パッチ未適用のクライアントソフトウェアと脆弱なインターネット接続ウェブサイトは、企業にとって最も深刻なサイバーセキュリティリスクです。新たな調査によると、それよりも軽微な脅威としては、オペレーティングシステムのセキュリティホールやゼロデイ脆弱性の増加などが挙げられます。
有力なセキュリティ教育機関であるhttps://www.pcworld.com/tags/SANS+Institute.htmlが、「サイバーセキュリティにおける主要なリスク」を解説した新しいレポートを発表しました。このレポートは無料で閲覧できます(登録不要)。エグゼクティブサマリーから引用した主な調査結果は以下の通りです。
優先度1: パッチが適用されていないクライアント側ソフトウェア
「スピアフィッシングと呼ばれる標的型メール攻撃の波は、https://www.pcworld.com/tags/Adobe+Systems+Inc..html PDF Reader、QuickTime、Adobe Flash、Microsoft Office などの一般的に使用されているプログラムのクライアント側の脆弱性を悪用しています。
これは現在、インターネット接続を持つコンピュータを侵害するために用いられる主要な初期感染経路です。ユーザーが感染したウェブサイトにアクセスした際に、攻撃者は同じクライアント側の脆弱性を悪用します。(ウェブサイトの侵害方法については、以下の優先度2をご覧ください。)
「訪問者は信頼できるサイトから文書をダウンロードすれば安全だと感じているため、クライアント側の脆弱性を悪用した文書や音楽、ビデオを開いてしまうことがよくあります。
一部のエクスプロイトでは、ユーザーがドキュメントを開く必要すらありません。感染したウェブサイトにアクセスするだけで、クライアントソフトウェアが侵害される可能性があります。被害者の感染したコンピュータは、外部からの不正アクセスから保護されていると誤解されている他の社内コンピュータや機密サーバーに感染を広げるために利用されます。
「多くの場合、攻撃者の最終的な目的は、標的の組織からデータを盗み出すことと、攻撃者が再び侵入して悪用するためのバックドアを設置することです。
「大手企業は、平均して、クライアント側の脆弱性へのパッチ適用に、オペレーティングシステムの脆弱性へのパッチ適用の少なくとも2倍の時間を要しています。つまり、最も優先度の高いリスクは、優先度の低いリスクよりも注目度が低いということです。」
このレポートは、6,000 の組織を保護している TippingPoint 侵入防止システムからの攻撃データ、Qualys が収集した 9,000,000 のシステムの脆弱性データ、および Internet Storm Center と主要な SANS 教員による追加の分析とチュートリアルに基づいています。
また、要約からは:
優先度2: 脆弱なインターネット対応ウェブサイト
ウェブアプリケーションに対する攻撃は、インターネット上で観測された攻撃試行全体の60%以上を占めています。これらの脆弱性は広く悪用され、信頼できるウェブサイトを、クライアント側の脆弱性を悪用するコンテンツを提供する悪意のあるウェブサイトへと変換しています。
「オープンソースおよびカスタムビルドのアプリケーションにおけるSQLインジェクションやクロスサイトスクリプティングの欠陥などのWebアプリケーションの脆弱性は、発見された脆弱性の80%以上を占めています。
「膨大な数の攻撃と、これらの脆弱性に関する広範な報道にもかかわらず、ほとんどのウェブサイト所有者は一般的な欠陥を効果的にスキャンできず、安全なウェブ体験を提供するサイトを信頼した訪問者を感染させるための犯罪者の無意識の道具となってしまいます。」
普段は原文からこれほど多くの情報を引用することは少ないのですが、SANSの皆さんは専門家であり、彼らのアドバイスは根拠がしっかりしています。無料レポートは短いですが、ここで引用できる以上の内容が含まれています。SANSのウェブサイトから無料で入手できます。
David Coursey は @techinciterとしてツイートしており 、 彼の Web サイトを通じて連絡を取ることもできます。
