セキュリティ分析と⾃動化のリーディングプロバイダーである Rapid7 Inc.とその⽇本法⼈であるラピッドセブン・ジャパン株式会社(本社:東京都中央区、代表執⾏役社⻑:森下 恭介、以下 ラピッドセブン)は、企業等がサーバーやインフラをインターネットに公開するにあたり存在しているリスクを包括的、かつ国・業界・クラウド別に調査した「National/Industry/Cloud Exposure Report(NICER)」2020年度版の結果を発表しました。調査は刻々と変化するインターネット全体のリスクをデータに基づいて分析し、インターネットに接続されたサービスにおける外部公開の方法、および設定に関する弱点(サイバーエクスポージャー)の発生率と地理的分布を測定したものです。
世界的にコロナ渦によるリモートアクセスが増加していることを背景に、調査ではファイル転送プロトコルのFTPやネットワークに接続された機器を遠隔操作するためのプロトコルであるTelnet、Windowsの通信プロトコルであるSMB、オープンで安全ではないデータベースなど、本質的な欠陥があり、かつインターネットで外部公開する場合に危険が伴うプロトコルのリスク、および多国間での普及率に焦点を当てています。また、安全性に欠陥が無いとされているサービスについても、古いバージョンの使用や設定ミスによる、いわゆる脆弱性が存在するものについても測定を行うことにより、総合的なサイバーエクスポージャーを算出しています。 その中、サイバーリスクの危険度に関しては日本が世界8位にランク付けされました。最も危険にさらされているのは米国で、中国、韓国、英国、ドイツ、ブラジル、ロシア、日本、カナダ、イラン、イタリア、アルゼンチン、台湾、オーストラリア、スペイン、フランス、インド、トルコ、香港、メキシコと続いています。
世界的な傾向としてSMB、Telnet、遠隔地間のファイルやディレクトリの同期を行うrsync、コアメールプロトコルなどの安全でないサービスの数は、2019年と比較して平均して13%減少し、インターネット全体のセキュリティが向上していることが明らかになりました。より安全性の高いSecure Shell(SSH)やDNS-over-TLS(DoT)といった代替プロトコルの採用は増加傾向にありますが、依然として脆弱性等の課題が残されています。具体的には、24のサービスプロトコルを分析したところ、暗号化されていない通信プロトコルが世界中で多用されており、暗号化されていないHTTP ウェブサーバーは暗号化された HTTPS サーバーと比べ42%も多く存在していました。また、安全でないクエリ(データベース管理システムに対する問合せ・処理要求)を待つデータベースが300万件、Telnet 接続を受け入れるルータ、スイッチ、およびサーバーが290 万台も存在しています。また、世界的に見ても、パッチ(プログラムの一部分を更新してバグ修正や機能変更を行うためのデータ)やアップデートの導入は、悪用が頻発している最新のインターネットサービスでさえ遅れをとっているのが現状です。これは特に電子メール処理やリモートアクセスの分野で顕著で、例えば360万台のSSHサーバーが5~14年前のバージョンを使用しています。
業界別にみると、日本を含めた先進国の上場企業は、特に金融サービスと電気通信のセクターで、脆弱性のあるパッチを多数抱えていることが分かりました。NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベースCVEには、2つのセクターの外部公開された資産(public-facing assets)に高格付けのCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)が何万件も存在します。これら2つのセクターには膨大な富と専門知識が蓄積されているにもかかわらず、世界的な景気後退の時代には改善されそうにありません。
日本に関する主な分析結果は以下の通りです。
・日本におけるTelnetの使用は2019年の同時期と比べ7%増加しており、エクスポージャーの大半で通信機器が使用されていることが明らかになりました。
・SMBのエクスポージャーは24%減少しました。また、プレーンテキストFTPのエクスポージャーが2019年から2020年にかけて12%減少したことは注目に値します。
・44,802のMySQLサーバー(オープンソースのデータ管理サーバー)がエンタープライズネットワークや地域のクラウド型ホスティングプロバイダーから直接エクスポージャーにさらされていることから、データベースのエクスポージャーを軽減する取り組みが必要といえます。
日本についての主な統計情報
ランク:8
IPv4の割り当て:190,011,136
IPv4のホスティングサービス合計:7,049,866(割り当てられた分のうち3.71%)
日本全域のサービスで見つかった脆弱性の総数:
CVEによる重大性のランク |
合計 |
低 |
1,585,811 |
中 |
1,723,568 |
高 |
1,752,772 |
日本における調査結果のまとめ
サービスグループ |
サービス(ポート番号) |
検出数 |
コンソールアクセス |
SSH(22) |
451,813 |
コンソールアクセス |
Telnet(23) |
115,691 |
データベース |
memcached(11211) |
959 |
データベース |
MySQL(TCP/3306) |
44,802 |
データベース |
MS SQL(UDP/1434) |
3,075 |
データベース |
Redis(6379) |
1,906 |
ファイル共有 |
FTP(21) |
597,061 |
ファイル共有 |
FTPS(990) |
2,622 |
ファイル共有 |
rsync(873) |
6,110 |
ファイル共有 |
SMB(445) |
18,613 |
インフラ |
DNS(TCP/53) |
72,518 |
インフラ |
DNS(UDP/53) |
76,574 |
インフラ |
DoT(853) |
29 |
インフラ |
NTP(123) |
35,688 |
メール |
IMAP(143) |
310,159 |
メール |
IMAPS(993) |
279,196 |
メール |
POP3(110) |
396,123 |
メール |
POP3S(995) |
309,619 |
メール |
SMTP(25) |
589,222 |
メール |
SMTP(587) |
382,133 |
メール |
SMTPS(465) |
222,633 |
リモートアクセス |
Citrix ADC/NetScaler(多種) |
524 |
リモートアクセス |
RDP(3389) |
93,216 |
リモートアクセス |
VNC(5900+5901) |
8,679 |
Webプライマリ |
HTTP(80) |
1,552,920 |
Webプライマリ |
HTTPS(443) |
1,164,656 |
ラピッドセブン・ジャパン株式会社、代表執⾏役社⻑の森下恭介は、次のように述べています。
「2020年は、コロナ禍によってもたらされた急激な働き方の変化により、セキュリティの一丁目一番地である脆弱性対策において、サイバーエクスポージャーが与える影響に関する重要性が、ますます注目されるべき状況となりました。当社では、全世界のサイバーエクスポージャー、つまり特別なアクセス権等を有さなくとも、外部一般から閲覧可能なセキュリティの脆弱性に関する調査を、数年にわたり実施しております。当然、これらの外部には、悪意を持って入り口を探している攻撃者も含まれます。情報セキュリティにおける基礎は、資産管理とそれら資産にかかわる脆弱性管理、つまり『何が動いていて、どのドアが閉まっていないか』の管理にあります。一連の調査では全世界・国・業種ごとに、外部から見える『何が動いていて、どのドアが閉まっていないか』の脆弱性が示されています。日本における特徴の一つとしては、WannaCry等で悪用されたこともあり、SMBへの対策意識が確実に向上した点が高く評価できる一方、戸締りに例えると、以前泥棒に侵入された窓の鍵の補修は万全であっても、他の窓やドアが脆弱であれば今後も泥棒に狙われる可能性があるため、局所的ではなく網羅的な対応が必要とされていることが分かりました。当社では、本年のみならず今後も継続して発表するNICERレポートの内容をお客様別に分解し、お客様に合致した形でリスクを説明することができます。その情報をもとに、お客様が網羅的な管理・維持方法を検討しリスクを低減させ、セキュアなサービスを稼働する支援ができればと考えております」
Rapid7はTelnetからSMB、データベースからWebサーバーまで、現在展開されている最も一般的なテクノロジーのプロトコル調査を行うことで、世界中のインターネットに関するサービスを測定しました。NICER2020の詳細については、こちら( https://www.rapid7.com/ja/research/report/nicer-2020/ )をご覧ください。
Rapid7 について
Rapid7(Nasdaq: RPD)- ラピッドセブンは、Insight Cloud により、Visibility-可視化、Analytics-分析、Automation-⾃動化をもたらすことで、セキュティのさらなる強化を実現しています。ラピッドセブンのソリューションなら、複雑性が解消され、セキュリティ部⾨が IT 部⾨と開発部⾨が、脆弱性の削減、疑わしき⾏動の監視、攻撃の調査と遮断、ルーチン業務の⾃動化を通じて、より効率的に業務を遂⾏できるようになります。全世界で、8,500 社を超える顧客のセキュリティの向上とセキュアな企業の発展が、ラピッドセブンのテクノロジーやサービスとリサーチに⽀えられています。より詳細な内容については、ウェブサイトでご覧いただけます。ブログ (英語)や Twitter(英語)も是⾮、ご覧ください。
お問い合わせ先:
Rapid7 Japan 株式会社
担当:マーケティングマネージャー 吉⽥ 直⼦
TEL: 03-6838-9720 E-mail: naoko_yoshida@rapid7.com