アシュアードが運営する、脆弱性管理クラウド「yamory(ヤモリー)」は、独自の脆弱性情報データベースをもとに、2024年の脆弱性セキュリティレポートを公開した。
レポート概要
- 対象期間:2017年1月1日~2024年11月30日
- National Vulnerability Database(NVD)
- yamory 脆弱性データベース
- yamory の脆弱性スキャンによって検知された脆弱性の統計情報
脆弱性件数は年々増加、全体の48%が深刻度の高いCriticalとHighの脆弱性
米国国立標準技術研究所(NIST)が運営する脆弱性データベース(NVD)で公開されている脆弱性数(CVSS v3)は年々増加傾向にあり、2024年は11月末時点で昨年比17%増の3万3845件が公開されているという。また、全体の48%が深刻度の高い「High」「Critical」の脆弱性であり、High以上に絞って対応した場合でも1万6345件の脆弱性に対応しなければならず、膨大な工数がかかるとしている。
yamoryでは、独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能を提供。オートトリアージ機能により即日対応が必要とされる「Immediate」に分類された脆弱性は、NVDで公開されている「High」「Critical」の脆弱性1万6345件から、84.4%減の2,554件に絞られたという。そのうちCISA KEVカタログに掲載され、既に悪用が観測されている脆弱性は4.5%(115件)だったとしている。
CISA KEVに掲載されている脆弱性への対応は重要だが、日本で悪用されている脆弱性が掲載されていないなど、すべての悪用されている脆弱性が掲載されているわけではないため、CISA KEVへの対応のみでは不十分だと同社は述べる。
すべての脆弱性に対応することは不可能であり、CISA KEVやPoCなどの脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要があるという。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21059/21059_3.png)
ソフトウェア依存関係が複雑化、ソフトウェアサプライチェーンのリスクが増大
1つソフトウェアを導入すると、そのソフトウェアが依存する他のソフトウェアも一緒に導入されるため、OSS利用が一般化している昨今はソフトウェアの依存関係が複雑化しているとのことだ。yamoryで2024年に検知されたImmediateの脆弱性(2,318件)のうち、84%が間接的に導入されたソフトウェアの脆弱性であり、間接依存を含めた正確なソフトウェア管理ができていないと、脆弱性の脅威にさらされることになるとしている。
また、依存関係の中には、これまでのような脆弱性だけでなく様々なリスクが存在しているという。たとえば、悪意のあるコード挿入 (XZ Utils CVE-2024-3094)、Dependency Confusion (依存関係かく乱)、悪意のあるパッケージ (タイポスクワッティングなど)など。これらのリスクはCVE IDが採番されている脆弱性だけでなく、CVE IDのないものも多く存在しているという。CVE IDのない脆弱性・リスクは昨年から約2倍に増加しており、その内約9割は悪意のあるパッケージだったとしている。CVE IDのない脆弱性・リスクの増加など、ソフトウェアサプライチェーンのリスクは高まっており、ソフトウェアサプライチェーンを含めたセキュリティ対策やSBOM対応が急務になっていると同社は述べている。
【関連記事】
・NRIセキュア「脅威モデリングサービス」提供 システム開発・運用時の脅威を設計段階から分析・対策へ
・富士通、脆弱性への攻撃や新たな脅威を事前対策 マルチAIエージェントセキュリティ技術を開発
・徳丸浩氏が2024年のサイバーセキュリティを振り返り 生成AIで2025年のサイバー攻撃は変わるか?
