調査

ペネトレーションテストレポート:92%の企業ネットワークが侵入可能な状態

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2019年02月20日 06時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

 サイバーセキュリティ企業Positive Technologiesは米国時間2月6日、同社が2018年に実施したペネトレーションテストについてまとめた「Penetration testing of corporate information systems: statistics and findings, 2019」レポートを公開した。このレポートによると、2018年に同社が実施したすべてのペネトレーションテストのうち、外部境界を突破し、企業の社内ネットワークに侵入できたケースは92%にのぼったという。

 同社によると成功事例のほとんどは、外部とのやり取りを受け持つウェブアプリのソースコード中に存在する脆弱性を突いたものだったという。ウェブアプリは、企業のITインフラにおいて最も脆弱なコンポーネントと見なされている。

 同社の専門家らが発見し、テスト対象企業の社内ネットワークへのアクセスに利用できた侵入経路の75%は、これらウェブリソースに対する保護が貧弱だったがゆえに生み出されたものだった。

 また、侵入に成功した企業の半数では、わずか1ステップでネットワーク境界に侵入することに成功したという。

 いったん企業のネットワーク内に侵入すると、社内の他のコンピュータやサーバへのアクセス権限も難なく昇格でき、一部の事例では産業用制御システム(ICS)の機材や、国際銀行間通信協会(SWIFT)の送金システム、ATMの制御機能といった基幹リソースにすらもアクセスできたという。

 Positive Technologiesによると、同社の専門家らは企業の社内ネットワークに侵入した際、アカウントのパスワードをブルートフォース攻撃で特定したり、パッチの適用されていないシステムを既知の脆弱性を用いて攻撃したり、フィッシングなどのソーシャルエンジニアリング技術やWi-Fiネットワークの脆弱性を悪用するといった基本的なテクニックを利用して特権の昇格に成功したという。

 しかもWi-Fiネットワークの脆弱性は、社内ネットワークの内側からアクセス権限を昇格する際だけでなく、社外から侵入する際の攻撃ベクタとしても利用できた。

 同レポートには「テスト対象のWi-Fiネットワークでは、87%が顧客の敷地外からアクセスできた。つまり、敷地内に足を踏み入れずとも、近くの駐車場やカフェから当該ネットワークにアクセス可能だった」と記されている。実質的に、企業の社内ネットワークが近傍からの攻撃の危険にさらされていたということになる。

 また同レポートには「63%のシステムでは、Wi-Fiのセキュリティが貧弱だったため、ローカルネットワーク上のリソースにアクセスできた」とも記されている。ここでいう貧弱なWi-Fiセキュリティとは、Wi-Fiトラフィックを暗号化していなかったり、強度に問題があるWPA2/PSKやWPA/EAPなどのプロトコル実装をWi-Fi認証に用いている場合を意味している。

 とはいえ、防御が完璧だった企業は皆無だった。ファイアウォールを利用してウェブアプリケーションを保護し、強力なWi-Fi認証を採用し、ブルートフォース攻撃に耐えられる強力かつユニークなパスワードを設定し、フィッシング目的の電子メールを見抜くような従業員訓練を実施していても、どの企業にもパッチが適用されていないシステム、つまり攻撃者の侵入を許すドアが少なくとも1つ存在していたのだった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]