Rapid7 Japan(ラピッドセブン・ジャパン)は8月3日、オンラインによる記者説明会を開催し、企業などがサーバやインフラをインターネットに公開するにあたり存在しているリスクを包括的、かつ国・業界・クラウド別に調査した「National/Industry/Cloud Exposure Report(NICER)」2020年度版の結果を発表した。調査は変化するインターネット全体のリスクをデータに基づいて分析し、インターネットに接続されたサービスにおける外部公開の方法・設定に関する弱点(サイバーエクスポージャー)の発生率と地理的分布を測定したものとなる。
世界的にコロナ禍によるリモートアクセスが増加していることを背景に、同調査ではファイル転送プロトコルのFTPやネットワークに接続された機器を遠隔操作するためのプロトコルであるTelnet、Windowsの通信プロトコルであるSMB、オープンで安全ではないデータベースなど、本質的な欠陥があるとともにインターネットで外部公開する場合に危険が伴うプロトコルのリスク、多国間での普及率にフォーカスを当てている。
Rapid7 Japan シニアセキュリティコンサルタントの本田俊夫氏は、NICERについて「これまでわれわれが行っていたNEI(National Exposure Index)とICER(Industry Cyber Exposure Report)を統合かつ進化させたレポートだ。調査委に利用した技術/研究はインターネットスキャナのProject Sonar、グローバルハニーポットのProject Heisenberg、オープンソースのフィンガープリントデータベースのProject Recogとなる」と述べた。
本田氏は調査結果のエグゼクティブサマリとして「非セキュアなサービス(SMB、Telnet、rsyncなどのサービス露出)の利用が前年対比平均13%低下し、特にSMBは約16%低下した。一方で引き続き広く利用されている平文プロトコル/プロトコルに注意が必要なほかパッチ適用の継続的な遅れと鈍化がある」と説明した。
また、安全性に欠陥がないとされているサービスについても、古いバージョンの使用や設定ミスによる脆弱性が存在するものについても測定を行うことで、総合的なサイバーエクスポージャーを算出し、調査対象のプロトコル/サービスは24種類。その中、サイバーリスクの危険度に関しては日本は世界8位にランク付けされている。
国別ランキングは、(1)全体の攻撃対象領域(Attack Surface)、(2)特定サービスの露出状況、(3)全対象サービスを通して検出された既知の脆弱性(CVE)数、(4)脆弱性を伴うサービス公開の集中度、(5)最大の脆弱性率、これらの指標をもとに作成し、ランクが上位であれば悪い露出状況にあるというものだ。
最も危険にさらされているのは米国で、中国、韓国、英国、ドイツ、ブラジル、ロシア、日本、カナダ、イラン、イタリア、アルゼンチン、台湾、オーストラリア、スペイン、フランス、インド、トルコ、香港、メキシコと続く。
世界的な傾向としてSMB、Telnet、遠隔地間のファイルやディレクトリの同期を行うrsync、コアメールプロトコルなど、安全でないサービスの数は2019年比で平均13%減少し、インターネット全体のセキュリティが向上していることが明らかになったという。安全性の高いSecure Shell(SSH)やDNS-over-TLS(DoT)といった代替プロトコルの採用は増加傾向にあるものの、依然として脆弱性等の課題が残されていると指摘。
具体的には24のプロトコル/サービスを分析した結果、暗号化されていない通信プロトコルが世界中で多用されており、暗号化されていないHTTP ウェブサーバは暗号化されたHTTPS サーバと比べ42%も多く存在している。また、安全でないクエリ(データベース管理システムに対する問合せ・処理要求)を待つデータベースが300万件、Telnet 接続を受け入れるルータ、スイッチ、サーバが290万台も存在している。
また、世界的にもパッチ(プログラムの一部分を更新してバグ修正や機能変更を行うためのデータ)やアップデートの導入は悪用が頻発している最新のインターネットサービスでさえ、遅れをとっているのが現状であり、特に電子メール処理やリモートアクセスの分野で顕著で、例えば360万台のSSHサーバが5~14年前のバージョンを使用している。
業種別はICERの対象となっていたアメリカ、イギリス、日本、オーストラリア、ドイツの5カ国計約1500の組織を業種別にランク・グレード付けし、主な評価指標はインターネットに露出しているサービスやコンポーネントで発見された重大な脆弱性数となる。
これによると、日本を含めた先進国の上場企業は特に金融サービスと電気通信のセクターで、脆弱性のあるパッチを多数抱えていることが判明し、NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベースCVEには、2つのセクターの外部公開された資産(public-facing assets)に高格付けのCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)が何万件も存在している。
一方、日本におけるTelnetの使用は2019年の同時期と比べ7%増加し、エクスポージャーの大半で通信機器が使用されていることが明らかとなった。SMBのエクスポージャーは24%減少したほか、プレーンテキストFTPのエクスポージャーが2019年から2020年にかけて12%減少している。
さらに、4万4802のMySQLサーバ(オープンソースのデータ管理サーバ)がエンタープライズネットワークや地域のクラウド型ホスティングプロバイダーから直接エクスポージャーにさらされていることから、データベースのエクスポージャーを軽減する取り組みが必要だという。
本田氏は、今回の調査結果を踏まえた上での推奨事項として「安全ではないサービス(ポート)の停止とセキュアなサービスへの移行」「インターネットに直接公開すべきではないサービスの遮断や設定変更」「早急なパッチ適用と継続的な脆弱性管理」の3点を挙げている。
また、同氏はインターネットに資産を公開する時の心得として「意図的な露出」「適切な設定」「定期的なパッチ適用」「注意深い監視」「攻撃されているという仮定」の5つを示していた。