バグ公開後数分で攻撃者は脆弱なデバイスをスキャン開始していることが発覚:企業のスキャン速度は12時間。どちらが先に見つけるのが早いか

news

攻撃者は最低でも1時間に1回はインターネット上に脆弱なシステムがないか常にスキャンしていることがわかりました。

さらに重大な脆弱性が発表された場合、その情報が公開されてから数分以内にインターネット上で新たなスキャンが行われるため攻撃者の動きはさらに活発化します。

そして残念なことに、攻撃者が攻撃対象となる脆弱なシステムを発見する速度のほうが、企業が同じ資産を見つけて保護する速度よりもはるかに速いこともわかっています。

パロアルトネットワークスのCortex Xpanseリサーチチームは、今年の1月から3月にかけてフォーチュン500に名を連ねるグローバル企業50社の5,000万のIPアドレスからのスキャンをモニタリングしたデータを公開しました。

Cortex Xpanse Researchers Address Attack Surface Management
Adversaries started scanning for vulnerable Exchange servers within five minutes of disclosure. Attack surface managemen...
www.paloaltonetworks.com

Cortex Xpanseリサーチチームは、企業が新たに深刻な脆弱性を発見するまでに平均12時間かかっていると発表しています。

全体の約3分の1がリモート・デスクトップ・プロトコル(RDP)に関連する脆弱性があることがわかっています。リモート・デスクトップ・プロトコルはサーバーへの管理者アクセスを可能にするため、ランサムウェアの格好の標的となります。

また、データベースサーバの設定ミス、MicrosoftやF5などのベンダーが提供する重要製品のゼロデイ脆弱性、安全でないリモートアクセス(Telnet、SNMP、VNC)なども対処すべき優先度の高い脆弱性のリストに含まれています。

パロアルトネットワークスによると、企業は12時間に1つの割合でこのような問題を発見しており、これは攻撃者の平均確認時間が1時間であるのとは対照的です。

1月から3月の間に観測された攻撃者のスキャン行動は、CVE(Common Vulnerabilities and Exposures)が発表されてから15分から60分後に開始されていました。

さらにマイクロソフトがMicrosoft Exchange ServerのProxyLogonバグやOutlook Web Access(OWA)などの3つのゼロデイを公開された3月2日には、わずか5分で脆弱性のあるExchange Serverシステムのスキャンを開始していることがわかっています。

パロアルトネットワークスでは、攻撃対象を限定するためセキュリティチームが以下のサービスやシステムのリストを確認することを推奨しています。

これらはインターネットに公開すべきではないということと、安全なシステムでも時間の経過とともに脆弱になる可能性があるということです。

  • リモートアクセスサービス(例:RDP、VNC、TeamViewer)
  • 安全でないファイル共有/交換サービス(例:SMB、NetBIOS)
  • 公開されたエクスプロイトに脆弱なパッチが適用されていないシステムやサポート提供期間終了(EOL)のシステム
  • IT 管理システムのポータル
  • 機密性の高い業務アプリケーション(例:Jenkins、Grafana、Tableau)
  • 暗号化されていないログイン方法やテキストプロトコル(例:Telnet、SMTP、FTP)
  • インターネットに公開しているIoT(Internet of Things)デバイス
  • 脆弱で安全でない/廃止された暗号方式
  • インターネットに公開している開発インフラ
  • 安全ではない、もしくは放棄されたマーケティングポータルサイト(Adobe Flashで動作する傾向がある)

企業が遅れをとる理由

ネットワーク上のリスクの特定が遅れている理由の一つは、既知の脆弱性のデータベースを利用した脆弱性管理プロセスが不十分であるためです。

このデータベースを使用している脆弱性スキャナーは、データベースが更新されるまで新しい問題を見つけることができませんが、その更新は数時間から数日遅れることがあります。さらに脆弱性スキャナーはネットワーク上のすべてのデバイスを見ているわけではありません。

通常、脆弱なシステムの発見は四半期に1回程度であり、ペンテスターが作成したスクリプトやプログラムをパッチワークのように使用して潜在的な脆弱性を持つインフラの一部を見つけます。しかし、その方法は包括的なものではなく特定の組織のすべての脆弱なインフラストラクチャを発見できないことがよくあります – Palo Alto Networks社

一方、攻撃者は安価なクラウドコンピューティングの能力を利用してインターネット全体のスキャンを実行します。

以前はグローバルなインターネットをスキャンするのに数週間から数ヶ月かかっていましたが、現在ではIPv4空間内のすべての公開IPアドレスと通信するのに45分もかからずスキャンできる環境が整ってしまっています。

Xpanseの調査によると、観測された脆弱性攻撃の79%はクラウド上で発生しています。クラウドは本来インターネットに接続されており、一般に公開されているクラウドを通常のITプロセス外で新たに立ち上げることが非常に簡単です。

そのため、不十分なデフォルトのセキュリティ設定が使用されていることが多く、設定漏れが放置されていることも多いことがわかっています。

刻々と変化するインフラの状況を追跡することは、人間にはほとんど不可能な作業であり未知の資産を発見し、その安全性を確保するためにも自動化されたアプローチが必要と締めくくっています。

Comments

Copied title and URL