危険なプロトコルはどれ？ラピットセブンがインターネットリスク調査結果を発表

どれだけインターネットに露出しているか　国別、業種別に見る

　ラピッドセブンはセキュリティ研究調査を積極的に進めており、世界各地にハニーポットを展開して攻撃者の行動分析や、幅広い範囲でのスキャンなどを実施している。脆弱性識別番号のCVE IDを採番できる機関の1つでもある。

　これまでラピッドセブンではサイバー脅威に関する研究調査結果を国別でまとめた「National Exposure Index（NEI）」、日本を含む世界5ヶ国の業界別にまとめた「Industry Cyber Exposure Report（ICER）」を発表してきた。2020年にはこれらNEIとICERを統合させた「National / Industry / Cloud Exposure Report（NICER）」として発表した。調査時期は2020年4月、対象とするプロトコルやサービスは24種類にわたる。

　NICERでは攻撃対象領域（インターネットに露出しているために攻撃のリスクにさらされているプロトコルやサービス）について、細かく報告されている。どのようなプロトコルがどれだけ危険にさらされているかなどが把握できる。

　まずは世界全体の調査結果概要から。朗報は安全ではないサービスの利用が前年比で平均13％低下していること。とりわけSMBはISPによるブロックが進み、約16％低下している。逆に悲報は暗号化されていない平文のプロトコルやサービスは依然として多く残っていることと、パッチ適用されず脆弱性が放置されていることが挙げられる。

　調査には国別ランキングもある。ここでは攻撃対象領域の数（公開されているIPv4アドレス数など）、露出状況、既知の脆弱性などを総合的に見て、危険度が高い順にランキングされている。1位はアメリカ、2位は中国で上位は広大なIPv4アドレスを持つ国が並んでいる。評価指標を考えれば順当。日本は8位。

　業種別ランキングは同様の調査を、アメリカ（Fortune 500）、イギリス（FTSE 250）、日本（日経 225）、オーストラリア（ASX 200）、ドイツ（プライム・スタンダード 320）の主要企業を対象に、業種別に危険度を4段階にまとめたものとなる。

　安全性が高いグレードAに並ぶのは航空宇宙、防衛、輸送などで、逆に安全性が低いグレードDに並ぶのは通信や金融など。なかでも通信や金融では露出量が多いことに加え、重大度が高い脆弱性の検出量も多いことがグレードの低さにつながっている。

　本田氏は「過去1年間で発生した侵害やランサムウェア被害を振り返ると、多くがグレードDの業種に集中している」と指摘する。また「調査対象となる約1500の組織のうち、約40％で重大度が高い露出があるものの、古いITインフラやアプリケーションによるもので、今後の更改で割合は低下していく見込み」との期待もにじませた。

　プラットフォームごとに重大度が高い脆弱性の数を見ると、Apache（HTTP Server）が1万4830でダントツに多い。他はSquid（Cache Server）が3822、OpenBSD（OpenSSH）が3626、Debian（Linux）が3123、ISC（BIND（DNS））が2460と続く。

　日本に目を向けよう。先述した通り、国別ランキングでは8位。本田氏によると、世界全体ではtelnetの利用が低下しているにも関わらず、日本では7％上昇しているという。一方、SMBやFTPの露出は世界同様に低下している。

　気になるのがインターネットに直接露出しているMySQLだ。検出数ではMySQL（3306/TCP）が4万4802、MySQL（1434/UDP）が3075。一般的にWebサーバーはインターネットに露出するとしても、アプリケーションサーバーやデータベースサーバーはその必要はないので、直接露出しないところに配置するほうがいい。本田氏は「MySQLを直接インターネットに露出しているなら、サーバー構成や設定の変更をする必要があります」と指摘した。詳細なプロトコルやサービス別の露出状況は下図の通り。