サイバー脅威調査：パッチ適用が不十分で、暗号化非対応のプロトコルを使用している企業がいまだに多い

新設のCatoサイバー脅威調査ラボ（CTRL）のレポートで、1兆2600億件のネットワークフローを分析し、今日の企業を取り巻くセキュリティリスクを特定

RSAカンファレンス（サンフランシスコ）、2024年5月7日 — SASE分野のリーダーであるCato Networksは本日、新設されたCato CTRLの「SASE脅威レポート2024Q1版」の調査結果を明らかにしました。同レポートでは、調査対象となった全ての組織が広域ネットワーク（WAN）で安全性の低いプロトコルを使い続けており、サイバー犯罪者がネットワーク上で容易に行動できる状態になっていることが示されています。

Cato CTRLは、SASE分野のリーダー企業であるCatoのサイバー脅威インテリジェンス（CTI）調査チームです。同チームがまとめた「Cato CTRL SASE脅威レポート2024年Q1版」では、送信元と送信先がインターネットであるかWANであるかにかかわらず、集約された全てのトラフィックと、全ての拠点、リモートユーザー、クラウドリソースのエンドポイントに関して、セキュリティ脅威ならびに脅威の対象となりやすいネットワークの特徴について分析情報を提供しています。

Cato Networksの主任セキュリティストラテジストで、Cato CTRLの創設メンバーでもあるEtay Maorは、「脅威アクターがあらゆる業界の組織を標的とし、常に新たなツールや技術、手順を導入し続ける中、サイバー脅威インテリジェンスはポイントソリューションごとに断片化し、隔離された状態」だと述べています。「Cato CTRLはこの溝を埋め、企業を取り巻く脅威について総合的な視野を提供します。グローバルネットワークであるCatoは、Cato SASEクラウドプラットフォーム上で通信する全てのエンドポイントからの全トラフィックフローについて詳細なデータを持っており、よりセキュアな未来を作るきっかけとして、広範な業界から得られた教訓を共有できることを嬉しく思います」

「Cato CTRL SASE脅威レポート2024年Q1版」は、2024年1月から3月までの間にCato SASEクラウドプラットフォームのトラフィックフローから得られた調査結果をまとめたものです。Cato CTRLが分析したネットワークフローは1兆2600億件、遮断した攻撃は214億5000万件に上ります。主な調査結果は以下のとおりです。

企業は自社のネットワーク内で過信している

• 脅威アクターは通常、いったんネットワークに侵入してしまえば、ネットワーク上を流れる重要なデータをさほど困難なく覗き見ることができます。
• 全ての企業が、安全性の低いプロトコルをWAN上で実行し続けています。Webアプリケーションの全トラフィックのうち62%がHTTP、全トラフィックの54%がtelnet、そして全トラフィックの46%がSMBv3ではなくSMB v1またはv2です。
• ラテラルムーブメント（攻撃者がネットワーク内を横移動していくこと）が最も頻繁に検知されたのは、農業、不動産、旅行・ツーリズム業界です。

AIが企業を席巻している

• 2024年第一四半期において、企業で最も導入が進んでいるAIツールは、Microsoft Copilot、OpenAI ChatGPT、Emol（感情を記録し、AIロボットと会話できるアプリケーション）でした。
• 上記のツールが最も積極的に採用されていたのは、旅行・ツーリズム業界（79%の組織が利用）で、採用率が最も低いのがエンターテインメント業界の組織でした（44%）。

ゼロデイの問題はあまり心配していない:

• 新たな脆弱性が発見されても、必ずしもそれらを悪用する攻撃が最も一般的な脅威になるわけではありません。ゼロデイの脅威は業界内でも多くの注目を集めていますが、脅威アクターは最新の脆弱性の利用を避け、代わりにパッチ未適用のシステムを悪用するケースが多くなっています。
• インバウンド型の共通脆弱性識別子（CVE）の上位10個を評価したところ、7年前から存在するPHPUnitテストフレームワーク（CVE-2017-9841）を標的とした攻撃が最も多く、観測対象となったインバウンド型のCVE悪用のケースの33%がこれに該当しました。
• さらに、発見から3年経ったLog4J（CVE-2021-44228）も、未だ最も悪用されている脆弱性の1つであり、観測対象となったアウトバウンド型のCVE悪用のケースの30%がこれに該当しました。

サイバー脅威の多くは業界固有のものである

• Cato CTRLが情報セキュリティツールとみなすアプリケーションは200種類以上存在しますが、観測対象となったメディアおよびエンターテインメント業界の組織の48%は、それらのアプリケーションを1つも利用していませんでした。
• T1499の「エンドポイントサービス拒否」の手法の標的となった業界のトップ3は、エンターテインメント、通信、鉱業＆金属業界です。
• サービスとホスピタリティの分野では、T1212の「資格情報アクセスの悪用」が他の分野よりも3倍以上多く利用されています。

「Cato CTRL SASE脅威レポート2024年Q1版」の全文はこちら：https://www.catonetworks.com/resources/the-cato-ctrl-sase-threat-report-q1-2024/

RSAカンファレンス2024でお会いしましょう

RSAカンファレンスにご参加の皆様は、SASE分野のリーダーであるCato Networksのブース（Moscone North Expo #4401）にぜひ足をお運びください。また、Cato CTRLは、同カンファレンスで今週2つのセッションを開催しています。Maorは昨日、「The Price is WRONG – An Analysis of Security Complexity（料金がおかしい – セキュリティ対策の複雑性の分析） 」と題した発表を行い、セキュリティ対策の複雑性が攻撃の基本的な原因となった実例を挙げ、徹底解説を行いました。

本日（2024年5月7日）午前8時30分（太平洋夏時間）からは、Cato Networksのマネージド型サイバーセキュリティサービス担当マネージャーのTal Darsanも加わり、「Flying Under the Radar – New Security Evasion Techniques（レーダーを回避 – 最新のセキュリティ回避手法）」と題して、攻撃者が利用している最新の回避手法を明らかにし、緩和戦略を解説します。

Cato CTRLについて

Cato CTRL（サイバー脅威調査ラボ）は、脅威インテリジェンスと、CatoのグローバルSASEプラットフォームならではの詳細なネットワーク分析情報を融合させた、世界初のCTIグループです。 Cato CTRLは、元軍諜報部の分析官や研究者、データサイエンティスト、学者、業界で認められたセキュリティ専門家など数十人の力を結集し、ネットワークデータ、セキュリティスタックのデータ、数百種類のセキュリティフィード、人力によるインテリジェンス活動、AI（人工知能）、ML（機械学習）を活用して、最新のサイバー脅威と脅威アクターを明らかにします。  

Cato Networksについて

Cato Networksは、SASE分野のリーダーで、単一のクラウドプラットフォームで企業が求めるセキュリティとネットワークアクセスの機能を提供します。Catoを利用することで、高価で柔軟性に欠けるレガシーインフラストラクチャを、SD-WAN、専用のグローバルクラウドネットワーク、そして組み込みのクラウドネイティブセキュリティスタックを基盤としたモジュール型のオープンなSASEアーキテクチャに置き換えることができます。

将来を見据えてCatoを利用する企業は数千社に上ります。その理由をお知りになりたい方は、ぜひwww.catonetworks.comにアクセスしてみてください。

# # #