米Qualysが五つの「リスク要因」を解説、2023年版TruRisk調査レポートを公開

記事の画像

　米Qualysは5月18日、2023年版TruRisk調査レポートを公開した。2022年にQualysが検出した全世界の脆弱性（23億件以上）の統計データを紹介。サイバー攻撃者が攻撃を成功させるために多用な手法を機敏に取り入れ、戦略を変更し続けていることを説明している。　Qualysの脅威調査部門（TRU）は、13兆以上のイベントを匿名化して収集。その検出結果を詳細に分析して統計化し、デバイスで検出された脆弱性、ウェブアプリケーションのセキュリティ、オンプレミスデバイスの設定ミス、クラウドセキュリティ体制に関する知見を明らかにした。この広範なナレッジベースと、攻撃前後のサイバー攻撃者の活動についてTRUが独自に可視化した情報を組み合わせて分析して、五つの「リスク要因」を導き出している。

　リスク要因1は、「サイバー攻撃者よりも先回りするためのカギは、脆弱性にパッチを適用するまでのスピード」。エクスプロイトなどで悪用される脆弱性については、平均で30.6日以内にパッチが提供される一方で、パッチが実際に適用される割合は平均で57.7％に過ぎない。同じ脆弱性が公開されてから攻撃者がエクスプロイトとして悪用するまでの平均期間は19.5日。つまり、組織がパッチを適用する前に、サイバー攻撃者は11.1日間も脆弱な環境を攻撃できる期間があるという。

　リスク要因2は、「成功と失敗を分けるのは自動化」。今回の調査によると、自動でパッチを適用できる場合、手動でパッチを適用しなければならない場合と比較して45％多く、また36％早く適用されている。また、パッチが自動的に適用される場合、脆弱性が修復されるまでの平均期間は25.5日であり、手動でパッチが適用される場合に脆弱性が修復されるまでの平均期間は39.8日だった。脆弱性のパッチ適用が自動化されている場合には、パッチの適用率は72.5％であったのに対し、手動の場合には49.8％にとどまっている。

　リスク要因3は、「イニシャルアクセスブローカー（IAB）は組織が重視していない対象を攻撃する」。脅威環境で増加傾向にあるのが、イニシャルアクセスブローカー（IAB）またはアフィリエイトであるという。今回のレポートでは、組織がWindowsやChromeについてはパッチを迅速に適用している一方で、サイバー攻撃者（とくにIAB）は、これらの二つの重要な対象以外の脆弱性を攻撃せざるを得なくなっていることを明らかにしている。WindowsとChromeの脆弱性が修正されるまでの平均期間が17.4日であるのに対し、IABが攻撃する脆弱性については45.5日となっている。また、パッチの適用率も低く、WindowsとChromeの82.9％に対して68.3％となっている。

　リスク要因4は、「ウェブアプリケーションにいまだに広がる設定ミス」。今回の調査には、Qualysウェブアプリケーションスキャナで22年に検出された情報を匿名化して分析した結果が含まれている。全世界で37万のウェブアプリケーションをスキャンし、そのデータをOWASP Top 10と相関している。これらのスキャンによって、2500万件以上の脆弱性が発見され、その内の33％がOWASPのカテゴリA05「設定ミス」に該当していた。これらの設定ミスが原因で、サイバー攻撃者は約2万4000のウェブアプリケーションを、マルウェアを拡散するためのゲートウェイとして利用している。

　リスク要因5は、「インフラの設定ミスによってランサムウェアが展開される」。TRUは、スキャンの50％以上で不合格になったすべてのセキュリティコントロールについて、関連するMITRE ATT＆CKの手法を調査した。クラウドの設定について不合格になったセキュリティコントロールに関連する上位三つの手法は、MITRE ATT＆CKのカテゴリT1210（リモートサービスの悪用）、T1485（データの破壊）、T1530（クラウドストレージオブジェクトのデータ）だった。これは、クラウドが適切に設定されていないため、エクスプロイトによる攻撃、暗号化、データの外部への流出などのリスクに組織がさらされていることを示している。これらの三つの手法は、現在のランサムウェアの動作を正確に反映している。スキャンした結果、半数がこれらの設定を適切に行っておらず、合格率は49.4％だった。こうした設定ミスがある場合、サイバー攻撃者が組織のネットワークを水平方向に移動する恐れもあるとしている。