大きな経済的損失をもたらすリスク要因になっているサイバー攻撃。
これを未然に防ぐことは、経営上の大きな課題の1つになっています。それでは具体的に、どのような取り組みが求められるのでしょうか。

　その第一歩として欠かせないのが、脆弱性を発見して潰しておくこと。この記事では、その理由と、多くの企業や組織が直面している課題について見ていきます。

▼ 目次

1. 莫大な経済的損失をもたらしているサイバー攻撃
2. 「脆弱性を放置したまま」のシステムも被害拡大の要因
3. 継続的に発見され増え続けている脆弱性
4. これまでの「脆弱性診断サービス」の3つの問題
5. 問題解決のためにCTCが提供するサービス
6. まとめ

1. 莫大な経済的損失をもたらしているサイバー攻撃

　コロナ禍における急速なテレワーク化や、DXの推進などのデジタル化が進んだことで、かつてなかったほどに高まっているサイバー攻撃のリスク。
米連邦捜査局（FBI）が2022年3月に公開した「2021 Internet Crime Report」では、2021年のインターネット犯罪による被害総額は69億ドルを超えたと報告されています。

　また被害に伴う経済損失も合計すれば、その総額は全世界で約6兆ドル（2022年8月のレートでは約800兆円）に上ると指摘するレポートも。

　もちろん日本にとっても、これは他人事ではありません。2022年3月に発表された大手セキュリティ会社の調査結果では、日本におけるサイバー犯罪の被害総額は過去1年間で、約320億円に上ると推計されているのです。 被害がこれだけ大きくなっている理由としては、サイバー攻撃がビジネス化し、攻撃者側が組織化されていることが挙げられます。そのため効率よく金銭を得るために、攻撃手法が急速に高度化しているのです。

　その一例として、ランサムウェア攻撃の代表格として広く知られる「Emotet」を見てみましょう。
現在も猛威を振るうこのランサムウェアは2014年に最初に発見されており、決して新しいものではありません。

　当初はトロイの木馬型のマルウェアとして銀行に対するアカウント情報を取得することを目的としていましたが、2016年頃からは他のマルウェアを呼び込むための「ローダー」へと進化。電子メールの添付ファイルに含まれるマクロウイルスを介して感染し、感染したコンピューター内にボットネットを作成、これに対するアクセスによって他のマルウェアを感染させるようになりました。

　2022年に入ってからは、マクロではなくショートカットファイルとして送りつけられるものも登場。Google Chromeからクレジットカード情報を盗み出す機能を持つものも発見されています。
しかしサイバー攻撃の被害が増えている理由は、攻撃側の高度化だけではありません。実は被害を「受ける側」にも、被害を拡大する理由が存在するのです。

2. 「脆弱性を放置したまま」のシステムも被害拡大の要因

　それは「セキュリティ上の脆弱性を放置したまま」にしているシステムが、意外に多く存在しているということです。また、ランサムウェアに限らずサイバー攻撃の多くは、すでに存在が知られている「既知の脆弱性」を狙った攻撃となっています。

　ニュースで広く報道されたサイバー攻撃の被害事件も、多くは脆弱性が放置された結果、攻撃に遭遇しています。その一例として挙げられるのが、2020年に発覚した著名ゲーム会社のケースです。この事件ではテレワーク対応のために一部で旧型のVPN装置を急遽再利用しており、脆弱性を放置したまま継続使用したことにより、ランサムウェア攻撃のターゲットになってしまいました。

　また最近の事案では、2022年2月に大手自動車メーカーの取引先企業がランサムウェア攻撃を受け、自動車メーカー複数社が一時的に操業を中止したケースがあります。これもリモート接続機器の脆弱性によって不正アクセスが発生した、と発表されており、脆弱性が放置されていたことが根本的な原因だと考えられます。

　これら2つのケースはリモート接続のためのVPN機器の脆弱性が狙われた攻撃ですが、脆弱性が存在するのはVPNだけではありません。
その他にもルータやファイアウォールなどの通信機器、DNSサーバやメールサーバ、ディレクトリサーバなどのサーバ群など、ネットワークに接続されたあらゆる機器に脆弱性が存在する可能性があります。そして実際に、これらの脆弱性を狙った攻撃も数多く発見されています。

　例えばマイクロソフトが2021年12月に修正プログラムを公開した「CVE-2021-43890」という脆弱性。
これはアプリのインストーラファイルに関係するものですが、すでにこの時点でEmotetやTrickbot、Bazaloaderといったマルウェアに悪用されていることが確認されています。

　またこれと同じ時期に「Apache Log4j」の脆弱性も発見されています。
Log4jは、各種ミドルウェアがログを生成するために使用しているログ出力ライブラリの1つであり、Apacheソフトウェア財団のプロジェクトである「Apache Logging」によって、オープンソースソフトウェアとして提供されています。その中に、任意のコードをリモート実行できる脆弱性が見つかったのです。この脆弱性は「Log4Shell」と呼ばれており、これを狙った攻撃もすでに数多く発生しています。

　いずれの脆弱性も、放置したままシステムを運用していると、前述のケースのようにサイバー攻撃の格好の標的になりかねないのです。

3. 継続的に発見され増え続けている脆弱性

　ここまでに取り上げたものは、すでに発見されている脆弱性のごく一部に過ぎません。
他にも数多くの脆弱性が存在し、その数は時間とともに増え続けています。

　独立行政法人 情報処理推進機構（IPA）は四半期毎に脆弱性登録件数を公開していますが、2022年7月に公開された登録状況によれば、累計件数は14万件を突破しています。そして四半期毎に数千件規模で、その数は増え続けているのです。

　これだけ膨大な脆弱性をすべて把握し、それらに適切に対処することは、決して簡単ではありません。多くの脆弱性が放置されたままになっているのは、このことが大きな要因だと言えます。

しかしそれを言い訳にして脆弱性に対処しないのでは、サイバー攻撃を「自ら招き入れている」のと同じことです。

　脆弱性の放置によってサイバー攻撃を受けてしまえば、その復旧のために多大な時間とコストがかかってしまい、機会損失によって莫大な損失を被る可能性があります。しかし影響はそれだけにとどまりません。

　社会的な信用失墜や、場合によっては事業継続が難しくなる危険性もあります。さらに、自社がマルウェアに感染して取引先への踏み台になった場合には、影響範囲はさらに拡大します。このような攻撃手法は「サプライチェーン攻撃」と呼ばれており、実際に数多くの事例が報告されています。

　このような事態を回避するには、すでに発見されている脆弱性が自社のシステムに内在していないか、徹底的に調査しておく必要があります。

　それも特定の機器（例えばVPN機器）だけに限定するのではなく、DNS、メール、ディレクトリなどのネットワークを経由してサービスを提供するサーバ、およびルータ、ファイアウォール、VPN装置などのネットワーク機器など、プラットフォーム全体をカバーした調査を行うべきです。

　また脆弱性は古い製品にも発見されることがあるため、脆弱性診断は一度実施すればそれでOK、というものでもありません。継続的・定期的な実施を行う必要があります。

※なぜ定期的に脆弱性診断が必要なのか、脆弱性診断を検討中の方向けの記事はこちら
関連資料：脆弱性診断とは｜脆弱性診断による攻撃者目線での問題点の洗い出し

　もちろんこれだけの調査を自社だけで行うのは、決して簡単ではありません。作業の手間がかかるだけではなく、セキュリティや脆弱性に関する高度な専門知識も必要になるからです。
このような問題を解決するため、専門家が行う「脆弱性診断サービス」は従来から提供されてきました。

4. 3つの理由から難しかったシステム全体の脆弱性診断

　実際にこのようなサービスを利用している企業や組織は少なくありません。しかしそれらのほとんどは部分的な診断にとどまっており、プラットフォーム全体をカバーしきれていない、というのが実情のようです。

　なぜ徹底した診断が行われていないのでしょうか。いくつかの理由が考えられます。

1. 予算との兼ね合い

一般的な脆弱性診断サービスは診断対象数に応じて費用が加算されるため、システム全体の診断を受けようとした場合には予算を超過し、結果として対象をシステムの一部に限定してしまいがちです。

2. 時間の問題

専門家が手作業で行う脆弱性診断は、診断作業にもレポート作成にもかなりの手間がかかり、結果が報告されるまでに長い時間を要してしまいます。そのためシステムリリース前の短期間での実施を希望する場合には、本来対象とすべきものの診断を見送ってしまうことになりがちです。

3. 準備の大変さ

診断対象の数に応じて料金が変化するサービスを受けるには、事前に診断対象を明確にし、その中で診断の優先順位を決めなければなりません。この事前準備だけでも、かなりの専門知識と労力が求められます。その結果、適切な対象を診断せず、見えやすい部分だけを取り上げて診断を依頼する、ということになりがちです。

　これらの問題を言い訳にしてシステムの一部の診断しか行わないのであれば、その効果はあまり期待できません。
プラットフォームのどこかに脆弱性が残っていれば、攻撃者はそこを標的にして攻撃を仕掛けて来るからです。またコストや時間がかかるということは、継続的・定期的な実施に対するハードルにもなっています。

　脆弱性が続々と発見されている状況の中では、診断をしてからの時間が経過するほど、プラットフォーム内に存在しうる脆弱性が増えてしまい、攻撃者に狙われやすくなってしまいます。

5. 問題解決のためのこれからの脆弱性診断サービス

　　これらの問題を解決するには、脆弱性診断サービスの変革が必要です。

1. リーズナブルな価格体系を採用し、コストを理由に診断対象を絞り込む必要がないこと。
2. 各種分析ツールを積極的に活用し、その結果に専門家の知見を盛り込むことで、適切な診断結果を短期間で報告できること。
3. 診断対象の稼働状況や診断に必要な情報収集までカバーしていること。

■CTCではこのような観点から「プラットフォーム脆弱性診断エクスプレス」を提供しています。
「プラットフォーム脆弱性診断エクスプレス」サービスを知りたい方は、サービスの紹介ページをご覧いただけます。
サービス紹介ページ：プラットフォーム脆弱性診断エクスプレス

■プラットフォーム脆弱性診断エクスプレスの概要を知りたいかたは、以下より資料をダウンロードいただけます。
サービス紹介資料：プラットフォーム脆弱性診断エクスプレス紹介資料

6. まとめ

　　本記事で述べたポイントをまとめると、以下のようになります。

• サイバー攻撃の被害が拡大しているが、その理由は攻撃側の組織化・高度化だけではなく、攻撃の受け手側が「脆弱性を放置」していることも、大きな要因になっている。
  
  
• システムプラットフォームの脆弱性は膨大な数に上っており、現在も四半期毎に数千件のペースで増え続けている。
  
  
• サイバー攻撃の多くは脆弱性を狙ったものであり、これを放置することはサイバー攻撃を「自ら招き入れている」のと同じこと。
  
  
• 脆弱性を潰すには脆弱性診断が欠かせないが、それを自社だけで行うことは困難。そのため脆弱性診断サービスも登場している。
  
  
• しかしそれを利用した場合でも、部分的にしか脆弱性診断を受けていないケースが一般的。その理由としては、コスト、時間、事前準備の大変さが挙げられる。
  
  
• CTCはこれらの問題を解決した「プラットフォーム脆弱性診断エクスプレス」を提供している。