エンタープライズ環境の67%は、WannaCryやNotPetyaに悪用されたプロトコルが引き続き実行
ExtraHop Networks
破壊的なランサムウェア攻撃から4年、今なお実行されている脆弱なプロトコル群
クラウドネイティブのネットワーク脅威検知とレスポンス(NDR)を提供する米企業、ExtraHop Networks(https://www.extrahop.com/ja/ 、本社:米ワシントン州、読み方:エクストラホップ・ネットワークス、以下ExtraHop)は本日、安全でないプロトコルが企業のIT環境で広く使用されていると伝えるセキュリティ・アドバイザリのレポート(日本語版)(https://assets.extrahop.com/whitepapers/ExtraHopSecurityAdvisory_InsecureProtocols_J.pdf)を公開しました。本レポートでは、サーバー・メッセージ・ブロックのバージョン1(SMBv1)など、安全でない非推奨プロトコルが継続的に使用されている実態が詳述されています。4年前の今日、SMBv1はWannaCryランサムウェア亜種によって悪用され、世界中で25万台近いマシンが暗号化されました。
2021年の初めに、ExtraHopの脅威調査チームは、エンタープライズ環境で広く使用されている安全でないプロトコルの実態を調べる1次調査を実施しました。具体的には、SMBv1、リンク・ローカル・マルチキャスト名前解決(LLMNR)、NT Lan Manager(NTLMv1)、ハイパー・テキスト転送プロトコル(HTTP)などが対象となりました。この調査により、組織とその顧客に大きなリスクをもたらす、これらのプロトコルの憂慮すべき使用状況が明らかになりました。
SMBv1:このプロトコルはWannaCryやNotPetyaなどの攻撃で悪用されており、パッチが適用されていない他のサーバーにネットワーク経由で急速にマルウェアを拡散できます。EternalBlueとこれに関連した脆弱性の発見から4年以上経った2021年でも、エンタープライズ環境の67%でSMBv1が引き続き使用されていることが明らかになりました。
LLMNR:LLMNRを悪用してユーザの資格情報ハッシュにアクセスすることができます。資格情報ハッシュが破られて実際のログイン情報が流出すると、悪意のあるアクターは、機密性の高い個人データやビジネス・データにアクセスできるようになります。エンタープライズ環境の70%は、LLMNRを引き続き実行していることが判明しました。
NTLM:マイクロソフトがより安全なKerberos認証プロトコルを選択して、NTLMの使用は中止するように勧告したにもかかわらず、NTLMは今でも広く使用されています。エンタープライズ環境の34%は、NTLMv1を実行しているクライアントを10個以上使用しています。
HTTP:プレーンテキストの資格情報をHTTP経由で送信すると、その資格情報は無防備な状態になります。つまり、人がたくさんいる部屋でパスワードを叫んでいる状況と同じです。こうしたリスクにもかかわらず、エンタープライズ環境の81%は、安全でないHTTPによるプレーンテキストの資格情報を引き続き使用しています。
ExtraHopで製品部門の責任者であるTed Driggsは次のように述べています。「組織はこれらのプロトコルを自社環境から排除すべきだと言うのは簡単ですが、多くの場合、それほど単純な話ではありません。レガシー・システムでは、SMBv1などの非推奨プロトコルから移行する選択肢がないこともあります。選択肢がある場合でも、混乱をもたらす障害が移行によって生じるおそれがあります。IT/セキュリティ組織の多くは、障害発生のリスクを冒すかわりに、非推奨プロトコルを封じ込めようと努めることになります。組織には安全でないプロトコルに関するリスク体制を評価するために、資産の動作における正確で最新のインベントリが必要です。これにより、問題修復の方法や、ネットワーク上の脆弱なシステムの範囲を制限する方法を初めて決定できるようになります」
詳細なレポート(日本語版)はこちら(https://assets.extrahop.com/whitepapers/ExtraHopSecurityAdvisory_InsecureProtocols_J.pdf)からダウンロード可能です。
ExtraHopのネットワーク・プロトコル・ライブラリ(https://www.extrahop.com/resources/protocols/)では、プロトコルとそれに関連する脅威アクティビティの詳細情報が確認できます。
ExtraHopについて
ExtraHopは、日々高度化するサイバー脅威に対抗するため、企業のセキュリティチームが侵害を阻止する対応能力の強化をミッションとして設立されました。クラウドスケールの機械学習を利用したプラットフォーム「ExtraHop Reveal(x)」は、リアルタイムでクラウドやネットワークトラフィックを解析し、他のツールが見逃す脅威を余すところなく検知します。絶えず収集されるペタバイト規模のテレメトリに高度な機械学習モデルを適用することで、ExtraHopの顧客は不審な振る舞いを検知することが可能になります。1,500万以上のITアセット、200万台以上のPOSシステム、また5,000万件以上の患者記録の保護をサポートしています。Forbes AI50、Cybercrime Ransomware 25、SC Media Security InnovatorおよびInterop Tokyo 2021 Best of Show Awardなど、30以上の業界アワードを受賞し、ネットワークの脅威検知・レスポンス分野で市場をリードしています。
セキュリティ侵害を84%迅速に阻止するExtraHopの無料デモはhttps://www.extrahop.com/ja/demo/から今すぐ体験頂くことが可能です。