Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable日本の大手企業の外部アタックサーフェスを独自の調査で試算 上位25社の12万以上の資産が悪用のリスクにさらされていることが判明

July 13, 2023 · Tokyo, Japan

New research conducted by Tenable®, Inc., the Exposure Management company, has unveiled a number of cyber hygiene issues such as outdated software, weak encryption and misconfigurations present within the largest Japanese organizations.

Tenable は、2023年6月28日に、時価総額の上位25に入る国内企業 (Companies Market Cap による) を調査しました。対象となった各社は、平均4,800件以上のインターネットと接続のある資産を所有しており、すなわち、全社合計では 12万件を超える資産が悪用のリスクにさらされていることが判明しました。この結果から、機密データや重要システムの保護には、膨大な規模のセキュリティアーキテクチャが必要なことが読み取れます。

Tenable Network Security Japan株式会社 カントリーマネージャーの貴島直也は、次のように述べています。「クラウド移行を強く推進している日本では、あらゆる業界のあらゆる規模の組織でその傾向が進み、インターネットに接続された資産が増加しつつあります。ネットに接続されている資産には、資産自体の重要性とは関係なく、どれも組織内部への侵入口となりうる潜在性を有しています。攻撃者は、攻撃の標的となる企業のアタックサーフェスを監視し、特に組織自身が認識していないような資産に目を付けて脆弱性を探しています」

Weak SSL/TLS encryption 
One striking observation is that out of the total number of assets for all companies tracked, organizations had over 7,000 assets that still support TLS 1.0 [a security protocol first defined in 1999 for establishing encrypted channels over computer networks] that was disabled by Microsoft in September [2022]. この例からも、インターネットを大々的に利用している企業にとって、旧式のテクノロジーを特定して更新することがどれだけ難しくなっているのかが明らかです。

Outdated version of Log4J still present
The examination revealed that out of the total assets for all companies tracked, over 4,000 are still susceptible to the Log4J vulnerability. これは、非常に重大な懸念を浮き彫りにしています。Log4J などの既知の脆弱性は、大半のサイバー攻撃の主要原因であり、古いバージョンの Log4J を継続して使用している企業は、サイバーセキュリティの脅威に身をさらし続けているのです。 By relying on outdated versions of Log4J, organizations are leaving themselves exposed to potential cybersecurity breaches. 

Misconfiguration increases external exposure
Another concerning finding was that over 12,000 assets out of the total, initially intended for internal use, have been inadvertently exposed and are now accessible externally. このような内部資産は要塞化しない限り、組織にとって大きなリスクにつながります。悪意のある者が侵入に使う入口となり、機密情報や最重要システムを標的にする攻撃の足掛かりとなりかねません。

API vulnerabilities amplify risk
Furthermore, the identification of more than 6,000 APIs out of the total number of assets among organizations' digital infrastructure poses a substantial risk to their security and operational integrity. API は、シームレスなデータ交換を可能にする、ソフトウェアアプリの運用に欠かせないインターフェースです。しかし、不充分な認証、不充分なインプット検証、不充分なアクセスコントロール、API v3 実装の依存関係の脆弱性などが重なって脆弱なアタックサーフェスを形成しています。このような弱点は、悪意のある者によって不正アクセスやデータ破壊に悪用され、大被害を引き起こすサイバー攻撃につながる可能性があります。

Tenable のチーフサイバーストラテジスト、ネイサン・ウェンズラーは次のように指摘しています。「デジタルフットプリント全体を包括的に把握している企業はほんの少数であるというのが恐ろしい現実です。セキュリティで見落とされやすく最も一般的で危険をはらんでいる問題は、クラウドなどの公開されているリソースに存在する、不慮の設定ミスです。インターネットから攻撃しようとする者に簡単に狙われる弱点になります。こういった 『知られざる未知のもの』があるので、どの企業もどの政府機関にとっても、以前知られていなかった攻撃経路やその他の脆弱性の要素を発見して修正できるようにすることが最重要課題となります。攻撃が起きたあとの事後処理に留まらず、先行的に攻撃を防止すれば、デジタルインフラの効果的なセーフガードが確立できます」

About Tenable
Tenable® is the Exposure Management company. 世界中のおよそ 4 万 3000 の企業と組織がサイバーリスクを正確に把握して軽減するために Tenable を採用しています。Nessus® の開発元である Tenable は、脆弱性に対する専門性を基盤に、あらゆるコンピューティングプラットフォーム上のあらゆるデジタル資産を管理、保護できる世界初のプラットフォームを展開しました。Tenable は、フォーチュン 500 の約 6 割、およびグローバル 2000 の約 4 割の企業や、大規模な政府機関などで利用されています。Learn more at tenable.com.

編集者の方へ:

  1. Tenable examined the top 25 companies,  listed on https://companiesmarketcap.com/japan/largest-companies-in-japan-by-market-cap/
     
  2. 本メディアアラートの用語説明:
  • 「資産」とは、インターネットまたはイントラネットに接続されているデバイスのドメイン名、またはサブドメイン、またはIP アドレス、またはそれらの組み合わせを指します。ウェブサーバー、ネームサーバー、IoT デバイス、ネットワークプリンターその他で、foo.tld、 bar.foo.tld、x.x.x.xsなどが例に挙げられますが、これらに限りません。
  • 「アタックサーフェス」は攻撃者の観点から見たネットワークで、企業のインベントリにある全資産が含まれ、各資産のアクティブなリスニングサービス (オープンポート) も含まれます。
     

メディア問い合わせ先:
Tenable PR
[email protected]

 

最新情報をお届けします

報道発表のメールアラートを受信するにはここからご登録ください。

登録して最新の報道発表を受信する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加