ビジネスは小さくても攻撃対象領域は巨大

ビジネスを思いつく順に5つ挙げるとしたら、何を挙げますか?セキュリティ業界に近い方なら、Microsoft、Apple、Google などの名前を挙げるかもしれません。ディズニー、コカ・コーラ、アマゾン、ウォルマートなどの巨大企業に思いを馳せるかもしれません。仮に攻撃者なら最初に思いつくビジネスのリストは同じになるでしょうか?2020年、米国中小企業庁は、米国には大企業が約2万社、対して従業員500人以下の中小企業が600万社あると報告しています。過去10年間の新規雇用者数も、大企業が約500万人であるのに対し、中小企業は1,000万人以上になっています。私たちはこの広大な攻撃対象領域について忘れているかもしれませんが、攻撃者は忘れていません。

RiskReconによると、2020 年から 2021 年にかけて、世界の中小企業におけるデータ侵害は前年比152%と急増し、また大規模な組織における侵害は前年比で75%増となりました。建設業者が柵や標識のための穴を掘るときとプールを掘るときには同じ道具、技術、戦術を使わないように、悪意のある攻撃主体も、数多くの中小企業に対しては何を標的にするのかを調整し、確実かつ効果的に侵害します。

最近、CISA は、中華人民共和国 (PRC) の国家支援による、一般的にスモール オフィスおよびホーム オフィス (SOHO) 設定で使用されるネットワーク デバイスの悪用に関する勧告を発表しました。このリストには、DrayTek社のスモール ビジネス向けルーターに関連する CVE-2020-8515 が含まれています。Trellixの脆弱性研究チームは、企業を対象とする名だたる攻撃者がどのように価値の高い標的を狙うのかを予測するために常に取り組んでいます。8月3日、私たちはDrayTekの最新スモールビジネス向けルーター「Vigor 3910」の完全な制御が可能になる「プレ認証(Pre-authentication)」攻撃といわれる新たなゼロデイ脆弱性「CVE-2022-32548」に関する最新の調査結果を公開しました。

SOHO向けルーターにまた新たな脆弱性が生じたのが、なぜ問題なのでしょうか?一つには、実は、360Netlab脅威検知システムは2019年に、2つのゼロデイ脆弱性を悪用し、さまざまなDrayTek Vigorエンタープライズルーターを攻撃する2つの異なる攻撃グループを観測していました。また、20223月、Barracuda は、中小企業は大企業に比べて3倍もサイバー犯罪者に狙われやすいと報告しています。さらに、先月、ZuoRATマルウェアがASUSCiscoDrayTekNETGEARなど多数のメーカーのSOHOルーターに感染していることが確認されたばかりです。要するに、中国のような主要な攻撃者にとっての重要性が増していることが問題なのです。

ルーターやファイアウォールなどのエッジデバイスは、それ自体はあまり興味深いものではありませんが、企業のソフト面を守るゲートウェイとなっています。いったん侵入できると、ネットワークの他の部分への入り口が開かれるため、攻撃者も私たちのチームと同様のレベルの調査を行いたくなるのです。エッジデバイスが危険にさらされると、知的財産の盗難、顧客や従業員の機密データの損失、カメラ映像へのアクセス、容易にランサムウェアを展開する機会、場合によっては今後数年間のネットワークへの足がかりとなる可能性があります。

NuWave Technology PartnersのCEOChad Paalman氏は、「中小企業の幹部は、ファイアウォールがあれば、ドアに南京錠がかかっているも同然で、誰も入ってこられないと思っています。また、セキュリティ業務をマネージドサービスプロバイダー(MSP)に委託している場合は、ログ監視が行われている、あるいは侵入検知のサービスが提供されていると考えているようです」と語っています。このような誤った情報や考え方は、中小企業にとって危険です。ビジネスの規模や種類に関わらず標的になり得るのだと理解することが重要です。一般に中小企業もターゲットだというだけでなく、むしろターゲットにされやすいということがデータでもしばしば証明されています。SOHOやスモールビジネスのユーザーは、自分のネットワークを理解し、ベンダーが提供するすべてのパッチを常に最新の状態に保ち、侵害を直ちに法執行機関に報告することが重要です。さらに、今回発表したDrayTekに関する調査結果のようなサードパーティーによるセキュリティ監査などのサポートによって中小企業のセキュリティのさらなる強化が期待できます。DrayTekの対応と弊社の調査へのサポートは、同社のセキュリティ第一の考え方とSOHO市場の保護に貢献したいという思いを明確に示しており、賞賛に値すると思います。

本記事およびここに含まれる情報は、啓蒙目的およびTrellixの顧客の利便性のみを目的としてコンピュータ セキュリティの研究について説明しています。Trellixは、脆弱性合理的開示ポリシーに基づいて調査を実施しています。記載されている活動の一部または全部を再現する試みについては、ユーザーの責任において行われるものとし、Trellixおよびその関連会社はいかなる責任も負わないものとします。

※本ページの内容は2022年8月3日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Small Business, Mighty Attack Surface
著者: Douglas McKee