Qualysが公開した2023年TruRisk調査レポートの詳細と危険因子

Qualysが公開した2023年TruRisk調査レポート

Qualysの脅威調査部門（TRU）が2023年のTruRisk調査レポートを発表しました。このレポートは、デジタルトランスフォーメーションに伴う企業や政府機関の生産性向上への取り組みと、それに関連する新たなソフトウェア開発の進展を背景に成り立っています。しかし、それに比例して、ソフトウェアの脆弱性も急増。これが組織に深刻なリスクをもたらしています。

報告書では、Qualys Cloud Platformを拠点に、13兆件以上のイベントを収集し、脆弱性やWebアプリケーションのセキュリティ、環境設定の誤りに関する洞察を提供しています。これにより、5つのリスク要因が明らかになりました。

リスク要因1：パッチ適用の迅速性

サイバー攻撃者に対抗する鍵は、脆弱性にパッチを適用する速さにあります。調査によると、攻撃者が脆弱性を悪用するまでの平均期間は19.5日ですが、パッチが適用されるまでの平均はなんと30.6日です。さらに、実際に適用される割合は57.7%と低く、組織は攻撃者に対して11日以上も脆弱な状態を維持してしまっています。

リスク要因2：自動化がカギ

自動化されたパッチ適用は、手動に比べて適用率が45%向上し、実施のスピードも36%早いという結果が出ました。自動化されることで、パッチ適用までの期間は平均25.5日に短縮されます。しかし、自動化されていない場合は39.8日もかかってしまいます。

リスク要因3：IAB（イニシャルアクセスブローカー）への警戒

報告書では、IABがターゲットにしやすい領域を攻撃していることがわかります。特に、WindowsやChromeは早急にパッチ適用される一方、他の脆弱性は攻撃者に狙われやすく、修正までの平均期間は45.5日にも達します。

リスク要因4：Webアプリケーションの設定ミス

QualysのWebアプリケーションスキャナーによる分析で、37万件以上のWebアプリケーションをスキャンした結果、33%が設定ミスに該当する脆弱性を抱えていることが確認されました。これにより、攻撃者は約24,000のWebアプリケーションを標的にすることが可能となっています。

リスク要因5：ランサムウェアの脅威

TRUは、セキュリティコントロールの不合格ケースを調査し、主にクラウド設定の誤りが原因でランサムウェアに直面する危険性が高まることを示しています。不合格のケースの50%以上が、エクスプロイトやデータ流出のリスクを伴っています。特に、設定の不備があると、攻撃者がネットワーク内で横移動する危険もあります。

QualysのTRUのバイスプレジデントであるTravis Smith氏は、攻撃者はターゲットの脆弱性を見極め、有利に攻撃を進めると警告しています。このレポートは、CISOやセキュリティチームがリスクを最小限に抑えるための戦略を提供しています。