The Hacker Newsは3月2日(米国時間)、「2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots」において、セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートを紹介した。同レポートでは、対処しなければならない新たなWebブラウジングのリスクと盲点が明らかにされている。

  • 2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

    2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

LayerXのレポート「2023 Browser Security Annual Report」の調査結果のポイントは次のとおり。

  • 企業のWebブラウザの半数以上は設定ミスをしている。設定を誤ったWebブラウザからデータが盗まれる可能性があり、プロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられている
  • 10のソフトウェア・アズ・ア・サービス(SaaS: Software-as-a-Service)のアプリのうち3つは、企業以外のSaaSアプリである。企業以外のSaaSアプリやそのIDは企業のデータ損失の第一の原因になると警告している
  • 攻撃者がメールセキュリティやネットワークセキュリティのツールで検知できない回避的な攻撃手法を採用している。SaaSアプリを悪用してマルウェアを配布したり、フィッシングによる悪意のあるWebサイトに誘導したりするなど、Webブラウザを介した高度が攻撃手法が脅威者に実行されている
  • 従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析している
  • WebブラウザのリスクのほとんどがID盗難につながっている。脆弱なパスワード、設定ミス、SaaSの脆弱性などはすべてデジタルIDの盗難に関連しており、企業のアキレス腱となっている

他にも、高評価のドメインを経由したフィッシング攻撃、ファイル共有システム経由によるマルウェアの配布、個人のWebブラウザプロファイルの使用によるデータ漏洩、古いブラウザの脆弱性や漏洩したパスワードなどを使用した攻撃など、さまざまな問題が2022年のブラウザセキュリティの脅威として紹介されている。

企業では、Webブラウザが主な作業インタフェースとして使われているため、Webブラウザの誤用によるリスクを認識することが重要であると注意を促している。同社は、Webブラウザに対する脅威から保護するためのセキュリティ対策を確実に講じることが重要だとアドバイスしている。