Industry Cyber-Exposure Report: Nikkei 225

By Rapid7 Labs

Sept. 3, 2019

Introduction

In the face of growing cybersecurity threats, it is increasingly important to measure the cost and concentration of “exposure,” which we define here as weaknesses in the public-facing configuration of internet-connected services. Having an accurate view of the resilience of organizations and industries against cyber-attacks can facilitate more accurate cost models, help target efforts to reduce exposure to the industries that need it most, and enhance cooperative efforts between government and the private sector to better protect users and companies alike. Measurement of industry-level exposure can also inform working groups that share cybersecurity information and threat intelligence within their industry.

For those who are keeping count, this is the fourth in a series of comprehensive and accurate public reports covering the real-world internet presence of a national economy to date. To understand current levels of exposure and resiliency in Japan, Rapid7 Labs measured the internet-facing security profiles of the Nikkei 225[1] to ensure sufficient statistical coverage in each industry during Q2 2019 for:

  • Overall attack surface (the number of exposed servers/devices);
  • Presence of dangerous or insecure services;
  • Phishing defence posture;
  • Weak public service and metadata configurations; and
  • Joint third-party website dependency risks.

By measuring these specific areas of cybersecurity, we are able to zero in on the most common problem areas in each of the surveyed industries and offer practical, specific defensive advice to each one.

An important factor to consider in the context of discovered weaknesses is that members of the Nikkei 225 list are well-resourced organizations that typically attract top talent in all aspects of the business, including information technology (IT) and security. The discovery of such widespread weaknesses in the exposed services of these leading organizations suggests it is likely that there is even greater exposure and risk in smaller organizations with fewer human and financial resources available for securing their public internet resources.

Key findings include: 

  • Nikkei 225 organizations, on average, expose a public attack surface of 107 servers/devices, with many companies exposing over 750 systems/devices.
  • Of the appraised Nikkei 225 organizations, 196 (87%) have weak or nonexistent anti-phishing defenses (i.e., DMARC) in the public email configuration of their primary email domains, with 13 (6%) having malformed records. This is the weakest anti-phishing showing of all the Rapid7 Industry Cyber-Exposure Reports (ICERs) to date.[2]
  • SSL/TLS security is not enforced on the primary websites of 18% of Nikkei 225 organizations. This leaves visitors open to a wide array of common and potentially devastating attacks by adversaries in a position to modify web content as it is being transmitted.
  • All industry sectors had at least one organization with malware infections, with Technology and Consumer Goods organizations showing monthly signs of regular compromise. Incidents across industries ranged from company resources being co-opted into denial-of-service (DoS) amplification attacks, to signs of EternalBlue-based campaigns similar to WannaCry and NotPetya.
  • Organizations across industry sectors in the Nikkei 225 signal how many and which cloud service providers they use in their public domain name system (DNS) metadata, with 46 organizations using between two and five cloud service providers. This information can be used to craft highly effective, targeted attacks, among other actions.
  • Severely vulnerable services such as Telnet and Windows SMB file-sharing were exposed in only a few organizations, which is positive. 
  • Most organizations in every sector expose services that rely on seriously outdated software on their internet-facing systems.

The details behind these findings are presented in the remainder of the report.


[1] Nikkei 225 list, https://indexes.nikkei.co.jp/en/nkave/index/component?idx=nk225 (Last accessed Aug. 12, 2019)

[2] This figure was 73% for the US-centric Fortune 500, 68% in the Australasia-centric ASX 200, and 88% for the UK-centric FTSE 250.

調査結果の全貌

業種別の攻撃面

Project Sonar[3]を使用してRapid7がインターネットヘのエクスポージャーがあるシステムやデバイスをスキャンしている方法については、本レポートの調査方法のセクションで詳しく説明します。日経225銘柄の企業は、平均で約107のサービスにサイバーエクスポージャーがあります。この数字は、良いか悪いかを判断するものではありません。しかし、サイバーエクスポージャーのあるそれぞれのノードは企業の攻撃面を増やし、潜在的に攻撃者にとっての足がかりを増やしています。別の言い方をすると、サイバー攻撃のリスクを減らすためには、サイバーエクスポージャーのあるサーバやデバイスを正しく設定し、管理しパッチを当て防御する必要があるのです。サイバーエクスポージャーのあるサービスが、いつバランスを崩してリスクを生むかについては、明確な判断基準がありません。これは、インターネットへのエクスポージャーがあるリソースをどの程度防御できるかが、複数の要因に依存しているからです。しかし、防御機能に関わらずサイバーエクスポージャーのあるシステムが多いほど、攻撃者により多くの攻撃のチャンスが与えられます。

図 1: の検出された企業のアセットの業種別の分布(それぞれの点は、各企業を表しています。横軸は、検出されたアセット数。)

図1を見ると、1,000以上のアセットが検出されている特出した値が4つあります。Capital Goods(資本財)、Consumer Goods(消費財)、Financials(金融)にそれぞれ1つと、Technology(テクノロジー)に、1つ存在しています。事業プロセス上、サイバーエクスポージャーのあるアセットを増やす必要がないのであれば(これらの企業はそうであるかのように見受けられますが)、脆弱性の管理やパッチングと管理に関する業務プロセスを開始する必要があります。これは、発見された弱点や、企業のサービスに侵入する攻撃者の試みに迅速に対応する必要があるからです。業務プロセスで必要であることがサイバーエクスポージャーの直接の理由でなかったり、スムースなアセットの特定が不可能だったりしている中で、設定管理のプロセスが徹底されているのであれば、ITとセキュリティの業務強化計画の一環で攻撃面の削減は非常に重要な位置付けとなります。

推奨事項:攻撃面の削減。業務プロセスで必要な場合にのみ、システムやデバイスをインターネットに露出させるように企業は努力する必要があります。またアセットの識別と設定管理のプロセスを強化してサイバーエクスポージャーのあるシステムを、攻撃者にとっての企業の入り口にならないようにする必要があります。


[3] Rapid7, Project Sonar, https://www.rapid7.com/research/project-sonar(2019月8月12日最終アクセス)

フィッシング防御機能

フィッシングは、現在でも代表的な企業のサイバー攻撃ベクトルのひとつです。業種横断的に監視を行なっている団体であるアンチフィッシングワーキンググループ(APWG)では、2018年の第3四半期に記録的な数字となる約25万件にのぼるフィッシングの報告を受けました。[4]残念ながら、日経225銘柄の殆どの企業は、フィッシング攻撃に対する最新の防御対策を導入していません。[5] 

As noted in the 調査方法のセクションで説明している通り、DNSレコードのサイバーエクスポージャーにより、ドメインベースのメッセージ認証、レポーティング、適合(DMARC)のレコードからどの程度、電子メールサービスがスパムやフィッシングから防御されているかを識別することが可能です。[6] 企業は、DMARCにより以下のことが可能となります。

  • メール認証によりメールが偽造されているかどうかの確認
  • 送信元メールアドレスが正規のドメインを利用したメッセージかどうかの確認
  • 認証が失敗したメッセージに対するポリシーの適用(none(何もしない)」、quarantine(隔離)」またはreject(拒否)」)

DMARCレコードが設定されていないか、もしくはDMARCレコードで「none」が設定されている場合、スパムやフィッシングから第一線で防御がされていないことを意味しています。しかしながら、「none」レコードは、企業がより強固なメール防御対策を講じる前段階にありDMARCを設定中であることを示している可能性があります。

DMARCレコードを「quarantine」や「reject」で適切に設定している場合は、積極的なメール防御対策が講じられています。図 2 は、日経225銘柄企業の各業種のDMARC(設定カテゴリー別)の導入率を示しています。 緑の部分は、DMARCを導入しているか導入途上の企業です。残念ながら日経225銘柄企業の大多数(87%)が最新の電子メールの安全性に関する設定を行なっていません。加えて、6%の企業で誤ったDMARCレコードが設定されており、フィッシング攻撃のリスクが高まっています。すべての企業でDMARC で「 quarantine」もしくは「reject」設定を行なっている業種はありませんでした。

図 2:日経225銘柄企業のプライマリ電子メールドメインの設定から見た電子メールセキュリティ

直接スキャンを行なっている訳ではないので、DNSレコードは、Project Sonarのオプトアウトのブラックリスト(以降のセクションで説明します)には反映されていません。つまり、脆弱性サービスでアクティブスキャンを行なえば、電子メールの安全性についてさらに全貌を明らかにすることが可能なのです。本レポートの「今後の調査」のセクションでは、電子メールの安全性について深掘りするために、精査の範囲を広げる際に利用可能な手順について解説します

サイバーエクスポージャーレポートでDMARCレコードの評価中に、Rapid7 Labsが同じ形式の不正なDMARC TXTレコードに複数遭遇したのはこれが初めてであることは注目に値します。 不正な形式のレコードはすべて「= spf1 〜all」(SPFレコードで見つかると予想されるもの)の形式であり、このようになった原因は共通の技術情報が元になっているのではないかと推測されます。.

推奨事項: DMARCの導入。DMARCの制御は、数年前から可能になっており、ほとんどすべての電子メールプロバイダでサポートされています。元々は、企業の外部のお客様を狙ったフィッシング攻撃への対策のために導入されましたが、DMARCには、社内の電子メールアドレスに対するスプーフィングしにくくするというメリットもあります。3種類のDMARCポリシーレベルを反映した適切な制限を行なうDMARC設定を、計画し導入するには時間がかかります。[7]かしながら、時間を投資することにより、内部と外部のセキュリティレベルの大幅な改善が可能です。


[4] Phishing Activity Trends Report(フィッシングのトレンドに関するレポート)、http://docs.apwg.org/reports/apwg_trends_report_q3_2018.pdf(2018年12月11日)

[5] 日経225銘柄リストにある企業のプライマリドメインに関する内容。DMARCは、ブランドサイトにはあるものの、前回のレポートの調査方法に一致していたのは、「vanity」ドメインでした。

[6]  DMARC, https://dmarc.org&nbsp(2019年8月12日にアクセスした内容に基づく)

[7] 雑で多様な電子メール通信の業務で、「No DMARC」から「reject」に移行するのには、18か月は必要となると英国のNCSCがCyberUK 2019で明言しています。

SSL/TLSの未設定

Rapid7 Labsでは、多くのFTSE企業がHTTPリクエストの自動更新を設定していないことを知り、FTSE 250+ ICER[8]&企業のSSL/TLS設定について調査を開始しました。以前、Fortune 500とASX 200向けに実施した調査のデータセットでは、対象企業は、プライマリWebサーバの設定で、もともとのリクエストがHTTPであっても、自動的にSSL/TLSを使用した(「HTTPS」などの)セッションに更新される設定を確実に行っていました。

図 3:日経225銘柄企業の業種別のTLS/SSLの設定状況(日経225銘柄企業の多く業種で、プライマリWebサイトが自動的にHTTPのリクエストをHTTPSに更新している。訪問者を攻撃者に公開しない設定となっている。)

残念なことに、日経225銘柄企業の18%近く (39社)[9]が、HTTP リクエストのHTTPSへの自動更新を行なっていません(図 3)。つまり、訪問者が中間者攻撃に晒されてしまっているのです。[10]

HTTPSへの自動更新さえされていれば、HTTPSが有効になっているサイトの設定が適切だという訳でもありません。図 4は、精査したWebサイトのHTTPヘッダーのヒートマップです。オレンジ色のヘッダーは、削除されるべきか、最低限の情報のみを開示すべきヘッダーを示しています。攻撃者は、このようなメタデータから非常に多くの情報を得ることが可能です。

緑色は、設定が必須だと考えられるヘッダーで[11]、クロスサイトスクリプティングやサイト訪問者を勝手に誘導するiframeの悪用に対する保護に加えて、サイトから悪質なリソースがロードされる際にアラートを出すレイヤーを追加することが可能です。

図 4:セキュアなヘッダーとセキュアでないヘッダー(オレンジ色は、開示が推奨されないヘッダー)

推奨事項: HTTPSの有効化とヘッダーの適切な設定。これは、影響を受けるすべての日経225銘柄企業が、早急に修復努力を行なうべきであることを顕著に示す設定内容です。HTTPSは、著名なすべてのドメインにとって業種標準であり、多くのブラウザがはっきりとHTTPプロトコルは「安全ではありません」というテキスト表示を行なっています。"[12]HTTPSを設定すると共に、サイトとサイト訪問者を安全に保つために、可能な限りの設定制御をきちんと行なってください。 


[8] https://blog.rapid7.com/2019/06/11/rapid7-releases-industry-cyber-exposure-report-ftse-250/(2019年6月11日)

[9] JavaScriptによって自動的に有効化されたプローブを4つのWebサイトが拒否

[10] 中間者(MITM) 攻撃、https://www.rapid7.com/fundamentals/man-in-the-middle-attacks/(2019年8月12日に最終アクセス)

[11] OWASPセキュアヘッダープロジェクト、https://www.owasp.org/index.php/OWASP_Secure_Headers_Project(2019年1月7日に変更された通り)

[12] Google Chrome、BraveおよびMicrosoft Edgeのいくつかのバージョンなどの、Chromiumベースのすべてのブラウザが、HTTPに「安全ではありません」と表示している。加えて、 FirefoxなどのMozillaブラウザは、フォームエレメントが存在しているHTTPページに「安全ではありません」と表示している。2019年末までに、MozillaブラウザがChromiumブラウザのような挙動になる見込みである。

システムへの外部からの侵入の証拠

本レポートで収集した多くのデータは、アクティブスキャンとDNSクエリによるものです。しかし、Rapid7では、グローバルなパッシブセンサのネットワークであるProject Loreleiも維持しています。[13] Loreleiセンサネットワークの詳しい内容は調査方法のセクションで説明しますが、簡単に言うと、このネットワークは、 HTTP/HTTPS、Telnet、SMBおよびその他のアドバタイズされていないサービスのハニーポットの集合体で正規のインターネットトラフィックではないことを想定しています。

図 5は、Loreleiセンサーネットワークから業種別のすべての企業への日別のユニークな接続を示しています。このチャートは、空白になっている状態が理想です。しかしながら、本調査のデータセットでは、すべての業種で制御がされていないことが示されています。Technology(テクノロジー)やConsumer Goods(消費財)などいくつかの業種で、若干高い率でシステマティックに制御がされていないことが示されていますが、それが全体を的確に説明している訳ではありません。つまり、最新のネットワークの多くは、数千もの従業員や契約業者とデバイスと通信を行なっている単一のインターネットアドレスの背後にあるからです。

図 5:Project Loreleiへの日別のユニークな接続数

図 5は、接続そのものを見るのには便利ですが、別途、そのボリュームを見ておく必要があります。個々の接続状況ではなく、図 6では、測定した業種別のProject Loreleiの日別の全接続数を示しています。このフリースケール表示によって、より簡単に潜在的な問題を区別してそれぞれの業種に「ズームイン」して見ることが可能です。ある業種のLorelei センサーへのユニークなノードの接続数が少ないからと言って、 その業種がアクティブではないは言えません。この図を見ることで、内部から企業全体にマルウェアの感染が大きく広がっている(数十、数百、もしくは数千の感染したシステムがインターネットにまで達しているなどの)ことや、いくつかのシステムがDoSキャンペーンの被害にあっている兆候が確認できます。

図 6:Project Loreleiへの日別の全接続数

Sいくつかの接続は、他よりも深刻で、本調査における企業からLoreleiへの上位4種類の接続タイプがとりわけ大問題です。図 7に示されている通り、2019年の前半で、Loreleiは、複数の企業が以下の問題の影響を受けていることを示しています。

  • SMBに関連するマルウェア( WannaCry、WannaMineおよびNotPetyaなど)
  • DNS DoS攻撃
  • メールアクセスブルートフォース
  • Telnet/FTP/IMAP/LDAP クリアテキスト(平文)クレデンシャルブルートフォース
  • SSH暗号化クレデンシャルブルートフォース

図 7:業種別の悪意ある活動の兆候(識別されたサービス別の全攻撃数(log10スケール)

 

推奨事項:イングレスフィルターへの注意。ある程度のハニーポットトラフィックは想定しておくべきです。最新のインターネットは、結局のところ、容易に成果を得ようとして機会を探っている攻撃者で溢れかえっています。今回、観察されたトラフィックの不正なリダイレクトに関しては、ネットワークの設定ミスの可能性があり避けられません。そう言う意味で、明確に日経225銘柄企業が発信元となっているトラフィックあることから、これらの企業にイングレスフィルターが存在しないことが想定されます。ネットワーク管理者は、コネクティビティをスムースでかつ割り込みがない状態にし、接続が失敗した場合に修正することを習慣にしています。しかし、その反面で、エラーや悪意あるトラフィックをドメインから排除する必要もあります。データセンターとLANの奥い部分の双方で、アウトバウンドのトラフィックルールを常に監査してテストしておき、不適切な設定で自らセキュリティブリーチを引き起こす事故を起こさないようにしておく必要があります。


[13] Rapid7 Project Lorelei, https://www.rapid7.com/research/project-Lorelei/(2019年8月12日に最終アクセス)

サードパーティリスクのサイバーエクスポージャー

ほとんどすべての業種と地域でインターネットが全世界の商取引のバックボーンになっていることは紛れもない事実です。つまり、このような相互接続性が大きな理由で、外部業者に依存することなくWebサイトや業務プロセス、Eコマースサイトを構築するなど、ほとんどの企業にとって不可能なのです。企業のデジタル化が進展するとともに、サービスの接続性を保ちスムースに業務を遂行するために必要となるメタデータにサイバーエクスポージャーがあり、サードパーティに依存しているより多くの内容が外部に流出していきます。

これにより日経225銘柄企業では、DNSレコードがサイバーエクスポージャーのあるサードパーティーサービスのメタデータに基づくフィッシング攻撃への脆弱性があると言う不幸な結果が生じています。さらに、不適切な設定がされたサードパーティーのWebサービスに依存している結果、多くの日経225銘柄企業とそのWebサイトの訪問者がリスクに晒されています。わずか3つのWebサイトのみが、プライマリWebサイトに対してコンテントセキュリティポリシーを使用した薄層なサードパーティー保護を提供しています。[14] 

企業がオンラインのアセットを補完するために、サードパーティーのリソースを使用する場合、サードパーティーのリソースに起因するリスクが生じます。脆弱なサードパーティーのリソースは、当事者企業に対する攻撃の入り口として利用される可能性があります。例として2018年9月に、セキュリティのリサーチャーは、多くのサイトがサードパーティーのコンテンツデリバリーネットワーク(CDN)に依存している結果、Webベースのクレジットカードスキミング攻撃に対する脆弱性を持っていると発表しています。[15]他の例として、2015年には、Syrian Electronic Armyが侵入されたCDNにより、著名なニュース媒体のWebサイトを乗っ取り、読者に対して独自のプッシュ通知を送信しています。[16] 

本調査では、以下の場合に「サードパーティーリスクのサイバーエクスポージャー」が発生すると定義しています。

  • 測定対象の企業がWebサイトとアプリケーションを構築する際に、サードパーティーサイトからのリソースに依存しているように見受けられる場合。 もしくは、
  • 測定対象の企業が、センシティブなアーティファクトとなる可能性のある内容を公開しているメタデータに残したままアクティブに使用している場合。

調査方法のセクションで、サードパーティーリスクの属性の収集、分析方法について説明します。

図 8〜13のそれぞれの棒グラフでは、Advertising(広告)、Analytics(アナリティクス)、CDN(コンテンツデリバリーネットワーク)からロードされる4種類のJavaScriptの利用状況を示しています。グラフを見ることで業種別と業種内のサードパーティーへの依存状況について比較が可能です。

本レポートでは、 タグマネージャーを除外しました。[17]タグマネージャーは、適切に利用した場合、リスクを生むのではなくむしろWebサイトとサイト訪問者を保護するのに役立つからです。

図 8:Capital Goods(消費財)/Others(その他)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

図 9:Consumer Goods(消費財)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

図 10:Financials(金融)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

図 11:Materials (素材)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

図 12:Technology(テクノロジー)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

図 13:Transportation and Utilities (運輸および通信、電気、ガス、水道)業種のWebサプライチェーンが共有しているリスク (棒グラフとラベルは同一のサービスをセキュアではない状態で使用している業種内の企業の割合)

これらいくつかのサードパーティーサービスは、サイバー攻撃に対するレジリエンスがあり、当事者企業のサイバーエクスポージャーの度合いにはあまり関係がありません。例として、Google Analyticsには、顧客企業に対する悪意ある活動の隠れた踏み台にならないように十分な対策がなされています。しかしながら、頻繁にネットワーク上で悪意ある広告になっているDoubleClickのように広く普及しているサードパーティーサービスは、同一業種におけるリスクを増大させてしまいます。

図 14:サードパーティーアプ/クラウドの利用によるDNSメタデータ経由のサイバーエクスポージャー

図 14 は、サードパーティーのサイバーエクスポージャーの後のコンポーネントについて、どのベンダーのアプリケーション/クラウドサービスに接続されているかまとめています。

DNSレコードからは、www.rapid7.comといった接続先のアドレスが判別できるだけでなく、 フィッシング防御機能のセクションで詳しく説明をする通り、セキュアなメール設定がされているかどうか識別で���ます。また、アプリケーション開発からクラウドホスティング環境やファイル共有サービスに至るまで、企業が利用しているあらゆるサードパーティーの情報も得られます。

フリーフォームのTXTレコードに格納されている検証情報を利用することで、これらのサービスにサイバーエクスポージャーがあります。説明のために、表 1に、 rapid7.comのDNS のTXTレコードを示します。

表 1:Rapid7 のDNS TXT テキストレコードのサンプル

本調査では、Rapid7のリサーチャーは、Project SonarのDNS収集データを利用して日経225銘柄企業のTXT レコードを評価しています。一般的に知られているドメイン名のみを使っています。(今後の活動のセクションで説明している通り、それ以外のドメインにも調査対象を広げていこうと努力しています。)また、図 14は、もっとも広く普及している著名なサードパーティーサービスのみに関する内容です。

すべての業種でMicrosoft Office 365がある程度利用されていることは驚くべきことではありません。また、Microsoftが、非国家攻撃の餌食となりOffice 365が企業への悪意ある侵入の入り口となることは考えにくいことです。 日経225銘柄企業では、Google Appsもかなり普及しています。インターネットの他のリソースのほとんどが利用されていることも判ります。

確立していてレジリエントなサービスプロバイダから企業が離れ始めるようのであれば、フィッシングの成功や、それ以外の攻撃が確認されるリスクが高まります。有能な攻撃者にとっては、大量なDNSクエリを作成してターゲットのリストを作るだけのことなのです。

推奨事項:サードパーティーのサイバーエクスポージャーの低減。個々の調査結果を見れば、これらの内容は大きなリスクにはなっていないかも知れません。実際のところ、これらの「検証」レコードは、最初に検証する際に必要となるだけで、それ以降は削除することが可能です。レコードによって、ドメインの本当の所有者の確認ができます。理論的に、本当の所有者のみが、これらのDNSエントリを追加したり変更したり削除したりすることが可能だからです。それらのレコードを一括して調べれば、多数の企業や、ブティックサービスプロバイダが、共通のサードパーティーサービスを共有していることが判ります。複数の企業に侵入しようとしている悪意あるアクターにとって、これらの情報はとても高い価値の標的です。従って、サードパーティーサービスにとってレジリエントであることがとても重要になっているのです。;


[14] コンテンツセキュリティーポリシーhttps://content-security-policy.com/(2019年8月12日に最終更新)

[15] Kevin Beaumont, 「Magecart — new tactics leading to massive unreported fraud」DoublePulsar、2018年9月19日、 https://doublepulsar.com/magecart-new-tactics-leading-to-massive-unreported-fraud-5211c9883dea.

[16] Thu Pham, 「Malicious Hackers Take Over Media Sites via Content Delivery Network Providers」Duo Security、2015年5月19日、https://duo.com/blog/malicious-hackers-take-over-media-sites-via-content-delivery-providers.

[17] Tag management system, https://en.wikipedia.org/wiki/Tag_management_system

(2019年8月12日に最終アクセス)

不適切なサービス:SMB と Telnet

サイバーエクスポージャーのあるサービスのタイプによって深刻さが大きく異なります。(サービスによっては他のサービスに比べて「安全性」が劣ります。)図 15は、日経225銘柄企業が、Telnetとウインドウズファイル共有のような深刻な脆弱性を持つサービスを標的とした攻撃に対して免疫を持っていないことを示しています。

図 15:業種別のTelnetとウィンドウズファイル共有のサイバーエクスポージャー(それぞれの点は、企業を表しています。横軸は、検出されたサービスの数です。)

サーバメッセージブロック(SMB)は、システムのサイバーエクスポージャーを生じさせるもっとも危険なサービスです。SMBは、ファイル共有とリモート管理プロトコルをオールインワンで提供します。通常は、ウインドウズに関連して利用され、攻撃者やリサーチャーのような人々が数十年にわたり攻撃の標的にしてきています。2003年にMS03-049、2008年にMS08-067(別名Conficker)、2017年にMS17-010(別名EternalBlue)のすべてが、プロトコルの複雑性とウインドウズのネットワークの中心部を狙って出回っています。[18]最近は、SMBサービスの脆弱性がWannaCryやNotPetya攻撃の標的になっています。これらは、ネットワークに障害を生じさせ、重要なビジネスプロセスに重大な攻撃を与え多くの企業に億単位の売り上げ損失をもたらしました。[19]

Telnetのサイバーエクスポージャーは、SMBのサイバーエクスポージャーと同様のリスクを生じさせます。Telnetの歴史はインターネットの黎明期に「最新」の標準だった1983年に遡ります。[20]Telnetは、サーバやネットワーク機器に直接ログインするために使用されるクリアテキスト(平文)のプロトコルです。通常、デバイスのOSレベルで、コマンドを叩いて直接スクリプトを実行します。Telnetサービスには、長年の脆弱性とサイバーエクスポージャーの歴史があります。企業は、クレデンシャルを盗まれたり、パッシブ、アクティブの盗聴にあったり。リモートコード実行をされたりしてきました。 プロトコルがクリアテキストだということは、適切にネットワークに入っている攻撃者が、どんなユーザー名やパスワードも送信されたデータでさえも読むことが可能だという意味です。さらに弱いデフォルト設定のエンドポイントや、盗聴されたパスワードがハイジャックされて、悪意あるコードをOS上で直接実行することが可能になってしまいます。

ひとつだけあるプラス要素は、すべての業種でこれら問題の多いサービスが利用されている訳ではない点です。利用している企業が1社か2社が存在する業種でTelnetかもしくはSMBのサイバーエクスポージャーがあります。良いニュースはそれだけで、2社に100台を超えるデバイスでTelnetのサイバーエクスポージャーがあり、金融業種の1社で、500台近いTelnetサーバのサイバーエクスポージャーがあります。 2019年の今、およそ必要とは考えられないほどの大きな攻撃面となっています。今日のインターネットでは、TelnetやSMBにまったくサイバーエクスポージャーがないことが理想ですが、日経225銘柄企業は、Fortune 500企業に比較すると、絶対数と割合においてSMB/Telnetのサイバーエクスポージャーが少ない状況ではあります。[21]

推奨事項:公開されているSMBとTelnetの排除。 日経225銘柄企業では、これらのサービスのサイバーエクスポージャーは、とりわけウインドウズのSMBで非常に少ないものの、公共のインターネットにSMBサービスのサイバーエクスポージャーを生じさせること自体が安全ではありません。そのためMicrosoftは、通常のデスクトップとラップトップのクライアントで、SMBのサイバーエクスポージャーを減らす努力をしています。例として、現在、Microsoftのドキュメンテーションでは、インターネットからファイヤーウォールでSMBをブロックすることを明示的に推奨しています。さらにWindows 10デスクトップは、デフォルト設定でポート445へのアクセスをファイヤウォールで制限しています。[22][ひとつでもSMBが動作しているとWannaCryやNotPetya、その他の最新の亜種が全社に蔓延して感染(再感染)してしまう可能性が生じます。今やもうTelnetサービスを使用する技術的、実践的な理由がありません。セキュアシェル(SSH)通信レイヤープロトコルに取って代わられています。暗号化通信であり接続認証で電子証明書の使用が推奨されています。[23]ローカルのコンピュータのリソースの制約で、SSHがどうしても動作しないデバイスで、Telnetしか使用できないのであればそのようなデバイスは、40年前の暗号化非対応デバイスであるかどうかに関係なく、設計上、インターネットにエクスポージャーするには単純に安全性に問題があります。日経225銘柄企業の約3分の1(80社)では、Telnetのサイバーエクスポージャーが一切なく SSHサービスにのみサイバーエクスポージャーがあります。つまり、プロトコルの強度に対してある程度の認識がされているように見受けられるのです。


[18] Rapid7、National Exposure Index 2018、 「Inappropriate Services」 、14ページ、 2018年6月14日、 https://www.rapid7.com/globalassets/_pdfs/research/rapid7-national-exposure-index-2018.pdf.

[19] Bob Rudis、「No More Tears? WannaCry, One Year Later」、Rapid7、2018年5月14日、 https://blog.rapid7.com/2018/05/14/no-more-tears-wannacry.

[20] J. Postel and J. Reynolds、Telnet Protocol Specification、Internet Engineering Task Force、1983年5月、 https://tools.ietf.org/html/rfc854.

[21] Rapid7、Industry Cyber-Exposure Report: Fortune 500、13〜14ページ、 2018年12月11日、 https://www.rapid7.com/info/industry-cyber-exposure-report-fortune-500.

[22] Rapid7、Industry Cyber-Exposure Report: Fortune 500、13〜14ページ、 2018年12月11日、  https://support.microsoft.com/en-us/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic.

[23] T. Ylonen and C. Lonvick、The Secure Shell (SSH) Transport Layer Protocol、The Internet Society、2006年1月、 https://tools.ietf.org/html/rfc4253

(2019年8月12日に最終アクセス)

古いパッチングがされていないWebサービスのサイバーエクスポージャー

インターネットサービスの設定や、パッチング、サポートされているOSやインターネットに接続されたアプリケーションの維持管理など、攻撃者の妨害をするのには多大な労力を要します。最新バージョンのソフトウェアを使用していないと、企業は、パッチされていない既知の脆弱性をついた攻撃の大きなリスクに晒されてしまいます。残念ながら、ほとんどの日経225銘柄企業が、古くてサポートされていないバージョンの場合もある汎用的な3種類のWebサーバを使用しています。それは、マイクロソフトのインターネットインフォメーションサービス(IIS)、Apache HTTPD、F5'のnginxです。

Microsoft IIS

Netcraft社に拠るとマイクロソフトのIISは、2019年7月時点で3番目によく使われているWebサーバです。[24]図 16には、Project Sonarで検出された、日経225銘柄企業の6業種すべてに分布する123社の合計2,873台のIISサーバとそのバージョンが示されています。

図 16: IISのバージョン分布(各色はそれぞれの業種、横軸はバージョン)

図 17は、「バージョン分布」を示しています。日経225銘柄企業の業種別のIISサーバのバージョンです(それぞれの企業で使用されているIISの異なるインスタンスの数)。32%近くの企業が、単一バージョン、26%近くの企業が3バージョン以上のIISを稼働させています。バージョンが多岐にわたることと、エンドオブライフに近づいているバージョンのIISを継続して使用していることで、防御と管理がより複雑化し、古いバージョンのIISサーバが増やすことが攻撃者にとって侵入の入り口になる可能性があります.

図 17:IISのバージョン分布(それぞれの点は、企業を示しています。多くの企業が10以上の異なる バージョンのIISを同時に使用しています。)

Apache HTTPD

Apacheの場合、webサーバの利用状況は少し複雑です。図 18は、日経225銘柄企業の6業種すべてに分布する99社でProject Sonarが検出した320サーバが71種類のバージョンにわたっていることを示しています。Apacheのバージョン分布(図 19)は、複数の企業(35%)が、単一バージョンのApache HTTPDにサイバーエクスポージャーがある一方で、40%近くの企業が3種類以上のバージョンにサイバーエクスポージャーがあり、繰り返すようですが、管理をより複雑化させてしまっています。

図 18:Apache HTTPD バージョン分布(縦軸は上から下に向かって古い順でバージョン、各色は企業の業種を示しています。ラベルはリリース年です。)

図 19:Apacheバージョン分布(それぞれの点は、企業を示しています。多くの企業が10以上の異なる バージョンのApacheを同時に使用しています。)

 

驚くほど幅広いバージョンのソフトウェアが使用されている一方で、検出されたのは、ほとんどが1年以上古いバージョンです。つまり、企業がApacheを最新バージョンに更新していないということを示しています。米国企業では、サードパーティーの脆弱性管理ツールで、Apachサーバの棚卸しを行ない、バージョンとパッチレベルを識別することが必須になっているのとは対照的です。Apacheソフトウエア財団では、機能追加、問題の修正、セキュリティ問題に対するパッチを反映した新バージョンを常にリリースしています。さらに、Apache HTTPDがオープンソースであることから、攻撃者は、ソースコードに100%アクセスできるため、より簡単に盲点をついて悪用することが可能です。

nginx

nginx webサーバは、2019年7月のNetcraft社の調査では利用社数が1位でした。しかし、日経225銘柄企業でProject Sonarが検出した利用社数は2位(60社)でした。図 20 は、日経225銘柄企業の全業種にわたり 36社で検出されたnginxサーバーです。

図 20:nginxバージョン分布(縦軸は上から下に向かって古い順でバージョン、各色は企業の業種を示しています。ラベルはリリース年です。)

 

図21にあるnginxの状況は、Apacheでの状況よりは確実に良く、多くの企業が3種類未満のバージョンを稼働させており(44%)、3種類以上のバージョンを稼働させている企業は55%です。

図 21:nginxバージョン分布(それぞれの点は、企業を示しています。多くの企業が10以上の異なる バージョンの nginxを同時に使用しています。)

単一のWebサーバプラットフォームの複数バージョンのセキュリティポスチャを維持することは、成熟したオペレーション部門にとって果たすべき機能の一部かどうかを疑う声もあるでしょう。しかし、複数のベンダーのテクノロジーを利用すると複雑性が増す結果となります。日経225銘柄企業の半分近くが、複数のインターネットに接続されたWebサーバベンダーのテクノロジーを利用しています(表 2)。[25]複数のベンダーと多様なバージョンを同時に利用することで、攻撃者が盲点をついて悪用する可能性を生む設定の弱点を見落とすリスクが大幅に増大してしまいます。

表 2:日経225銘柄企業における利用ベンダー数

推奨事項:バージョンを極力、統一すること。サーバへのパッチングと維持は、当たり前で些細なことのように思われるかも知れません。しかし、変更管理のスケジューリングや、コアサービスとなりうる部分に対するシステム停止のオーケストレーションは、大企業にとって非常に複雑な作業です。退屈な作業かも知れませんが、サイバーエクスポージャーのあるシステムの棚卸しを行ない最新のリストを維持し、サポートされていてパッチングされているバージョンのソフトウェアのみを使用するにように、業務部門とアプリケーション開発部門に徹底することが死活問題なのです。


[24] Netcraft July. 2019 Web Server Survey、https://news.netcraft.com/archives/2019/07/26/july-2019-web-server-survey.html(2019年8月12日に最終アクセス)

[25] 電卓で計算するか、付加情報について細心の注意を払っている賢明な読者なら、2列目の数字の合計が149になっていることにお気づきかも知れない。CloudflareやAkamaiのようなCDNが、背後のサーバテクノロジーにマスクをかけてしまっているからである。背後にあるサーバの複雑性についてカテゴリー分けをすることが不可能なため、それらのバージョンはレポートに含まれていない。

結論

本レポートでは、外部公開されたインターネット接続を介して、特定の企業と業種におけるサイバーセキュリティリスクに対するサイバーエクスポージャーの複数の測定方法を説明しています。それらの企業のサイバーセキュリティのポスチャは、を完全には明らかにすることができないものの、日経225銘柄企業のサイバーエクスポージャーに関して本調査の結果、非常に重要な内容を把握することができました。

  • 日経225銘柄企業は、平均で107サーバ/デバイスにサイバーエクスポージャーがあります。また多くの企業では、 750近くのシステム/デバイスにサイバーエクスポージャーがあります。システムの数が多いほど、攻撃の試みの対象となりやすいことを意味します。
  • 日経225銘柄企業の圧倒的多数(87%)が、強化されたメールセキュリティ設定を行なっていません。さらに6%の企業が、不正なDMARCレコードを設定しており、フィッシング攻撃のリスクを増大させています。サイバーエクスポージャーを減少させるため、企業はDMARC設定を評価して強化する必要があります。
  • すべての業種の日経225銘柄企業が、ビジネスクリティカルなインターネット接続システムに対してパッチ/バージョン管理を行なっていません。インターネット接続システムの設定とバッチの管理を優先順位のトップに位置付けて、古いソフトウェアの脆弱性をついた悪用を排除することは企業にとって死活問題です。
  • 日経225銘柄企業の18%が、プライマリドメインにHTTPS接続を求めていません。これにより訪問者を中間者攻撃の重大なリスクに晒してしまっています。
  • 日経225銘柄企業で多くのサイバーエクスポージャーのあるサードパーティーサービスが共有されています。これにより、共有されたサードパーティーサービスの脆弱性が複数の企業に対する悪用を招き、さらに重大なリスクを生じさる可能性があります。サードパーティーサービスプロバイダが、適切なステップでセキュリティを強化し、それらのサービスを利用する際には、共通して悪用されてしまう状況を回避するために、サブリソース整合性署名などのツールを利用するように徹底する必要があります。
  • Telnetやウインドウズファイル共有のような極端に弱いサービスは、1社を除き、日経225銘柄企業ではあまり多くはないものの使用されてしまっています。それぞれが、SMBの脆弱性の悪用の可能性の重大リスクを生じさせます。サイバーエクスポージャーを減らすために、企業は、可能な限りポート445を閉じて、TelnetからSSHへの移行をする必要があります。


日経225銘柄企業は、一般的に IT やセキュリティを含め幅広い分野の業務で優秀な人材を確保できる企業ですので、日経225銘柄企業よりも小さく無数に存在する企業においては、さらに重大なサイバーエクスポージャーやリスクが存在している可能性を示唆しています。サイバーセキュリティに対応するステップの中で、継続しているサイバーエクスポージャーの理由に関して、主要な関連部門で議論がされることが、デジタルのエコシステムにとってメリットのあるものになる可能性があります。

業種別のサイバー脅威の測定:調査方法の概要

本レポートは、インターネット経由で企業の外部公開のシステムと通信することで得られるデータを利用して、サイバーセキュリティリスクへのエクスポージャーに関する調査結果をまとめています。これらのデータにより、日本にある日経225企業のサイバーエクスポージャーを数値化し業種別に結果を集計しました。このレベルで、サイバーエクスポージャーを測定しておくことは、サイバーリスクの削減の活動目標の設定や、業種内の情報共有、将来のサイバーエクスポージャーを削減するための企業活動に関する認知度の向上に役立ちます。

2016年以来、Rapid7では、特定の国における特定のサイバーセキュリティリスクへの露出を測定し報告しています。[26] そこで得られた情報により、国レベルのComputer Emergency Response Teams(CERT)におけるサイバーエクスポージャーのより詳細な分析を促し、死活問題ともなりえるサービスのサイバーエクスポージャーを削減するための活動を支援しています。これらのレポートを作成するために、Rapid7 では、自社のスキャニングプラットフォームであるProject Sonarと[27] 、パッシブセンサーのネットワークである Project Lorelei[28] を使用しています。これらのプロジェクトによりオンラインのアセットが脆弱性の高いインターネットサービスをアドバタイズしているか、そして疑わしい外部接続を行なっていないかを確認しています。ここから国家レベルの集計結果を算出しています。

サイバーエクスポージャーのデータを国家レベルで集計するのは比較的単純な作業です。Rapid7では、国の場所とインターネットアドレスを照合する高精度なデータベースを有しており、常に更新することで98%の精度を維持しています。[29] しかしながら、サイバーエクスポージャーについて深掘りするためには、さらなる作業が必要となっています。特定の企業に関するより詳細なサイバーエクスポージャーの測定には、企業が保有し業務プロセスに利用している専用のインターネットアドレスを分析する必要があります。まず企業のインターネットアドレスを照合してから、アクティブスキャンとパッシブセンサーで得られる外部公開のデータによって、特定のサイバーセキュリティリスクは数値化することが可能になります。本セクションでは、以下のステップで実施されているステップについて詳しく解説します。

  • 日経225銘柄企業のインターネットアドレスとプライマリドメインとの紐付け
  • 各企業に紐付けされたインターネットアドレスを使用している脆弱性のあるサービスとシステムに対するProject Sonarによるアクティブスキャンデータ
  • Rapid7のグローバルなパッシブセンサーネットワークであるProject Loreleiによる、各企業に紐付けられたインターネットアドレスとの相互通信の頻度と内容の識別によるサイバーエクスポージャーデータの詳細化
  • 直接的なサイバーエクスポージャーの測定により推定されるサイバーエクスポージャーに関する補足。推測のためにRapid7では、DNSレコードに記載された電子メールの「安全性」の設定や、検知可能なOSとアプリケーションのバージョン情報など、企業が紐付けられたインターネットアドレスの「メタデータ」を分析

これらの測定結果は、以下の3つの分野に分類できます。詳細については、以降のセクションで解説します。

  • パブリックDNSレコードを使用した推定による測定:もっとも重要なのはフィッシング攻撃に対する企業の防除について測定できます。
  • Rapid7Project Sonarを使用したアクティブスキャン:外部公開されたシステムおよびサービスの測定に加えて、それらのシステムおよびサービスにあるサイバーエクスポージャーの内容が含まれます。
  • Rapid7のProject Loreleiを使用したパッシブセンサー: 企業のネットワークにあるシステムが、Project Loreleiのハニーポットコレクションに接触し、どのような活動を接続中に試みたかに関する記録です。.

[26] Rapid7、National Exposure Index, Jun. 7, 2018、https://www.rapid7.com/info/national-exposure-index (2019年8月12日に最終アクセス)

[27] Rapid7、Project Sonar、https://www.rapid7.com/research/project-sonar

(2019年8月12日に最終アクセス)

[28] Rapid7、Project Lorelei、https://www.rapid7.com/research/project-lorelei

(2019年8月12日に最終アクセス)

[29] MaxMind、https://www.maxmind.com (2019年8月12日に最終アクセス)

Project Sonarのアクティブスキャン

Project Sonarは、インターネットの多岐にわたるサービスをスキャンします。「サービス」とは、Webサーバ、メールサーバ、ファイルサーバ、データベースサーバ、ネットワーク機器、カメラなど、インターネット経由のリクエストをリスニングする設定になっているその他の幅広い種類のサーバを意味します。スキャナーのプローブに対して、特定のインターネットアドレスのサービスに応答がある場合、その結果を応答データとともに記録します。スキャンされたサービスによって、スキャンされたサービスの詳細なバージョンや設定の情報が応答データに含まれています。

Rapid7は、インターネットのスキャンに関する法令を遵守しています。従って、Project Sonarのプローブは、例えパスワードや悪用方法が広く知られていたり明白であったりしても、クレデンシャル、既知の脆弱性、プローブが検知したサービスに害を及ぼすようなペーロードの情報を取得しません。これによって、スキャンすることで得られる情報や、取得するサービスのメタデータの種類に制約は生じています。しかしながら、それでも十分に幅広く有益な情報を取得することは可能です。

Rapid7では、「オプトアウト」プロセスを自主的に定めて、さらなる制限を行なっています。 Project Sonarがスキャンするインターネットアドレスの範囲に対して、企業は、特定のインターネットアドレスの除外を求めることが可能です。Rapid7には、この要求に応じる義務があるので、スキャンプロセスからブラックリストとして、除外を求められたインターネットアドレスの範囲を除外します。(図 22)

図 22:Rapid7のProject Sonarのブラックリストインターネットアドレス数の推移

 

Fortune 500企業向けの2018年のICERとは異なり、オプトアウトされたブラックリストには2019年第2四半期の日経225銘柄企業が1社もありません。[30]


[30] Rapid7、Industry Cyber-Exposure Report: Fortune 500、 10〜11ページ、 2018年12月11日、https://www.rapid7.com/info/industry-cyber-exposure-report-fortune-500(2019年8月12日に最終アクセス)

 

Project Loreleiのパッシブスキャン

Rapid7のProject Loreleiの中心となっているのは、HTTP、SMB、SSH、その他のさまざま種類のフェイクサービスをホスティングしている250におよぶアドバタイズされていないシステムです。これらのハニーポットは、積極的にシステムへの接続を求めていないにも関わらず、一方的に勝手に行なわれる接続を注意深く監視しています。インターネット全体をスキャンする調査方法とは異なり、企業のシステムは、Loreleiセンサーネットワークに接続する正当な理由がないので、Loreleiが記録した活動により、企業が外部接続について管理を行なっていないことを如実に示すことが可能です。つまり、悪意ある活動もしくは、企業のシステムからの不正な設定が行なわれたサービスのトラフィックが存在することが推測されます。単純に言うと、Loreleiにコンタクトがある場合、企業には何らかのサイバーエクスポージャーが存在しているのです。

Webサーバのサードパーティリスクの測定

WebサーバやWebサービスにインターネットへのエクスポージャーがある場合のサードパーティーリスクは、Webページがブラウザに読み込まれている際の各ページのリソースを調べること把握できます。Project Sonarは、仮装ブラウザを制御することでこのタスクを広範囲に実行できます。企業の広く知られているドメインにあるページを訪問して各サイトのリソースを読み込む際の動作をすべてキャプチャーします。

これらのWebサイトでは、大量なサードパーティーのリソースが読み込まれるので、すべてのリストを可視化して理解するのは困難です。結果として得られるリストには、調査対象リストで全般的に使用されている主要なサードパーティリソースのみが記載されます。

今後の調査

本レポートのサイバーエクスポージャー分析のプロセスと手順は、インターネットの遠隔測定の一貫で、包括的な業種別の「サイバーヘルス」を広く世の中に周知させる初めての試みです。本セクションでは、今回、明らかになった測定の限界について解説をします。

インターネットアドレスと属性の正確性の向上

もっとも一般的に使用されているインターネットアドレス(バージョン4、 IPv4)は、完全に枯渇しています。つまり、企業にインターネットアドレスを割り当てるための「空いている」ブロックが無くなっています。しかしながら、企業が保有しているIPv4アドレスのすべてが利用し尽くされている訳ではありません。有限のリソースに不足が生じていることから、IPv4のインターネットアドレスを売買可能な市場が形成されました。[31] 歴史の長いいくつかの企業がIPv4のインターネットアドレスのブロックを他社に販売し、いくつかの企業は所有権を保持しつつ他社に貸し出しています。このような取引から属性エラーが生じるようになり、とりわけ企業のインターネットアドレスが、属性の変更ができない状態で貸し出された際に、非常に苛立たしい結果が生じています。

本レポートのために、Rapid7のリサーチャーは、手作業で事前に属性の把握と、属性に異常がないか確認を行ないました。つまりインターネットアドレスの使用状況と既知のホスティングとクラウドサービスのプロバイダーの情報の比較です。そして、調査方法のセクションで解説するように、企業のDNSレコードから直接、属性を確認して、それらのレコードから企業が所有しているIPv4のインターネットアドレスを推測することで情報を補完しました。インターネットアドレスと属性の情報をさらに正確化して、分類を自動化するために、さらなる作業を行なう予定です。そうすることで、ホスティングとクラウドサービスのブロックを全体的に除外することが可能になります。

RIPEデータベースに記載された自社所有のIPv4のインターネットアドレスとDNSレコードを組み合わせて調査する今回の方法は、Rapid7が 2018年に実施したFortune 500 ICERと、2019年に実施したASX 200とFTSE 250 ICERの調査方法とは異なる点についてご注意願います。


[31] IPv4 Brokers、 ARIN IPv4 Market Prices & Transfer Statistics、https://ipv4brokers.net/arin-ipv4-prices-transfer-statistics/

(2019年8月12日に最終アクセス)

オプトアウトによる不透明性の排除

本レポートのような調査は、Rapid7のProject Sonarで提供されているような、継続的で簡易的なスキャンに依存しています。従って、数多くの企業がスキャンに対してオプトアウトした場合、 インターネットリサーチのコミュニティは間違いなく痛手を被ります。将来、Project Sonarの「オプトアウト」リストによる不透明性で生じる影響を減らすには、2つの方法が考えられます。ひとつは責任あるインターネットの市民として、Rapid7が、オプトアウトリストのプロセスを継続する一方で、現状のオプトアウトのプロセスを年次ベースに変更する方法です。つまり、企業にIPv4のインターネットアドレスをオプトアウトリストに残しておくかどうか再度、確認連絡を求めていきます。そうすることで、Project Sonarによるスキャンのメリットを再度、訴求する機会が生まれ、オプトアウトリストのサイズを小さくして調査の統計的な一貫性を維持することが可能になります。

もうひとつは、本社の所在地を問わず業種内の調査対象を広げることでサンプル数を増やす方法です。この方法を採用すると、Inc. 5000、S&P 50、ASX 200、FTSE 250、DAX 30のような他の有名企業のリストで、各業種で大幅にサンプル数を増やすことが可能です。そうすることで、不透明なIPv4のインターネットアドレスの数を、1%未満に(恐らく)減らすことが可能です。以前に説明した属性の正確性と調査方法の改善が、対象を拡大した場合の調査結果の妥当性と調査効率を高めるための重要な要素となります。

リソースの安全性評価の強化

追加でドメイン名を見つけていく今後の作業は、本レポートの電子メールの安全性に関する分析に直接影響を与えます。さらに、本レポートでは電子メールの安全性の一面に過ぎないDMARCのみを調査しています。電子メールの安全性に関する設定で、これ以外のリソースレコードとして、Sender Policy Framework(SPF)があります。これを使用することで、スパムメールの削減や、誤った電子メールのドメインを使用した攻撃者からの防御が可能になります。将来の分析では、この点についても触れていく予定です。

その他のタイプのDNSレコードも(電子メールに関連しないものとして)、他のタイプのサイバーエクスポージャーや安全性に関して調べられるものがあります。将来の調査では、それらの情報についても探っていく予定です。

サードパーティーへの依存/リスク分析

最後になりますが、企業のDNSレコードの全般的な設定の分析によって、企業のIPv4ネットワークがどのようにルーティングされて、Webと、Webアプリケションサービスで企業が依存しているサードパーティーのリソースがどのようにエミュレートされて、その他のものが間接的にどうのように動作しているかを把握することができました。このような外部公開情報による測定により、企業のインターネット上の全体的なプレゼンスの脆さと、すべての企業におけるサードパーティーへの依存に関するサイバーエクスポージャの全貌の双方についてレポートをまとめることができました。

調査方法

日経225銘柄企業を選定した理由

日本に本社を置く業種の特定企業のサイバーエクスポージャーについてデータを集計することで日本特有の状況が明らかになりました。ひとつは、インターネットアドレスの数を増やす余裕があるという点です。大量な数のあるIPv6を考慮に入れずとも、IPv4だけで42億アドレス(一部は割り当てが不可能)がサポートされています。これらのアドレスは、世界のさまざまな政府、企業、サービスプロバイダーに割り当てられています。もうひとつは、動的なインフラ(クラウド)の普及の開始です。サービスのホスティングのために、インターネットアドレスを企業間で貸し出すことが一般的になってきています。これにより、従来のように(WHOIS lookupツールを使用して)特定のインターネットアドレスを企業に紐付けることが完全にはできなくなりました。インターネットアドレスの所有者が、サイバーエクスポージャーの評価対象のサービスの所有者ではない可能性が生じているからです。[32] 

インターネットアドレスを企業に紐付けて、日経225銘柄企業でフィルターをかける代わりに、Rapid7では、グローバルインターネットアドレスとダイナミックなインフラでホスティングされているサービスで紐付けとフィルターをかけることで、2019年第2四半期の日経225銘柄企業を代表的なサンプルとしました。

2019年第2四半期の日経225銘柄企業リストを選んだ理由はいくつもあります。まず、リストには確立されたクライテリアを使用して選定された多様な企業(表 3の通り)が含まれているからです。 [33] 売り上げの合計は、日本のGDPの21%(純利益ベース)で、従業員数の合計は、グローバルで500万人に達します。さらに、これらの企業は、日本で設立されているので、日本を中心に見た場合のサイバーエクスポージャーを調査することで経済的な影響をモデル化にすることが可能です。

表 3:日経225銘柄企業の構成

3社 (KDDI、NTT グループ、NTT ドコモ)がクラウド、インターネット、モバイルサービスを提供しています。結果的に、インターネットに接続された大量のサブネットを持っています。本レポートの準備のための説明用にデータの分析を行なっている際、3社のネットワーク範囲を使用してインターネットに接続された企業とサービスプロバイダーのIPv4のインターネットアドレスが、相互に混じり合っているため、SonarとLoreleiによるデバイスのカウント数が結果を歪ませることが明らかになりました。そこで、それらのインターネットアドレスはそのセクションから除外しています。しかしながら、3社のプライマリドメインと企業Webサイトは調査対象に含まれています。

最後になりますが、日経225銘柄企業は、さまざまな階層で優秀な人材を確保が可能です。これには、内部と外部のネットワークとシステムの管理者に加えて、高技能で経験のあるアプリケーション開発とオペレーションの人員も含まれます。多くの企業が、ITやインターネットの標準の制定に対してリーダシップやガバナンスを司る委員会に代表を送り込んでいます。また、多くの企業が、設立されてから20年以上になり、インターネット技術を先取りしてきています。別の言い方をすると、サイバーエクスポージャーの問題がこれらの企業に生じるとすれば、同じような環境ない、より小さな企業にとってサイバーエクスポージャーの問題がより深刻になることが予想されます。


[32] ICANN WHOIS、 https://whois.icann.org/en(2019年8月12日に最終アクセス)

[33] Nikkei Stock Average Index Guidebook、https://indexes.nikkei.co.jp/nkave/archives/file/nikkei_stock_average_guidebook_en.pdf(2019年8月12日に最終アクセス))

企業のインターネットアセットとメタデータの属性の調査方法

Internet Assigned Numbers Authority(IANA)は、インターネットのガバナンスの調整とスムースなオペレーションの促進を行なっています。[34] ガバナンスの2つの要素には、インターネットのアドレス(IPアドレス)とドメイン名(http://www.example.comのようなWebアドレスをインターネットアドレスに切り替えることでシステムがインターネットのリソースに接続するシステム)があります。

インターネットアドレスと企業の紐付け

IANAは、全世界と地域の少数のインターネットレジストラに業務を委任しています。それらのレジストリは、さらに国のレジストリと地域レジストリにインターネットアドレスのブロックと割り当てられたインターネットアドレスに関連するメタデータの管理を委任しています。そして最終的には、インターネットアドレスをユーザーや組織に割り当てるインターネットサービスプロバイダ(ISP)に管理を委任しています。

インターネットアドレスの割り当てに関連する、組織名、場所情報、連絡先と場合によってはペアレントインターネットサービスプロバイダなどのメタデータは、 WHOISサービスという名称で配信されているデータベースに保存されています。WHOISサービスは、ユーザーがIP番号について、インターネットアドレスを保有する組織とその連絡先を含めて情報を取得できる公共のリソースです。各レジストリは、独自のWHOISデータベースを維持運営しています。[35] WHOISを使用する個人は、システムに対して双方向のクエリを行なうことが可能で、WHOISデータベース全体のコピーは、技術的な研究目的でデータを使用する組織が利用可能です。

組織が、独自のインターネット接続のリソースを管理したい場合は、地域のISPまたは地域レジストリに依頼することで、複数の連番のアドレスを使用することが可能です。これらの属性メタデータは、適切なWHOISサービスに保存されます。どのような内容か説明をするために、表 4 は、Rapid7 に割り当てられたインターネットアドレスブロック示しています。

表 4:Rapid7のWHOISレコードの概要

 

Fortune 500 ICERと比較して、IANAのレジストリを使用した日経225銘柄企業のインターネットアドレスの検索は、RIPEネットワーク割り当てデータベースに詳細な内容が記載されているため、より簡単に行なうことが可能でした。[36]90%以上の企業がRIPE IPv4レジストリで識別可能です。残りの10% が、企業に割り当てられていないのではなく、それらのブロックを紐付け用とするとエラー率が増えるからです。

エンドユーザーや事業者のインターネットサービスプロバイダである組織に割り当てられたIPv4の範囲を除外するように細心の注意を払いました。.

DNSレコードと企業の紐付け

同様なWHOIS登録とデータベースサービスが、DNSの割り当てにも存在します。組織が取得するドメインのすべてのレコードを直接、管理するためのもので、WHOISよりもはるかに分散されたデータベースです。ドメイン名を割り当てると(例としてrapid7.com)、組織は専用のDNSサーバ(または、DNSサービスプロバイダやクラウドプロバイダ)の設定を行ない、DNS名にさまざまなレコードタイプと値がマップされたレコードを発行し維持管理します。組織は、自在にレコードの追加、変更、削除ができます。

DNS「A」(アドレス)レコードは、インターネットアドレス(www.rapid7.comは現在、13.33.37.212にマップされています)に名前をマップしますが、インターネット名の他のタイプの情報を関連づけることも可能です。

DNS「TXT」(テキスト)レコードは、インターネット名に属性テキスト配列を保存します。インターネット名のリソースもしくはドメイン名の正式な所有者に関する追加のメタデータを伝達する、特定フォーマットのテキストレコードの作成方法についてルールを定めたさまざまな正式標準が存在します。

DMARC[37]とSPF[38]が、組織の電子メール設定の「安全性」を推定するために重要となる2種類のテキストレコードです。これらの標準により、組織はどのシステムが組織のために電子メールを送信するのに認可されているのかを送信先に連絡することが可能となります。また、攻撃者により捏造された電子メールや、スパムメール送信者によるメールに対してどのような対処を行なうか設定が可能です。これらのレコードの設定がなかったり、不正な設定がされていたり、レコードの許可設定が過剰に寛容だったりすると、スパムメールの増加やフィッシング攻撃のリスクの増大が生じます。フィッシング攻撃は、過去数年間にわたり、組織における攻撃の足場としての主要な手段となってきています。従って、不適切なDMARCとSPFの設定に対して十分に注意を払わないと、組織に対する攻撃が成功してしまうリスクを著しく増大させる結果となります。これらを含めてすべてのDNSレコードは、誰でもクエリが可能です。エコスシステム全体に及ぶサイバーセキュリティに関する研究の一貫で、Rapid7は、月に数百万件ものDNS lookupsを行ない、タイムスタンプ付きの記録を巨大な履歴データベースに保存しています。これにより、広範囲に及ぶクエリや長期間にわたる変更履歴の確認が可能になっています。.

日経225銘柄企業の第2四半期のリストには、リストの企業のよく知られているプライマリドメインが含まれています。 例として、「www.hitachi.co.jp」は、日立製作所のよく知られているドメイン名です(Technology/Electric Machineryの企業)。これらのサイトは、Project Sonarによりシステマティックにスキャンされ、企業に紐付けられ関連付けられたDNS名がDMARCとSPFの確認のために使用されています。</a


[34] Internet Assigned Numbers Authority、https://www.iana.org/

(2019年8月12日に最終アクセス)

[35] RIPE WHOIS Database Index、 https://www.ripe.net/about-us/

(2019年8月12日に最終アクセス)

[36] RIPE Database、 https://apps.db.ripe.net/db-web-ui/#/fulltextsearch

(2019年8月12日に最終アクセス)

[37] The DMARC Standard、https://dmarc.org/ (2019年8月12日に最終アクセス)

[38] RFC 7208、Sender Policy Framework、Apr. 2014 https://tools.ietf.org/html/rfc7208

Last accessed Aug. 12、2019)

Rapid7について

Rapid7は、Rapid7 Insight Cloudによって、Visibility - 可視化、Analytics - 分析、Automation - 自動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。Rapid7のソリューションなら、複雑なタスクがシンプルになり、セキュリティ部門がより効率的にIT部門や開発部門と共に、脆弱性を減らし、悪意ある行動を監視し、攻撃を調査し遮断し、ルーチン業務を自動化することが可能になります。全世界で、7,900社のお客様がRapid7のテクノロジー、サービス、リサーチを活用することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。