放置されたWebアプリケーション:FT500企業のアキレス腱

昨今、最大規模のグローバル企業でのセキュリティへの支出が増大している状況にもかかわらず、シャドウアプリケーションおよびレガシーアプリケーションが放置されているケースが多く、それらによってサイバーセキュリティとコンプライアンスが低下しています。

主な調査結果

  • FT500の企業のうち70%は、Dark Webで情報が販売されています。
  • 外部Webアプリケーションの92%に、悪用可能なセキュリティ上の欠陥または脆弱性があります。
  • 19%の企業が、保護されていない外部クラウドストレージを使用しています。
  • GDPRに準拠していない外部ウェブアプリケーションの2%がWAFで適切に保護されています。

研究の概要

https://www.youtube.com/watch?v=ttOeNCfIFoA
出典:IFSEC Global

目次

 

 

  • 研究統計

3.1 外部アプリケーション
3.2 SSL / TLS暗号化
3.3 PCI DSSおよびTLS
3.4 SSL証明書とドメイン名
3.5 Webサーバーセキュリティ
3.6 コンテンツセキュリティポリシー
3.7 脆弱なWebソフトウェア
3.8 デフォルトのWordPressインストール
3.9 Webアプリケーションファイアウォール
3.10 ISC / SCADAおよびIoT
3.11 GDPRコンプライアンス
3.12 プライバシーポリシー
3.13 保護されていないクラウドストレージ
3.14 オープンバグバウンティレポート
3.15 ダークウェブで販売されたデータ

  • 結論と解決策

 

 

1.前文

米国第21代国防長官ドナルド・ラムズフェルドは次のように述べています。

「既知の既知のものがあります(認識していて[原因or理由or対策]がわかっていること)。また、既知の未知のものがあることも知っています(認識しているが[原因or理由or対策]がわからないこと)。しかし、未知の未知(存在を認識すらしていないこと)の要素もあります。そして、我が国や他の自由諸国の歴史を振り返ってみると、後者のカテゴリーが難しいものになる傾向にあります。

現在では、彼の英知は特にテクノロジーとサイバーセキュリティーの分野に適用されます。シャドウ、レガシー、および放棄されたIT資産は、通常、既知の未知または未知の未知のカテゴリに分類され、現代の企業や組織にとって大きなリスクとなっています。メンテナンスも保護もないまま放置された場合、セキュリティへの取り組みの有無やサイバーセキュリティへの支出の増加有無に関係なく、悪循環が発生し、 企業は簡単に侵害されてしまいます。

2017年11月、High-Tech BridgeはImmuniWeb®Discoveryの開始を発表しました。これは、特定の企業または組織に関連するすべての外部アプリケーションと関連IT資産を検索する、非侵入型のOpen Source Intelligence(OSINT)サービスです。
つまり、ImmuniWeb Discoveryは、Webベースの攻撃可能な表面の包括的なスナップショットを迅速に構築します。会社名とメインWebサイトを入力するだけで、すべての外部Webサイト、Webシステム、ドメイン名、SSL証明書、WebベースのAPIおよびマイクロサービス、および保護されていないクラウドストレージの非侵入型調査を開始します。

私たちは最近、ImmuniWeb Discovery ユーザーの企業や政府に簡単なアンケートを送り、私たちのサービスでの彼らの経験を調査しました。調査の結果、発見されたアプリケーションのうち最大80%がサイバーセキュリティチームに知られていなかったことが明らかになり、この過小評価されがちな問題の規模と広がりには、大きな驚きがありました。

2.研究データ

既知の未知、未知の未知、関連するリスク、脅威に光を当てるために、Financial Times:グローバル企業上位1,000社 (FT US500、FT Europe500) を採用し、非侵入的評価を実施した結果、 その外部Webアプリケーション、モバイルアプリケーション、SSL証明書、Webソフトウェア、および保護されていないクラウドストレージを大規模に検出しました。

この調査では、次の用語を使用します(各用語の説明は記事特有の表現となる場合があります):

シャドウIT
正当なビジネスの目的のために組織内で作成されたIT資産は、組織の中央管理者およびIT/セキュリティ担当者との適切な調整なしに構築されます。そのため、多くの場合、メンテナンスされておらず、適切に保護されていません。例:営業チームが独自に使用しているクラウドベースのファイル共有サービスで、現在の取引や契約情報を管理している。

レガシーIT
正当な(および既存の)ビジネスの目的に対応するために古くから構築されてきたIT資産ですが、複雑さ、人的要因、コードや知識の適切な伝達が行われないままエンジニアの退職、リソースの不足などの理由で適切なメンテナンスが行われていない場合があります。そういったことから、古いシステムのままであることから様々な脆弱性が潜んでいます。
例:クライアントデータの整合性を備えた core e-banking システムのモジュール部分。

放置されたIT
正当なビジネスの目的のために構築されたIT資産ですが、ビジネスの過程で自然に忘れられたり、放置されたり、失われたりする場合があります。そういったことから、古いシステムのままであることから様々な脆弱性が潜んでいます。
例:実際の顧客データを使用したERPシステムの本番稼働前のテストバージョン。

この調査では、あらゆる規模の組織にとって最大の外部脅威の1つであるアプリケーションおよび関連するITインフラストラクチャに焦点を当てています。

この調査では、下記の無料で公開されているものを使用しました。

この調査は、Shodanのようなネットワーク・インフラストラクチャではなく、アプリケーションITインフラストラクチャ(HTTP/Sプロトコルを介してアクセス可能な外部システム)に重点を置いています。

3.研究統計

3.1 外部アプリケーション

米国の大手企業500社は、インターネットからアクセス可能な293,512の外部システムを保有しています。そのうちの42,549の外部システムは、動的なコンテンツと機能を備えたライブWebアプリケーションを持っています。
EUの大手企業500社は、インターネットからアクセス可能な112,750の外部システムを保有しています。そのうちの22,162の外部システムは、動的なコンテンツと機能を備えたライブWebアプリケーションを持っています。

図1. FT US 500およびFT EU 500企業の外部Webアプリケーションの合計

これは、米国の企業が平均85.1個のアプリケーションを持っていることを意味します。これらは、外部から簡単に発見でき、2FA、強力な認証、および信頼できない関係者へのアプリケーションアクセシビリティを低減することを目的とした、その他のセキュリティコントロールによって保護されていません。
EU企業については、企業ごとに44.3件のアプリケーションがあります。

すべての種類のリダイレクト、デフォルトのインストールページ(例:Apache)またはHTTPエラー(例:404または500)を無視して、一意のライブWebアプリケーションのみをカウントしました。:

3.2 SSL / TLS暗号化

SSL/TLS暗号化のグレードについては、米国企業に属するWebサーバの48.81%が「A」ですが、32.21%が「F」となっています。7.82%は非推奨のSSLv3プロトコルがまだ有効になっているため脆弱性があります。

図2. FT US 500 における SSL / TLS 暗号化のグレード分布

EU企業に属するウェブサーバーの62.4%が「A」、16.02%が「F」となっていますが、それでも欧州企業は米国企業に比べてはるかに優秀な状態にあると言えるでしょう。SSLv3プロトコルが有効となっているシステムが5.15%と米国より低い数値となっているためです。

図3. FT EU 500 における SSL / TLS 暗号化のグレード分布

「F」グレードのサーバを少なくとも2台所有している企業は、米国企業では43.2%であるのに対し、EU企業では29.6%となっています。

「A」グレードの単一サーバを保有していない企業は、米国企業では14%、EU企業では10%となります。

悪用可能なSSL/TLS脆弱性(少なくとも傍受されたHTTPSトラフィックの暗号化を解読することが可能)を持つサーバを少なくとも2台所有している企業は、米国企業では35.2%に対し、EU企業では24%になります。

3.3 PCI DSSおよびTLS

米国の企業では、PCI DSS 3.2 .1の最新バージョン(要件2.3および4.1)に準拠したSSL/TLS設定が使用されているWebサーバは、検出されたサーバのわずか16.4%です。
EU企業は、準拠しているWebサーバが14.7%と、さらに悪化しています。

ただし、必ずしも、PCI DSSに準拠していない構成が「暗号化が不十分」であることを意味するわけではありません。しかし、多くの場合では不十分なのが現状です。

図4. FT US 500およびFT EU 500 における PCI DSS要件に準拠したTLS構成

3.4 SSL証明書とドメイン名

米国企業では、信頼されていない認証局(CA)、有効期限、または別のドメイン名に対する発行が原因で、45.1%のSSL証明書が無効になっています。
信頼されていない認証局には、信頼されていないSymantec KPIのレガシー証明書が含まれます。

欧州企業は、無効な証明書が28.9%となっており、はるかに優れた結果となっています。

図5.FT US 500 および FT EU 500 における外部WebアプリケーションのSSL証明書

米国企業の42%が、期限切れまたは存在しないドメイン名(多くの場合、プログラマーのURLタイプミス)にある外部リソース(JSライブラリ、外部画像、フォント、CSSファイルなど)を持つWebアプリケーションを少なくとも1つ持っています。攻撃者はそれらを見つけ出し、任意または悪意のあるコンテンツをWebアプリケーションに注入します。

欧州企業は、69%のケースで少なくとも1つの制御不能なドメインの問題の影響を受けやすくなっています。

3.5 Webサーバーセキュリティ

この調査委によると、米国企業のWebサーバのうち、セキュリティ強化(主にセキュリティとプライバシー関連のHTTPヘッダー)を適切に実装している「A」グレードのサーバは2.94%にすぎませんでした。大多数(76.9%)は「F」グレードでした。
欧州企業もほぼ同じ状況で、「A」グレードが2.98%、「F」グレードが77.4%でした。

3.6 コンテンツセキュリティポリシー

コンテンツセキュリティポリシー(CSP)は、Webアプリケーションに脆弱性がある場合でも、Webサーバー側のXSSおよびCSRF攻撃ベクトルを緩和する能力で広く知られています。CSPが有効になっていて、CSPが適切に構成されているウェブアプリケーションの割合は、欧州では4.39%であるのに対し、米国では9.1%です。

3.7 脆弱なWebソフトウェア

研究結果の中で、米国企業は平均して8%のWebアプリケーションを使用しており、(i)旧式、(ii)サードパーティのCMS、ライブラリ、またはWebシステム(WordPress、jQuery、MS SharePointなど)を使用しており、既知または公開されているセキュリティ脆弱性が少なくとも1つ含まれています。

欧州企業では、15.8%が危険なサードパーティWebソフトウェアとなっており、Webアプリケーションや状況によっては周囲のインフラストラクチャ(データベース、Webサーバーなど)に簡単に侵入することができます。

統計的にはわずかな差ですが、大きな違いとしては、米国企業の方が、ゼロから社内のソフトウェア開発により多くの投資ができる余裕がある裕福さに起因しています。

3.8 デフォルトのWordPressインストール

WordPressを利用している米国企業のウェブアプリケーションのうち、94%がデフォルトの管理場所(on/wp-admin URL)を持っており、他のいかなる手段(例えば補助的な.htaccess認証やIPホワイトリスト)によって保護されていません。

欧州企業の99.5%にも同じこと当てはまります。

デフォルトのWordPress管理領域の場所は、サードパーティのリソースで管理者アカウントが侵害された場合のパスワードの再利用、WPプラグインおよびテーマでのXSS脆弱性の悪用など、ブルートフォース攻撃やその他の認証関連の攻撃を簡素化します。

3.9 Webアプリケーションファイアウォール

米国企業で検出されたWebアプリケーションのうち、98.4%でWebアプリケーションファイアウォール(WAF)フィルタリングが有効になっていないか、許容度が高すぎます。

欧州企業でも状況はほぼ同じであり、外部からアクセスされるアプリケーションの98.1%がWAFで十分に保護されていない状態か、まったく保護されていない状態です。

WAFのテストでは、既存のパラメーターの値に<script>document.alert(cookie)</script>文字列(およびそのバリエーション)を追加または挿入して、3回連続でHTTPリクエストを既存のHTTP GETパラメーターに送信しました。 リクエストがブロックされていなかったり、目に見える形で変更された場合、システムがWAFによって適切に保護されていないと見なしています。

図6. FT US 500およびFT EU 500 におけるWAFで保護された外部Webアプリケーション

WAFプロテクト率(2%)が驚くほど低いのは、Webセキュリティチームが知っているビジネスクリティカルなアプリケーションにのみWAFを導入するという概念が広く浸透しているためかもしれません。この問題は、WAFを導入する際にAPIやWebサービスの保護が不十分であることが原因で深刻化しています。

3.10 ISC / SCADAおよびIoT

内部ISC/SCADAシステムまたはIoT(ビデオ監視システム、スマートオフィス、さらには産業機械など)を管理するために外部に公開されているウェブインターフェースは、EU企業では0.63%であるのに対し、米国では0.91%でした。

これらのシステムは、インターネットから誰でもオープンにアクセス可能であり、検出および攻撃するための特別な知識や内部情報を必要としません。

3.11 GDPRコンプライアンス

発見されたアプリケーションのうち、米国企業の16.2%が、個人特定可能情報(PII)(例:Webフォーム)の入力を許可するWebアプリケーションを少なくとも2つ所有しています。そのWebアプリケーションは、 (i) 脆弱なバージョンのSSL/TLS、(ii)古くて脆弱なCMSや別のWebソフトウェアを実行しています。

上記GDPR第32条に対する同様の違反は、欧州企業では15.4%になります。

図7. FT US 500 および FT EU 500 における PII を受け入れるWebアプリケーションのGDPR準拠

準拠していないWebアプリケーションの数が非常に多い結果となりますが、PIIを処理または格納している古く脆弱なWebサイトがどれだけあるか、侵入テストを行わずに判断することは不可能です。

3.12 プライバシーポリシー

PIIを受け入れることが可能なアクティブなWebフォーム(例:登録フォームなど)を持つWebサイトについて、プライバシーポリシーとそのコンテンツを分析しました。

米国企業は、2018年5月25日(GDPRの施行)以降または今年初めにプライバシーポリシーが明らかに更新されているウェブサイトは9%しかありませんでした。
この調査によると、欧州企業はかなり改善されており、2018年には21%がプライバシーポリシーを更新しています。

3.13 保護されていないクラウドストレージ

米国企業の27%は、インターネットからの認証なしでアクセス可能な外部クラウドストレージ(例:AWS S3バケットなど)を少なくとも一つ持っています。
欧州企業ではわずか12%となっています。

ストレージ内の一部のファイルには、「内部」と明示されており、これらのクラウドリソースはおそらく一般公開を目的としていないことを示しています。

米国と欧州の統計の違いは、欧州ではプライベートクラウドやオンプレミスのストレージが普及しており、クラウドストレージに対する、より保守的なアプローチによるものだと言えます。

図8.FT US 500およびFT EU 500におけるパブリックにアクセス可能な非保護のクラウドストレージ

3.14 オープンバグバウンティレポート

Open Bug Bountyは、独立したセキュリティ研究者が侵入テストなしで発見したWeb脆弱性(主にXSS)の協調的かつ責任ある方法で公開するための非営利プラットフォームです。

図9. FT US 500およびFT EU 500におけるOpen Bug Bountyでの脆弱性レポート

米国企業の221社が1,232件の脆弱性をOpen Bug Bountyに投稿していますが、その内の38%はパッチが適用されていません。

欧州企業の162社が625件の脆弱性に対して415件のパッチを適用したと報告していますが、まだパッチを適用していない企業が34%もあります。

米国企業の36社(16%)が単一のセキュリティ脆弱性の修正ができていないのに対し、EU企業は35社(22%)となっています。

3.15 ダークウェブで販売されたデータ

High-Tech Bridgeは、Dark Web上の情報セキュリティ関連のリソースを継続的に監視しています。この調査で、侵害されたと言われているWebサイトのリストから、米国:42,549件/欧州:22,162件のウェブサイトとウェブアプリケーションを調査しました。

米国企業のうち62%において少なくとも1つのDark Web上のWEBサイトで機密情報が販売されています。

欧州企業のうち78%において少なくとも1つのDark Web上のWEBサイトで機密情報が販売されています。

犯罪の手口は、リモートのS/FTPアクセス、RCE、SQLインジェクションの脆弱性コンパイルのリストから、攻撃を受けたとされる他の多くのWebサイトのダンプで販売されているログインとパスワードのペアまで、多岐にわたります。

図10. Dark Webで販売されているFT US 500およびFT EU 500のWebサイトとデータ

4.結論と解決策

High-Tech BridgeのCEOであり創設者であるIlia Kolochenko氏は次のようにコメントしています。

「この調査は、放置されメンテナンスされていないアプリケーションが今日の病巣であることを明確に示しています。大規模な組織では、Webサイト、Webサービス、およびモバイルアプリが複雑に絡み合っているため、それらの大部分を忘れてしまうことがよくあります。レガシーアプリケーション、人員異動、リソース不足、アウトソーシングおよびオフショアリングなどが状況を悪化させる要因となりえます。
その一方で、サイバー犯罪者はよく組織化されており、非常に積極的です。人気のあるCMSで新しい脆弱性が発見されると即座に攻撃が開始され、サイバーセキュリティチームには対応する機会を与えません。また、一部のハッキングチームやサイバー犯罪グループでは、侵入直後にウェブアプリケーションにパッチを当てて、自分以外が侵入できないように阻止する者さえいます。そのため、速やかにWebアプリケーションにパッチを適用する必要性があります。」

High-Tech Bridgeは、Gartnerのテクノロジーアナリストからの貴重な情報とアドバイスを受けて、ベンダーに依存しないアプリケーションセキュリティテストのライフサイクルを開発しました。

ベンダーに依存しないアプリケーションセキュリティテストのライフサイクル

このサイクルは、持続可能なアプリケーション・セキュリティー・テスト戦略のための5つのシンプルで一貫性のある常識的なステップを示しています。
最も重要な最初のステップとして、総合的なアプリケーションの検出とインベントリを特に重点が置かれます。ImmuniWeb®Discoveryでは、無料診断を提供しており、誰でも組織の露出している攻撃可能な表層部分を評価できます。わすか数クリックで無料診断を行えます。

2018年10月24日、High-Tech BridgeはAIベースのImmuniWeb®Discoveryをリリースしました。拡張バージョンでは、機械学習テクノロジと、Webの脆弱性、弱点、違反、および設定ミスで構成される853,783,291件のサンプルのBig Dataを活用して、侵入テストを行わずにアプリケーションのハッキングの可能性と不正利用価値を予測します。

  • Hackability Score(0から99):
  • 技術的な観点からアプリケーションがどれだけ簡単にハッキングされるかを推定します。
  • Attractive Score(0から99):
  • 平均的なサイバー犯罪グループにとってアプリケーションがどれだけ不正利用価値があるかを評価します。

ImmuniWeb®Discovery AIは、企業がシンプルかつ総合的な方法で外部アプリケーションを検出するだけでなく、リスクと脅威を評価して優先順位を付けるのに役立ちます。