Tenableは7月13日、古いバージョンのソフトウェア、安全性の低い暗号化、設定ミスなど、国内大手企業のサイバー衛生管理状態の不備を指摘した。

同社は時価総額の上位25に入る国内企業を調査。その結果、各社は平均4,800件以上のインターネットと接続のある資産を所有しており、計12万件を超える資産が悪用のリスクにさらされていることが判明したという。

調査結果で特に注視すべき点として、調査対象の企業の全資産のうち、7,000 件がまだTLS 1.0 対応であることが指摘されている。TLS 1.0は1999 年にコンピューターネットワークの暗号化チャネルを確立するために定義されたセキュリティプロトコルで、2022年9月にMicrosoftが無効にしている。

また、調査対象になった企業のすべての資産のうち、4,000 件がまだLog4Jの脆弱性の影響を受けやすいこともわかった。 Log4J どの既知の脆弱性は、大半のサイバー攻撃の主要原因となっている。

さらに、認識された資産のうち1万2,000件以上が内部使用を用途としているものの、知らないうちに露呈され、現在では外部からのアクセスが可能な状態にあることも判明した。このような内部資産は要塞化しない限り、組織にとって大きなリスクにつながると同社は警鐘を鳴らしている。

そのほか、総資産のうち6,000 以上のAPIが特定されたことは、企業のセキュリティと正常な事業運用に対する大きなリスクとなると指摘されている。APIの不十分な認証・インプット検証アクセスコントロール、API v3 実装の依存関係の脆弱性などが重なって脆弱なアタックサーフェスが形成されているという。