企業は依然として、基本的なセキュリティ上の欠陥や侵入ポイントをハッカーが悪用できるままに放置しています。
これはセキュリティ企業のポジティブ・テクノロジーズの調査によるもので、同社が実施した侵入テストでは、企業には数ヶ月前から修正されていない脆弱性や安全でないアクセスポイントなどが蔓延していることがわかったという。
2017年4月から12月にかけて行われた22件の侵入試行は、Positive社にセキュリティシステムのテストを依頼した企業顧客や様々な業界を対象としていました。しかし残念ながら、研究者たちは、これらの企業すべてへの侵入があまりにも容易だったことを発見しました。
近年最も注目を集めたマルウェア感染であるにもかかわらず、WannaCryの脆弱性は企業の約3分の1(31%)で発見されました。さらに、テスト対象となったマシンの60%は、テスト実施の数ヶ月前の2017年3月に修正されていたリモートコード実行(RCU)脆弱性MS17-010のパッチを適用していないことが判明しました。このたった一つのバグが原因で、テストにおける脆弱性率は前年比で倍増しました。
あるケースでは、侵入テスト担当者が、現在 18 年以上も前のバグである CVE-1999-0532 に対して脆弱な公開システムを発見しました。
ネットワークも怪しい
ネットワークセキュリティもそれほど良くありませんでした。侵入テスト担当者は、標的の社内LANに68%の確率で侵入できました。また、企業の75%がWi-Fiネットワーク経由で社内イントラネットへのアクセスを許可していました。さらに、企業の40%が、ワイヤレスネットワークに辞書型パスワード(ブルートフォース攻撃に脆弱)を使用していました。
テスト対象となった企業はいずれも内部者による攻撃を阻止できませんでした。すべての企業が社内アカウントによるインフラの完全な制御を許可していたのです。さらに、テストでフィッシングメールを送信した従業員の26%が怪しいリンクをクリックし、そのうち半数が偽の認証ページにデータを送信してしまいました。
さようなら、そしてフィッシング詐欺に感謝します。レッドチームはもっと賢くならなければなりません。
続きを読む
Positive Technologies の数字だけでは夜も眠れないという方は、ZDI が独自のバグ検出の数字に基づいて出した中間レポートもご覧ください。
このレポートでは、バグ報告が 33% 増加している (ただし、これは ZDI がプログラムに 500 人以上の研究者を登録したことが一因) 一方で、SCADA のバグ (全勧告の 30%)、Microsoft ブラウザの欠陥、仮想マシンのバグが急増していることがわかった。
明るいニュースがあるとすれば、ベンダーのパッチ適用能力が向上していることです。ZDIによると、ベンダーが研究者による公開前に脆弱性を修正できなかった事例は、昨年上半期比で42%減少しました。®
