サイバーセキュリティ企業Positive Technologiesは米国時間2月6日、同社が2018年に実施したペネトレーションテストについてまとめた「Penetration testing of corporate information systems: statistics and findings, 2019」レポートを公開した。このレポートによると、2018年に同社が実施したすべてのペネトレーションテストのうち、外部境界を突破し、企業の社内ネットワークに侵入できたケースは92%にのぼったという。
同社によると成功事例のほとんどは、外部とのやり取りを受け持つウェブアプリのソースコード中に存在する脆弱性を突いたものだったという。ウェブアプリは、企業のITインフラにおいて最も脆弱なコンポーネントと見なされている。
同社の専門家らが発見し、テスト対象企業の社内ネットワークへのアクセスに利用できた侵入経路の75%は、これらウェブリソースに対する保護が貧弱だったがゆえに生み出されたものだった。
また、侵入に成功した企業の半数では、わずか1ステップでネットワーク境界に侵入することに成功したという。
いったん企業のネットワーク内に侵入すると、社内の他のコンピュータやサーバへのアクセス権限も難なく昇格でき、一部の事例では産業用制御システム(ICS)の機材や、国際銀行間通信協会(SWIFT)の送金システム、ATMの制御機能といった基幹リソースにすらもアクセスできたという。
Positive Technologiesによると、同社の専門家らは企業の社内ネットワークに侵入した際、アカウントのパスワードをブルートフォース攻撃で特定したり、パッチの適用されていないシステムを既知の脆弱性を用いて攻撃したり、フィッシングなどのソーシャルエンジニアリング技術やWi-Fiネットワークの脆弱性を悪用するといった基本的なテクニックを利用して特権の昇格に成功したという。
しかもWi-Fiネットワークの脆弱性は、社内ネットワークの内側からアクセス権限を昇格する際だけでなく、社外から侵入する際の攻撃ベクタとしても利用できた。
同レポートには「テスト対象のWi-Fiネットワークでは、87%が顧客の敷地外からアクセスできた。つまり、敷地内に足を踏み入れずとも、近くの駐車場やカフェから当該ネットワークにアクセス可能だった」と記されている。実質的に、企業の社内ネットワークが近傍からの攻撃の危険にさらされていたということになる。
また同レポートには「63%のシステムでは、Wi-Fiのセキュリティが貧弱だったため、ローカルネットワーク上のリソースにアクセスできた」とも記されている。ここでいう貧弱なWi-Fiセキュリティとは、Wi-Fiトラフィックを暗号化していなかったり、強度に問題があるWPA2/PSKやWPA/EAPなどのプロトコル実装をWi-Fi認証に用いている場合を意味している。
とはいえ、防御が完璧だった企業は皆無だった。ファイアウォールを利用してウェブアプリケーションを保護し、強力なWi-Fi認証を採用し、ブルートフォース攻撃に耐えられる強力かつユニークなパスワードを設定し、フィッシング目的の電子メールを見抜くような従業員訓練を実施していても、どの企業にもパッチが適用されていないシステム、つまり攻撃者の侵入を許すドアが少なくとも1つ存在していたのだった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。