインターネット上でのエクスポージャー(外部へ公開された状態)が明らかになっています。意図的であれ、偶発的であれ、こうしたエクスポージャーを通じてサイバー攻撃者によるネットワークへの侵入が容易になり、組織に対する攻撃リスクが増大します。
ロシアによるウクライナ侵攻以来、世界中の行政機関やセキュリティ専門家はサイバー攻撃の急増を実感しています。Cybersecurity and Infrastructure Security Agency(CISA)やENISA、CERT-EU、ACSC、SingCERTなどの政府組織は、エンタープライズシステムのセキュリティ体制を全面的に強化することを強く推奨しており、手始めとして被害が発生しやすいサイバー侵入を低減させることを提唱しています。こうした行政機関による主な推奨事項の一つは、不必要であったり安全性が低かったりするポートやプロトコルをすべて無効化することです。
このレポートでは、ExtraHopがエンタープライズIT環境を分析し、オープンポートと機密性の高いプロトコルのエクスポージャーを観点に組織のサイバーセキュリティ体制のベンチマーキングを行いました。セキュリティおよびITを担当するリーダーは、これを活用することにより、自社のリスク環境とアタックサーフェスの可視性を他社と比較して判断することができます。
主な結果
最も多くエクスポージャーが発生していた機密性の高いプロトコルはSSH:Secure Shell(SSH)はリモートデバイスへのセキュアなアクセスのために設計されたプロトコルで、優れた暗号化機能を備えています。最も多用されているプロトコルの一つでもあるため、エンタープライズシステム全体のデバイスへのアクセスとコントロールを目論んでいるサイバー犯罪者にとっては恰好の標的です。64%の組織において、1台以上のデバイスのこのプロトコルのエクスポージャーがパブリックインターネットで発生しいます。
LDAPのエクスポージャー発生率が高い:Lightweight directory access protocol(LDAP)はベンダーに依存しないアプリケーションプロトコルで、系統立てたクエリしやすい方法で分散ディレクトリ情報を維持しています。WindowsシステムはActive Directoryでユーザー名を検索するためにLDAPを使用しています。デフォルト設定では、こうしたクエリはプレーンテキストで送信されるため、攻撃者にユーザー名を特定する機会を与えてしまいます。41%の組織において、1台以上のデバイスのLDAPのエクスポージャーがパブリックインターネット上で発生しています。機密性の高いこのプロトコルは特にリスクが大きいと言えます。
エクスポージャーが発生しているデータベースプロトコルは、攻撃者に対して侵入の機会を与える:データベースプロトコルは、ユーザーおよびソフトウェアのデータベースとのインタラクションを可能にし、情報の挿入、更新、検索が行えるようになります。エクスポーズされたデバイスがデータベースプロトコルでリッスンしている場合、データベースのエクスポージャーも発生してしまいます。24%の組織において、1台以上のデバイスのTabular Data Stream(TDS)エクスポージャーがパブリックインターネット上で発生しています。これはMicrosoftがデータベースとの通信用に提供しているプロトコルで、データをプレーンテキストで送信するため、傍受されやすくなっています。
リスクの高いファイルサーバープロトコル:4種類のプロトコル(ファイルサーバープロトコル、ディレクトリプロトコル、データベースプロトコル、リモートコントロールプロトコル)を調べたところ、ほとんどのサイバー攻撃がファイルサーバープロトコルで発生しており、攻撃者はファイルの場所を変更しています。31%の組織において、1台以上のデバイスのServer Message Block(SMB)のエクスポージャーがパブリックインターネット上で発生しています。
FTPはセキュリティが不十分:File transfer protocol(FTP)はフルサービスのファイルアクセスプロトコルではありません。ネットワーク上でファイルをストリームとして送信しており、実質的にはセキュリティが確保されていません。ユーザー名とパスワードを含むデータをプレーンテキストで送信するため、傍受されやすいのです。別のセキュアな方法が二つありますが、36%の組織において、このプロトコルを使用している1台以上のデバイスのエクスポージャーが発生しています。
プロトコルの利用状況は業界ごとに異なる:これは業界ごとに異なるテクノロジーに投資しており、データ保存やリモートユーザーとのインタラクションに関する要件も異なることを示しています。全業界を総合的に見ると、エクスポージャーが最も顕著なプロトコルはSMBでした。
組織は引き続きTelnetを使用:Telnetはリモートデバイスへの接続用の古いプロトコルで、2002年以降は廃止されています。それにもかかわらず12%の組織において、1台以上のデバイスのこのプロトコルのエクスポージャーがパブリックインターネット上で発生しています。ベストプラクティスとして、IT組織がネットワーク上で検出したTelnetを無効化することをお勧めします。
ExtraHopでCISOを務めるジェフ・コストロー(Jeff Costlow)は次のように述べています。「ポートやプロトコルは、攻撃者がネットワークのエクスプロイトで被害を与えるために使用するドアや玄関のようなものです。そのため、自社のネットワークでどのプロトコルを実行しているのか、どのような脆弱性があるのかを把握しておくことは非常に重要です。これによって防御する側は情報をもとにリスク耐性を判断し、環境内のソフトウェア/ハードウェアインベントリの継続的な維持、ソフトウェアへの迅速かつ継続的なパッチ適用、リアルタイムインサイトや分析のためのツールへの投資など、様々な対策を講じ、サイバーセキュリティレディネスを高めることができます。」
参考資料
- プロトコルとその脅威アクティビティに関する詳細は、ExtraHop Network Protocol Glossary(https://www.extrahop.com/resources/protocols/)から確認できます
- Shields Upに関するさらなるリソースはこちら(https://www.extrahop.com/resources/shields-up/)から確認できます
ExtraHopについて
ExtraHopは、サイバー攻撃者が有利な立場にある昨今、弱体化や裏をかいた攻撃、侵害を阻止するセキュリティで、組織がサイバー攻撃者より優位に立つサポートを提供することをミッションに掲げています。ExtraHopの動的なサイバー攻撃防御プラットフォームReveal(x) 360は、侵害被害を受ける前に、高度な脅威の検知とレスポンスで組織のサポートを行います。1日あたりペタバイト規模のトラフィックにクラウド型AIを適用し、インフラストラクチャ、ワークロード、実行中のデータの全体にラインレートの復号化と振る舞い分析を実行します。ExtraHopがネットワーク環境を完全に可視化するため、組織は不正な振る舞いの検知、高度な脅威のハンティング、あらゆるインシデントのフォレンジック調査を確実に行うことができます。ExtraHopは、IDC、Gartner、Forbes、SC Mediaなど数多くの企業から、NDR市場のリーダーと認識されています。詳細はhttps://www.extrahop.com/をご覧ください。
ロシアによるウクライナ侵攻以来、世界中の行政機関やセキュリティ専門家はサイバー攻撃の急増を実感しています。Cybersecurity and Infrastructure Security Agency(CISA)やENISA、CERT-EU、ACSC、SingCERTなどの政府組織は、エンタープライズシステムのセキュリティ体制を全面的に強化することを強く推奨しており、手始めとして被害が発生しやすいサイバー侵入を低減させることを提唱しています。こうした行政機関による主な推奨事項の一つは、不必要であったり安全性が低かったりするポートやプロトコルをすべて無効化することです。
このレポートでは、ExtraHopがエンタープライズIT環境を分析し、オープンポートと機密性の高いプロトコルのエクスポージャーを観点に組織のサイバーセキュリティ体制のベンチマーキングを行いました。セキュリティおよびITを担当するリーダーは、これを活用することにより、自社のリスク環境とアタックサーフェスの可視性を他社と比較して判断することができます。
主な結果
最も多くエクスポージャーが発生していた機密性の高いプロトコルはSSH:Secure Shell(SSH)はリモートデバイスへのセキュアなアクセスのために設計されたプロトコルで、優れた暗号化機能を備えています。最も多用されているプロトコルの一つでもあるため、エンタープライズシステム全体のデバイスへのアクセスとコントロールを目論んでいるサイバー犯罪者にとっては恰好の標的です。64%の組織において、1台以上のデバイスのこのプロトコルのエクスポージャーがパブリックインターネットで発生しいます。
LDAPのエクスポージャー発生率が高い:Lightweight directory access protocol(LDAP)はベンダーに依存しないアプリケーションプロトコルで、系統立てたクエリしやすい方法で分散ディレクトリ情報を維持しています。WindowsシステムはActive Directoryでユーザー名を検索するためにLDAPを使用しています。デフォルト設定では、こうしたクエリはプレーンテキストで送信されるため、攻撃者にユーザー名を特定する機会を与えてしまいます。41%の組織において、1台以上のデバイスのLDAPのエクスポージャーがパブリックインターネット上で発生しています。機密性の高いこのプロトコルは特にリスクが大きいと言えます。
エクスポージャーが発生しているデータベースプロトコルは、攻撃者に対して侵入の機会を与える:データベースプロトコルは、ユーザーおよびソフトウェアのデータベースとのインタラクションを可能にし、情報の挿入、更新、検索が行えるようになります。エクスポーズされたデバイスがデータベースプロトコルでリッスンしている場合、データベースのエクスポージャーも発生してしまいます。24%の組織において、1台以上のデバイスのTabular Data Stream(TDS)エクスポージャーがパブリックインターネット上で発生しています。これはMicrosoftがデータベースとの通信用に提供しているプロトコルで、データをプレーンテキストで送信するため、傍受されやすくなっています。
リスクの高いファイルサーバープロトコル:4種類のプロトコル(ファイルサーバープロトコル、ディレクトリプロトコル、データベースプロトコル、リモートコントロールプロトコル)を調べたところ、ほとんどのサイバー攻撃がファイルサーバープロトコルで発生しており、攻撃者はファイルの場所を変更しています。31%の組織において、1台以上のデバイスのServer Message Block(SMB)のエクスポージャーがパブリックインターネット上で発生しています。
FTPはセキュリティが不十分:File transfer protocol(FTP)はフルサービスのファイルアクセスプロトコルではありません。ネットワーク上でファイルをストリームとして送信しており、実質的にはセキュリティが確保されていません。ユーザー名とパスワードを含むデータをプレーンテキストで送信するため、傍受されやすいのです。別のセキュアな方法が二つありますが、36%の組織において、このプロトコルを使用している1台以上のデバイスのエクスポージャーが発生しています。
プロトコルの利用状況は業界ごとに異なる:これは業界ごとに異なるテクノロジーに投資しており、データ保存やリモートユーザーとのインタラクションに関する要件も異なることを示しています。全業界を総合的に見ると、エクスポージャーが最も顕著なプロトコルはSMBでした。
- 金融サービスでは28%の組織でSMBのエクスポージャーを確認
- ヘルスケアでは51%の組織でSMBのエクスポージャーを確認
- 製造業では22%の組織でSMBのエクスポージャーを確認
- 小売業では36%の組織でSMBのエクスポージャーを確認
- 州・地方・教育機関では45%の組織でSMBのエクスポージャーを確認
- テクノロジー業界では19%の組織でSMBのエクスポージャーを確認
組織は引き続きTelnetを使用:Telnetはリモートデバイスへの接続用の古いプロトコルで、2002年以降は廃止されています。それにもかかわらず12%の組織において、1台以上のデバイスのこのプロトコルのエクスポージャーがパブリックインターネット上で発生しています。ベストプラクティスとして、IT組織がネットワーク上で検出したTelnetを無効化することをお勧めします。
ExtraHopでCISOを務めるジェフ・コストロー(Jeff Costlow)は次のように述べています。「ポートやプロトコルは、攻撃者がネットワークのエクスプロイトで被害を与えるために使用するドアや玄関のようなものです。そのため、自社のネットワークでどのプロトコルを実行しているのか、どのような脆弱性があるのかを把握しておくことは非常に重要です。これによって防御する側は情報をもとにリスク耐性を判断し、環境内のソフトウェア/ハードウェアインベントリの継続的な維持、ソフトウェアへの迅速かつ継続的なパッチ適用、リアルタイムインサイトや分析のためのツールへの投資など、様々な対策を講じ、サイバーセキュリティレディネスを高めることができます。」
参考資料
- プロトコルとその脅威アクティビティに関する詳細は、ExtraHop Network Protocol Glossary(https://www.extrahop.com/resources/protocols/)から確認できます
- Shields Upに関するさらなるリソースはこちら(https://www.extrahop.com/resources/shields-up/)から確認できます
ExtraHopについて
ExtraHopは、サイバー攻撃者が有利な立場にある昨今、弱体化や裏をかいた攻撃、侵害を阻止するセキュリティで、組織がサイバー攻撃者より優位に立つサポートを提供することをミッションに掲げています。ExtraHopの動的なサイバー攻撃防御プラットフォームReveal(x) 360は、侵害被害を受ける前に、高度な脅威の検知とレスポンスで組織のサポートを行います。1日あたりペタバイト規模のトラフィックにクラウド型AIを適用し、インフラストラクチャ、ワークロード、実行中のデータの全体にラインレートの復号化と振る舞い分析を実行します。ExtraHopがネットワーク環境を完全に可視化するため、組織は不正な振る舞いの検知、高度な脅威のハンティング、あらゆるインシデントのフォレンジック調査を確実に行うことができます。ExtraHopは、IDC、Gartner、Forbes、SC Mediaなど数多くの企業から、NDR市場のリーダーと認識されています。詳細はhttps://www.extrahop.com/をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ