組織がセキュリティの脆弱性をタイムリーに修正できない状態が続いていることと、推測可能なパスワードや自動化されたハッキングツールの普及が相まって、悪意のある人物、専門家、スリルを求める人々が企業ネットワークに侵入することが非常に容易になっています。
これは、Positive Technologiesの侵入テストチームによるもので、同チームは2019年の顧客監査[PDF]の結果を精査した結果、28件の侵入テスト契約のうち20件にあたる71%の割合で、レッドチームがスクリプトキディや初心者でも利用できるツールやトリックを使ってターゲットに侵入できたことが判明した。
「スキルの低いハッカーが、より熟練した犯罪者には必要のない手法を使っているわけではありません」と、ポジティブ・テックの情報セキュリティ分析研究グループの責任者、エカテリーナ・キリュシェバ氏は昨夜、 The Register紙に語った。「しかし、ほとんどの場合、攻撃の複雑さは低く、基本的なスキルを持つ中級ハッカーでも実行可能な範囲の攻撃だったということです。」
チームは、パッチは存在するものの適用されていないウェブアプリのバグが、ネットワークへの侵入に特に容易な手段であることを発見しました。レッドチームの77%のケースでは、ウェブアプリの脆弱性と設定上の欠陥が企業の防御を突破する要因となっており、あるケースでは、標的を攻撃するのにわずか30分しかかかりませんでした。
これらの脆弱性は、決して目立たず、簡単に見過ごされるようなものではありませんでした。使用されたウェブアプリケーションの脆弱性の約60%は、リモートコード実行など、重大なものと見なされており、テストと導入計画の必要性に留意しつつ、可能な限り速やかにパッチを適用する必要があります。さらに11%は高リスクの脆弱性と判断され、これもまた可能な限り速やかに対処すべきバグです。
ペンテストパートナー:ボーイング747は3.5インチフロッピーディスク経由で重要なソフトウェアアップデートを受け取る
続きを読む
2番目に多かった侵入方法は、脆弱なログイン認証情報でした。この場合、データベース管理ソフトウェアやリモートアクセスソフトウェアのパスワードを総当たり攻撃で探り出すのが効果的でした。総当たり攻撃は簡単にブロックできるにもかかわらず、管理者によって忘れられてしまうことが多々あります。
さらに、ほとんどの場合、攻撃者は最初の足掛かりを得るだけで、内部ネットワークへの完全なアクセスを掌握するのにそれほど多くのことを必要としませんでした。試験の68%において、侵入者はわずか1、2ステップで組織全体を掌握することができました。ネットワークの区画化と、誰が何を閲覧できるかを制限するアクセス制御は、侵入者の到達範囲を最小限に抑えるのに役立った可能性があります。
スキャナー、フレームワーク、エクスプロイトツールキットといった、標的を狙って攻撃するだけの自動ハッキングツールは簡単に見つけて使用できますが、必ずしもそれほど高度なツールは必要ありません。Positiveは、28回のテストのうち7回で、レッドチームがMicrosoft Exchangeクライアントアクセスサーバーの自動検出サービスを使ったシンプルなタイミング攻撃によってWebアプリケーションに侵入できたと報告しています。
成功事例もいくつかありました。Positive社によると、昨年実施した28回のテストのうち2回で、レッドチームの担当者は対象企業のネットワークへの侵入に完全に失敗したとのことです。成功したテストと失敗したテストを合わせた平均テスト時間は、約4日間でした(前述の30分間のスピードランを含む)。
このレポートでは、タイムリーなパッチ適用、ログイン監視、アクセス制限ポリシーによるネットワークのセグメント化など、一部の人が最小限の努力だと考えていることを実行することが、少なくとも機会を狙う犯罪者の侵入を防ぐのにかなり効果的であることを示しています。
「ネットワーク境界を保護するための第一歩は、基本的な情報セキュリティルールに従うことです」とキリュシェバ氏は述べた。「Webアプリケーションは、ネットワーク境界上で最も脆弱なコンポーネントです。企業は定期的にセキュリティ分析を実施する必要があります。」®
