Tenable日本の大手企業の外部アタックサーフェスを独自の調査で試算 上位25社の12万以上の資産が悪用のリスクにさらされていることが判明

New research conducted by Tenable®, Inc., the Exposure Management company, has unveiled a number of cyber hygiene issues such as outdated software, weak encryption and misconfigurations present within the largest Japanese organizations.

Tenable は、2023年6月28日に、時価総額の上位25に入る国内企業 (Companies Market Cap による) を調査しました。対象となった各社は、平均4,800件以上のインターネットと接続のある資産を所有しており、すなわち、全社合計では 12万件を超える資産が悪用のリスクにさらされていることが判明しました。この結果から、機密データや重要システムの保護には、膨大な規模のセキュリティアーキテクチャが必要なことが読み取れます。

Tenable Network Security Japan株式会社 カントリーマネージャーの貴島直也は、次のように述べています。「クラウド移行を強く推進している日本では、あらゆる業界のあらゆる規模の組織でその傾向が進み、インターネットに接続された資産が増加しつつあります。ネットに接続されている資産には、資産自体の重要性とは関係なく、どれも組織内部への侵入口となりうる潜在性を有しています。攻撃者は、攻撃の標的となる企業のアタックサーフェスを監視し、特に組織自身が認識していないような資産に目を付けて脆弱性を探しています」

Weak SSL/TLS encryption 
One striking observation is that out of the total number of assets for all companies tracked, organizations had over 7,000 assets that still support TLS 1.0 [a security protocol first defined in 1999 for establishing encrypted channels over computer networks] that was disabled by Microsoft in September [2022]. この例からも、インターネットを大々的に利用している企業にとって、旧式のテクノロジーを特定して更新することがどれだけ難しくなっているのかが明らかです。

Outdated version of Log4J still present
The examination revealed that out of the total assets for all companies tracked, over 4,000 are still susceptible to the Log4J vulnerability. これは、非常に重大な懸念を浮き彫りにしています。Log4J などの既知の脆弱性は、大半のサイバー攻撃の主要原因であり、古いバージョンの Log4J を継続して使用している企業は、サイバーセキュリティの脅威に身をさらし続けているのです。 By relying on outdated versions of Log4J, organizations are leaving themselves exposed to potential cybersecurity breaches. 

Misconfiguration increases external exposure
Another concerning finding was that over 12,000 assets out of the total, initially intended for internal use, have been inadvertently exposed and are now accessible externally. このような内部資産は要塞化しない限り、組織にとって大きなリスクにつながります。悪意のある者が侵入に使う入口となり、機密情報や最重要システムを標的にする攻撃の足掛かりとなりかねません。

API vulnerabilities amplify risk
Furthermore, the identification of more than 6,000 APIs out of the total number of assets among organizations' digital infrastructure poses a substantial risk to their security and operational integrity. API は、シームレスなデータ交換を可能にする、ソフトウェアアプリの運用に欠かせないインターフェースです。しかし、不充分な認証、不充分なインプット検証、不充分なアクセスコントロール、API v3 実装の依存関係の脆弱性などが重なって脆弱なアタックサーフェスを形成しています。このような弱点は、悪意のある者によって不正アクセスやデータ破壊に悪用され、大被害を引き起こすサイバー攻撃につながる可能性があります。

Tenable のチーフサイバーストラテジスト、ネイサン・ウェンズラーは次のように指摘しています。「デジタルフットプリント全体を包括的に把握している企業はほんの少数であるというのが恐ろしい現実です。セキュリティで見落とされやすく最も一般的で危険をはらんでいる問題は、クラウドなどの公開されているリソースに存在する、不慮の設定ミスです。インターネットから攻撃しようとする者に簡単に狙われる弱点になります。こういった 『知られざる未知のもの』があるので、どの企業もどの政府機関にとっても、以前知られていなかった攻撃経路やその他の脆弱性の要素を発見して修正できるようにすることが最重要課題となります。攻撃が起きたあとの事後処理に留まらず、先行的に攻撃を防止すれば、デジタルインフラの効果的なセーフガードが確立できます」

About Tenable
Tenable® is the Exposure Management company. 世界中のおよそ 4 万 3000 の企業と組織がサイバーリスクを正確に把握して軽減するために Tenable を採用しています。Nessus® の開発元である Tenable は、脆弱性に対する専門性を基盤に、あらゆるコンピューティングプラットフォーム上のあらゆるデジタル資産を管理、保護できる世界初のプラットフォームを展開しました。Tenable は、フォーチュン 500 の約 6 割、およびグローバル 2000 の約 4 割の企業や、大規模な政府機関などで利用されています。Learn more at tenable.com.

編集者の方へ:

1. Tenable examined the top 25 companies,  listed on https://companiesmarketcap.com/japan/largest-companies-in-japan-by-market-cap/
    
2. 本メディアアラートの用語説明:

• 「資産」とは、インターネットまたはイントラネットに接続されているデバイスのドメイン名、またはサブドメイン、またはIP アドレス、またはそれらの組み合わせを指します。ウェブサーバー、ネームサーバー、IoT デバイス、ネットワークプリンターその他で、foo.tld、 bar.foo.tld、x.x.x.xsなどが例に挙げられますが、これらに限りません。
• 「アタックサーフェス」は攻撃者の観点から見たネットワークで、企業のインベントリにある全資産が含まれ、各資産のアクティブなリスニングサービス (オープンポート) も含まれます。
   

メディア問い合わせ先：
Tenable PR
[email protected]