企業の情報システムに潜む脆弱性を標的としたサイバー攻撃が増加傾向にあり、深刻な被害の発生が相次いでいる。脆弱性データベースCVEには、2024年に前年比38%増の40,077件の脆弱性が新たに登録された。脆弱性の急増は、適切に対処しなければ事業継続に重大なリスクをもたらすことを示唆している。ソフトウェアのバグをはじめ、設定ミスや人的要因によるリスクも存在するため、全社的に脆弱性対策に取り組まなければならない。本記事では、脆弱性を起因とする被害事例を紹介し、脆弱性情報を適切に把握する方法と、判明した脆弱性への対応策について解説する。
急増する脆弱性と高まる脅威
脆弱性とは、一般的にOSやアプリケーション、ネットワークなどのシステムに内在するセキュリティ上の欠陥や設計上の不備を指す。これらの脆弱性は、悪意ある第三者による不正アクセスや機密情報の窃取、改ざん、サービス停止といった攻撃に悪用される可能性があり、企業に大きな損害をもたらすリスクとなる。
脆弱性の原因としては、開発段階でのプログラムのバグや設計上の見落とし、設定ミス、想定外の利用方法による挙動などが挙げられる。システムが開発者の意図から外れた動作を行うことによって、攻撃者に不正侵入の糸口を与えてしまう。
脆弱性が発見された場合、セキュリティ被害を防ぐよう、開発者は速やかに情報を公開し、修正パッチを配布するなどしてユーザーに対策を促す責任を負う。一方、ユーザー側も提供されたパッチを適用し、サイバー攻撃から自社システムを守るための適切な対応が求められる。
発見された脆弱性は、米国の非営利団体であるMITRE社が運営・管理しているCVE(Common Vulnerabilities and Exposures)と呼ばれる脆弱性情報データベースに登録される。CVEでは、それぞれの脆弱性に全世界共通のIDが付与され、管理の対象となる。また、米国のNIST(米国国立標準技術研究所)が運営するNVD(National Vulnerability Database)や、日本のJPCERT/CCとIPA(情報処理推進機構)が共同で運営しているJVN(Japan Vulnerability Notes)も公開脆弱性データベースとして広く利用されている。
これらのデータベースに登録された脆弱性の件数は近年増加傾向にあり、脆弱性への対応は喫緊の課題となっている。CVEに新たに登録された脆弱性の件数は、2023年が前年比16%増の28,961件、2024年が前年比38%増の40,077件と急増している。また、JVNの情報に加えてNVDなどの情報を含むJVN iPediaでは、累計登録件数が2023年末の193,872件から2024年末には223,690件へと増加し、前年末比で約15.4%の上昇を示した。
脆弱性の急激な増加は、企業のシステムを狙うサイバー攻撃のリスクの増加につながる。業種や企業規模を問わず、あらゆる企業で速やかに脆弱性対策を講じなければならない。
標的にされやすい脆弱性の種類
デジタル技術の進展を背景に、サイバー攻撃の対象(アタックサーフェス)はますます拡大の一途を辿っている。そうした状況のもと、企業は自社システムが内包する脆弱性を把握し、適切な対応策を実施する必要に迫られている。以下では、攻撃者に狙われやすい代表的な脆弱性を5つのカテゴリに分けて具体的に解説する。
1)パッチ未適用
セキュリティパッチが公開されている脆弱性は、既知の問題ではあるものの、さまざまな理由でパッチ適用が遅れ、脆弱性が放置されたままとなるケースがある。
企業や組織では、サーバーやネットワーク機器、従業員が使用する端末、IoT機器など、管理対象が多岐にわたる。そのため、情報システム部門のリソース不足によりパッチ適用作業の優先順位が下がってしまったり、利用頻度の低いレガシーシステムが放置されたりといった状況が発生しやすい。
ベライゾン社の調査によると、パッチ公開から30日が経過しても脆弱性の85%が未修正のままであったというデータが報告されている。このような対応の遅れは、攻撃者に悪用の機会を与える重大なリスクとなり得る。
2)公開システムの設定不備
インターネットに直接接続されているサーバーやネットワーク機器、クラウドサービスなどの公開設定が不適切な状態で放置されている場合がある。ポートやファイアウォールの設定、管理画面の公開範囲といったネットワーク境界における設定不備が脆弱性となり、外部からネットワーク内部へ侵入されるリスクが高まる。
3)人為的なミス
ファイル権限、アカウント設定、セキュリティポリシーといったシステムのセキュリティに関わる設定が不適切だと、サイバー攻撃の被害を受けるリスクが高まる。具体的には、権限管理の誤設定やデフォルト資格情報の放置などにより、本来不要な機能や過剰な権限が有効化されているケースが含まれる。
近年では、クラウドサービスの設定・運用ミスにより、個人情報や機密情報が誤って公開される事例が増加している。こうしたミスは、攻撃者に管理者権限を奪取、悪用されるきっかけとなり、被害が拡大しやすい。
4)ゼロデイ攻撃
攻撃者がOSやアプリケーションなどの設計上や実装上の不備(バグ)を自ら発見し、修正パッチが提供される前にその脆弱性を突く攻撃をゼロデイ攻撃と呼ぶ。未知の脆弱性を突く攻撃であるため、検出や防御が難しく、被害を受けるリスクが高い。
パッチが提供される前の期間を「ゼロデイ」と呼ぶのに対し、既知の脆弱性が公開された後の期間を「Nデイ」と呼ぶ場合がある。
5)Webアプリケーションの実装や運用における欠陥
外部ユーザーからアクセスされるWebアプリケーションには、ブラウザー上で動くアプリケーション固有の脆弱性が存在することがある。SQLインジェクション、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、バッファオーバーフローなどが代表例である。
これらの脆弱性を放置すると、攻撃者によるデータの改ざん、機密情報の窃取、不正侵入といった被害につながる恐れがある。そのため、Webアプリケーションの開発、運用段階でのセキュリティ対策は不可欠である。
脆弱性に起因するサイバー攻撃の被害事例
先述した脆弱性に起因する、日本国内で発生した近年の代表的な被害事例を3件紹介する。
1)公開システム設定不備の事例
広報サービスを展開する企業が、サーバー内部への不正アクセスを受けた事案を公表した。管理者画面へのログイン時に、アクセスを許可するIPアドレスを制限していたものの、追加の経緯が不明なIPアドレスが存在し、それが侵入経路として悪用された。
また、通常は使用されていない共有アカウントが不正に利用され、認証が突破された。加えて、攻撃者が設置した不審なプロセスやバックドアの存在も確認されており、侵入経路が広げられていたことがうかがえる。従業員やユーザー、取引先の個人情報が漏えいした可能性があり、その件数は最大で90万件を超える規模に達したとされる。
2)人為的なミスの事例
大手小売企業において、不正アクセスが検知されたため、緊急的にシステム稼働停止などの措置が講じられた。調査の結果、情報システムの委託先事業者によるネットワークの設定変更時の不備が原因であることが判明した。
この不備を突いた不正アクセスにより、従業員や取引先事業者の個人情報が漏えいした可能性がある。同社は個人情報保護委員会をはじめとする関係機関と連携し、各種インシデント対応を実施した。
3)ゼロデイ攻撃の事例
大手システムインテグレーター企業が、ネットワーク機器を標的としたゼロデイ攻撃を受けた事案が報告された。第三者による不正アクセスが検知され、社内サーバーに保存されていた従業員やパートナー企業、ならびに顧客の個人情報が漏えいした可能性がある。
同社は外部の専門機関と連携し、個人情報保護法に基づいて関係者への報告を実施した。また、警察や個人情報保護委員会への届け出を実施するなど、被害拡大防止と原因究明に向けた対応に追われた。
脆弱性を把握する方法
多様なネットワーク機器やエンドポイントを管理する情報システム部門だけのリソースでは、システムに潜むすべての脆弱性を排除するのは極めて困難だ。
CVE登録数の推移が示すように、脆弱性は増加の一途を辿っており、サイバー攻撃もより巧妙化・高度化している現在、リスクの高い脆弱性を効率的に把握する手段の確立が求められている。
脆弱性の把握には高度な専門知識が求められるため、外部のセキュリティ専門企業にアウトソースする方法が有効だ。例えば、脆弱性診断サービスでは、専門の技術者が最適なツールを選定し、最新の情報に基づいて脆弱性の有無や対処方法を提示する。
Webアプリケーション、スマートフォンアプリ、プラットフォーム(ネットワークサービス)、クラウドサービス、IoT機器など、システムの種類に応じて最適化された脆弱性診断を実施できるのが特長だ。
また、自社が利用している製品やサービスに関連する脆弱性を把握したい場合、複数の情報源から自社に関係する脆弱性を収集するには時間と手間がかかる。こうした負担を軽減する手段として、脆弱性情報提供サービスの利用が挙げられる。このサービスでは、事前にシステム構成情報を登録することで、ユーザーが必要とする脆弱性情報のみを提供してくれる。
加えて、特定のシステムを対象にして、実際に想定される攻撃を模したテストによって安全性を検証するペネトレーションテストも有効である。マルウェア感染やサーバーへの不正侵入といった具体的なシナリオを設定し、実践的に脆弱性への対応状況を確認できる。
増加し続ける脆弱性に対処するには
脆弱性が増加し続ける現状を踏まえると、脆弱性対策は一度限りの対応で完結するものではなく、継続的に運用するプロセスとして位置づける必要がある。特に、社内リソースや予算に制約のある中小・中堅企業では、段階的な導入の検討が現実的なアプローチとなる。以下に、各段階における具体的な対策方法を示す。
1)すぐに実施すべき対策
サーバーやソフトウェアへのパッチ適用は、最優先で実施するべき基本対策である。従業員が使用する端末についても、最新のパッチが適用されているか確認する必要がある。既知の脆弱性から被害が発生することは絶対に避けなければならない。
また、ファイル共有やクラウドサービスの権限設定の不備についても、従業員の利用状況によっては脆弱性につながる場合があるため、直ちに設定や運用状況の見直しを実施するべきだ。さらに、使用されていないアカウントの削除やレガシーシステムの扱いを含めて、現状を精査し、見つかった問題の修正を行う必要がある。
2)中期的対策
基本的な対策が完了したら、より高度な攻撃にも対応できるよう、包括的なソリューションの導入を進める段階に移る。先述した脆弱性診断などの結果をもとに、リスクの高い脆弱性から優先順位をつけて解決していく。
自社のWebサイトを運営する企業は、脆弱性を突いた個人情報の窃取やWebサイト改ざんといったリスクに晒されている。これらの攻撃からWebサイトを守るには、WAF(Webアプリケーションファイアウォール)の導入が有効だ。
例えば、WAF製品の1つである「SiteGuard」は、攻撃パターンのデータベース「トラステッド・シグネチャ」と実際のリクエストをパターンマッチングして攻撃を検知する。SQLインジェクションやXSS、その他の最新の脅威にも対応できるのが特長だ。さらに、独自の防御ポリシーを作成して誤検知を防ぎつつ、特定の攻撃への防御を強化するなど、柔軟な運用を実現できる。
3)継続的対策
安全性の高い状態を維持するためには、継続的なスキャンとリスク評価を行い、パッチを随時適用する運用体制が求められる。ゼロデイ攻撃への対応を可能とする検知ツールや、セキュリティ診断ツールの導入も有効な手段である。
例えば、「ESET PROTECT Complete」は、エンドポイントの脆弱性に起因する攻撃リスクを軽減するソリューションである。ソフトウェアやデバイスを自動的にスキャンし、修正対応まで一貫して実施できる。また、ゼロデイ攻撃に対しても、脅威を分析し、不審なファイルを検知するクラウド型サンドボックスを備えており、メール経由のフィッシング詐欺やマルウェアの侵入を防止する。
さらに、ソフトウェアなどの技術的対策にとどまらず、運用フローの見直しや、ソーシャルエンジニアリングへの対策も不可欠である。従業員を対象としたセキュリティ教育を継続的に実施し、企業全体としてセキュリティ意識を高めるべきだ。
社員全員が脆弱性を放置することの危険性を知るべき
放置された脆弱性の1つが、システム全体のリスクへと発展し、結果として発生した不正侵入や情報漏えいが、企業の存続に関わるほどの深刻な被害をもたらす恐れがある。こうした危険性を、組織全体で正しく理解し、周知徹底する必要がある。あらゆる企業がサイバー攻撃の対象となる現代において、脆弱性対策を「知らなかった」では済ませられない。
脆弱性への対応は、システム面にとどまらず、日常的な運用や社員それぞれの行動にも密接にかかわる課題である。情報システム部門だけではなく、社員全員が脆弱性を放置することの危険性を理解し、自ら主体的に脆弱性対策を実施する組織作りが重要だ。
