「敵を知って己を知る」──悪用厳禁の“ハッキングデモ”から攻撃者に与えている侵入の隙に気づく

過去最高のサイバー攻撃を観測……脆弱性も増加傾向

　「サイバー攻撃が増えているとよく言われるが、実感はあるだろうか」──講演冒頭、野溝氏はそう問いかけた。チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門Check Point Research（CPR）の調査^[1]によると、2024年第3四半期における1組織あたりのサイバー攻撃数は平均1,876件に達し、前年同期比で75%増加したという。これは過去最高の件数で、攻撃が着実に増加していることを裏付ける。

　それだけではなく、脆弱性の数も増えているのだ。セキュリティテストツールを提供するZeroThreatの調査^[2]では、2025年上半期に新たに公開された脆弱性は21,528件。1日あたり133件に相当し、前年より1割増となった。悪用の状況については野溝氏が調べたところ、全体の1%未満にあたる70件で確認されているという。

　これらの数字は、対応優先度を判断するトリアージ業務の観点からすれば、かなり厳しい状況といえる。脆弱性が公開された時点で自社システムにおける影響の度合いを精査し、被害予測や対応の判断を決定することを考えると、1日あたり133件では対応しきれないだろう。一方で、70件の“ハズレ”を1つでも引いてしまった場合の影響は甚大なものとなる。

後回しにすることがキケン！ 攻撃者は「放置」を狙う

　実際に攻撃者はどういうところを狙うのか。野溝氏は「弱いところ」と「公開されているところ」の2点を挙げた。

　弱いところとは、脆弱性が未対応で放置されているシステムやソフトウェアなどである。リリース後に脆弱性が発見されるものの、開発側がこれらに対応することなくサポート終了を迎え、利用する側のユーザーが気づかずに使い続けるというケースはよくあること。ユーザー側も、脆弱性診断の結果を受け取りながら日々の業務に忙殺されて対応できなかったり、使用しないポートをうっかり開け放しにしていたり、適切な権限設定をしないままサービスを運用していたというのはよく聞く話だ。

　一方の「公開されているところ」とは、把握・管理されていない公開サーバーなどを指す。テスト環境やステージング環境、マーケティングや広報部門が立ち上げたコーポレートサイトなどの資産が典型だ。IT担当者が把握していない資産は得てして攻撃される隙となる。資産の棚卸を定期的に実施して管理対象を把握するのがベストだが、クラウドサービスの普及などでシステムの新規公開や変更は従来よりも格段に速いペースで行われている。結果として、現場では棚卸のサイクルが追いつかず、「誰が管理しているのか分からない、無防備な公開状態の資産」が生まれやすい状況にあり、攻撃者の格好の標的となっているのだ。

　これら課題への対策として現在注目されているのが、「Attack Surface Management（ASM）」である。ASMとは、企業が外部から見える自社資産（公開サーバー、クラウド上のサービス、VPN機器など）を資産管理やOSINT（オープンソースインテリジェンス）などの手法を用いて洗い出し、継続的に監視・管理する取り組みのことだ。

　OSINTは、公開情報を分析して対象に関する知見を得る技術全般を指す。調査のための偵察（スキャン）の手法は大きく2つに分けられる。1つは、検索エンジンなどを使って情報を集めるパッシブスキャン。もう1つは、ポートスキャンなどのコマンドやツールを使って対象となる資産を直接調べるアクティブスキャンだ。防御側が使えば、自社の情報露出状況を把握する手立てとなるが、攻撃者が使えば侵害の糸口を見つける手段となる。実際、攻撃プロセスの8～9割はこうした情報収集に費やされると野溝氏は指摘する。