アサヒが突かれた脆弱性、日本企業の実態……Tenableが訴えるプロアクティブなセキュリティへの転換

アサヒが突かれた脆弱性とは？ 多くの攻撃者は“既知の脆弱性”を狙う

　ミラード氏はホワイトハッカーとして活動していた経歴も持つ。現在はTenableで、攻撃者の目線やアプローチから逆算したソリューションのデザインなどを担当している。同氏は約25年間サイバーセキュリティの分野に携わっているが、その間ずっと変わらぬ事実があると話す。それは、重大なサイバー攻撃やインシデント発生のニュースの裏側を見てみると、必ず攻撃者が簡単に標的にできてしまうような“既知の脆弱性”が見つかる点だという。

　たとえばここ数年、医療機関が標的にされるケースが増えているが、今年の2月には栃木県の宇都宮セントラルクリニックがランサムウェアグループ「Qilin」の攻撃を受けた。Qilinは高い攻撃の成功率で知られているが、彼らが狙うのはほぼ決まって既知の脆弱性とのことだ。

　先日被害を受けたアサヒグループホールディングスへのランサムウェア攻撃も、このQilinによるものだ。宇都宮セントラルクリニックの時とほぼ同じテクニックを使って攻撃が行われたとミラード氏は明かす。

　「今回発表したTenableのレポートでは、日本で脆弱性管理ツールを導入済みの企業はわずか32％という事実が明らかになりました。また、スキャン頻度も未だ年に1回、あるいは四半期ごとに1回という企業がたくさんあることがわかっています。このままでは、やはりサイバー攻撃がそれなりに成功してしまう実態は変えられないでしょう」（ミラード氏）

　また、世界には約30万件のユニークな脆弱性があると言われているが、このうち悪用される可能性があるのは実は2％未満だとミラード氏。この2％を特定できれば、企業はより重点的かつ効率的なセキュリティ対策を打てるようになり、負荷やコストの削減にもつながると述べた。

　「たとえば、日本企業の82％が現在クラウドを活用しています。ただし、そのうち28％の企業は、自社のクラウド環境を可視化できていません。また、こうしたセキュリティやガバナンスのリスクに対して積極的に対策を練る組織の割合というのは、20％前後となっています。これは、泥棒の被害が多発している街に住んでいるにもかかわらず、夜に玄関のドアが施錠されているのか確認していないようなものです」（ミラード氏）

　「宇都宮セントラルクリニックやアサヒグループホールディングスの事例では、QilinはVPNの脆弱性、フォーティネットやゼットスケーラーの脆弱性を突いてきた」と話すミラード氏。こうして一度ネットワークに侵入されてしまうと、攻撃者はその中を縦横無尽に移動して簡単にデータにたどりついてしまう。そこから暗号化や窃取といった被害へと発展する。

　また、最近ではAIを悪用した攻撃が増えてきているが、「防御側もAIを使うことができる。これは猫とネズミの追いかけっこのようなものだ」とミラード氏。たとえばTenableのプラットフォームでは、すべての脆弱性に対してコンテキストをつけていく。その中で、特に日本で標的とされている脆弱性や特定の業界で狙われがちな脆弱性などにフォーカスし、素早い発見とともに能動的な対処に打って出ることで、業務負荷・コストの両面で効率的にASM（アタックサーフェスマネジメント）を展開することが可能だ。

　「自社のIT環境のどこに課題があるのか、素早く特定できればその分だけ先手を打って素早い修正が可能となります。企業の信頼を落とさない、昨今のようにニュースで報道されないためには、こうしたプロアクティブな体制へのシフトが必要で、プロアクティブなセキュリティを実現するためにはやはりスピードがカギとなってきます」（ミラード氏）