innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

IT部門が見落とす10の重大なネットワーク脆弱性 – 基本対策の欠如が最大の脅威に

IT部門が見落とす10の重大なネットワーク脆弱性 - 基本対策の欠如が最大の脅威に - innovaTopia - (イノベトピア)

Last Updated on 2025-03-24 11:00 by admin

2024年のvPenTestの調査結果は、企業のネットワークセキュリティが依然として重大な脆弱性を抱えていることを明らかにしました。特に名前解決プロトコル(mDNS、NBNS、LLMNR)が攻撃者に頻繁に悪用されています。この基本的なセキュリティ対策の欠如が、最新のAI防御システムやゼロトラストアーキテクチャの効果を制限する原因となっています。企業がどのようにしてこれらの脆弱性に対処できるのかを見ていきましょう。

Vonahi Securityが提供する自動ネットワークペネトレーションテストプラットフォーム「vPenTest」が2024年に実施した10,000件以上の内部ネットワーク侵入テストの結果、多くの企業が依然として攻撃者に容易に悪用される重大なセキュリティギャップを抱えていることが明らかになりました。

調査によると、これらのセキュリティリスクは以下のように分類されます

  • 50%が設定ミスに起因
  • 30%がパッチ未適用
  • 20%が弱いパスワード

vPenTestが特定した10の最も重大な内部ネットワークセキュリティリスクは、発生頻度の低いものから順に以下の通りです

  1. パスワードの不備 – Redisサービス(発生率1.3%、CVSS3: 9.9)
  2. Firebirdサーバーのデフォルト認証情報受け入れ(発生率1.4%、CVSS3: 9.0)
  3. Microsoft Windows RCE(BlueKeep)(発生率4.4%、CVSS3: 9.8)
  4. Microsoft Windows RCE(EternalBlue)(発生率4.5%、CVSS3: 9.8)
  5. IPMI認証バイパス(発生率15.7%、CVSS3: 10.0)
  6. 古いMicrosoft Windowsシステム(発生率24.9%、CVSS3: 9.8)
  7. IPv6 DNSスプーフィング(発生率49.9%、CVSS3: 10.0)
  8. Link-Local Multicast Name Resolution(LLMNR)スプーフィング(発生率65.5%、CVSS3: 9.8)
  9. NetBIOS Name Service(NBNS)スプーフィング(発生率73.3%、CVSS3: 9.8)
  10. Multicast DNS(mDNS)スプーフィング(発生率78.2%、CVSS3: 9.8)

特に注目すべきは、最も頻繁に発見される上位3つの脆弱性がすべて名前解決プロトコル(mDNS、NBNS、LLMNR)に関連していることです。これらのプロトコルは、DNSサーバーが応答しない場合のフォールバックメカニズムとして機能しますが、攻撃者によって悪用される可能性があります。

from:10 Critical Network Pentest Findings IT Teams Overlook

【編集部解説】

2025年の今、企業のネットワークセキュリティは依然として基本的な欠陥を抱えています。Vonahi Securityが提供するvPenTestが実施した10,000件以上の自動ネットワーク侵入テストの結果は、最新のAI防御システムやゼロトラストアーキテクチャが注目される中でも、基本的なセキュリティ対策の欠如が最大の脅威であることを浮き彫りにしています。

特に注目すべきは、最も頻繁に発見される脆弱性の上位3つがすべて名前解決プロトコル(mDNS、NBNS、LLMNR)に関連していることです。これらのプロトコルは、DNSサーバーが応答しない場合のフォールバックメカニズムとして機能しますが、その仕組み自体がセキュリティリスクを生み出しています。

これらのプロトコルが危険である理由は、ローカルネットワーク上のどのデバイスでも名前解決リクエストに応答できるという点にあります。攻撃者はこの特性を悪用して、自分のシステムのIPアドレスを返すことで、ユーザーの通信を傍受し、認証情報を盗むことができるのです。

調査結果によると、これらの脆弱性の発生率は驚くほど高く、mDNSスプーフィングが78.2%、NBNSスプーフィングが73.3%、LLMNRスプーフィングが65.5%となっています。つまり、調査対象となった企業の約7割以上がこれらの基本的な脆弱性を抱えているということです。

また、IPv6 DNSスプーフィングの発生率も49.9%と高く、これはWindowsシステムがIPv6をIPv4よりも優先するという特性に起因しています。攻撃者は不正なDHCPv6サーバーを展開することで、DNSリクエストを操作し、ユーザーを悪意のあるサイトに誘導することが可能になります。

さらに、古いWindowsシステムの使用も24.9%の企業で確認されており、これはサポート終了によるセキュリティパッチの欠如から、重大なリスクをもたらします。特に2025年の現在、Windows 10のサポート終了が迫る中、多くの企業がOSの更新を検討すべき時期に来ています。

これらの問題が示すのは、セキュリティ対策における「基本」の重要性です。最新のAI防御システムやゼロデイ攻撃対策に注目が集まる一方で、多くの企業が基本的なセキュリティ設定や更新管理を怠っているという現実があります。

Ponemon Instituteの調査によれば、企業の約20%はソフトウェアのセキュリティ脆弱性テストを全く実施していないとされています。これは非常に憂慮すべき状況です。

一方で、ペネトレーションテスト市場は2025年には45億ドル規模に成長すると予測されており、企業のセキュリティ意識の高まりを示しています。特に金融機関などの重要インフラでは、サイバー攻撃のコストが2025年には年間10.5兆ドルに達すると予測される中、ペネトレーションテストは必須の対策となっています。

vPenTestのようなツールの価値は、人間によるテストの一貫性の欠如や高コストという課題を解決する点にあります。自動化されたペネトレーションテストは、人間のテスターのように質にばらつきがなく、一貫した結果を提供します。また、従来の人間によるテストよりも大幅に低コストで実施できるため、より頻繁なテストが可能になります。

しかし、自動化テストにも限界があることを認識することが重要です。複雑なビジネスロジックの脆弱性や、高度な社会工学的攻撃のシミュレーションなどは、依然として人間のテスターの専門知識が必要な領域です。

最適なアプローチは、自動化テストと人間によるテストを組み合わせることでしょう。日常的な脆弱性の検出には自動化ツールを活用し、より複雑な攻撃シナリオや重要システムに対しては、専門家による詳細な評価を実施するというハイブリッドモデルが効果的です。

企業がセキュリティ対策を強化するためには、単発のセキュリティ監査ではなく、継続的なセキュリティテストを通じて、常に変化する脅威に対応することが重要です。vPenTestのような自動化されたペネトレーションテストツールは、セキュリティチームの負担を軽減しながら、リアルタイムで脆弱性を発見するのに役立ちます。

セキュリティは一度構築して終わりではなく、継続的な改善が必要なプロセスです。基本を固め、常に最新の脅威に対応できる体制を整えることが、2025年のサイバーセキュリティ環境では不可欠となっています。

【用語解説】

ペネトレーションテスト(Penetration Test):
実際のハッカーと同様の手法を用いて、システムやネットワークの脆弱性を検証するセキュリティテスト。「pen test」と略されることも多い。

vPenTest:
Vonahi Security社が開発した自動化されたネットワークペネトレーションテストプラットフォーム。人間による手動テストを自動化し、一貫性のある結果を提供する。

mDNS (Multicast DNS):
ローカルネットワーク内で、DNSサーバーなしでも名前解決を行えるプロトコル。発見率78.2%と最も多く見つかった脆弱性。

NBNS (NetBIOS Name Service):
古いWindowsネットワークで使用される名前解決プロトコル。発見率73.3%と2番目に多く見つかった脆弱性。

LLMNR (Link-Local Multicast Name Resolution):
WindowsがDNSサーバーで名前解決できない場合に使用するフォールバックプロトコル。発見率65.5%と3番目に多く見つかった脆弱性。

BlueKeep (CVE-2019-0708):
2019年に発見されたMicrosoft社のリモートデスクトッププロトコル(RDP)の重大な脆弱性。認証なしでリモートコード実行が可能となる。

EternalBlue:
2017年に流出したNSA開発の攻撃ツールで、Windows SMBプロトコルの脆弱性を悪用する。WannaCryランサムウェアの拡散に使用された。

IPv6 DNSスプーフィング:
攻撃者が不正なDHCPv6サーバーを設置し、クライアントのDNS設定を操作して悪意のあるサーバーに誘導する攻撃手法。

CVSS (Common Vulnerability Scoring System):
脆弱性の深刻度を数値化する標準システム。10.0が最も危険。

【参考リンク】

Vonahi Security(外部)
自動化されたネットワークペネトレーションテストソリューションを提供する企業サイト

Kaseya(外部)
ITインフラストラクチャ管理ソリューションを提供するグローバル企業

【編集部後記】

テクノロジーの進化とともに、サイバーセキュリティの脅威も日々変化しています。しかし、vPenTestの調査結果が示すように、最も一般的な攻撃は依然として基本的なセキュリティ対策の欠如を悪用したものです。

皆さんの組織では、これらの基本的な脆弱性に対処できていますか?特に名前解決プロトコルの設定や、古いシステムの更新状況を確認してみてください。最新のAI防御システムを導入していても、基本的な部分に穴があれば、その効果は限定的です。

セキュリティは一度構築して終わりではなく、継続的な改善が必要なプロセスではないでしょうか。皆さんのネットワークセキュリティ対策について、ぜひSNSで共有いただければ幸いです。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

author avatar
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » IT部門が見落とす10の重大なネットワーク脆弱性 – 基本対策の欠如が最大の脅威に

Latest News