vPenTestの自動ネットワークペネトレーションテストプラットフォームのクリエイターであるVonahi Securityは、「2024年の重要なペンテスト発見トップ10」と題した年次レポートを発表しました。このレポートでは、Vonahi Securityが12,000以上の組織で10,000以上の自動ネットワークペンテストを実施し、内部ネットワークペンテストの重要な発見トップ10を明らかにしました。
これらの重要な発見を一つずつ掘り下げ、組織が直面する共通の脆弱性とそれに対処する方法を理解しましょう。
ペンテスト発見トップ10と推奨事項
1. マルチキャストDNS(MDNS)スプーフィング
マルチキャストDNS(mDNS)は、ローカルDNSサーバーがない小規模ネットワークでDNS名を解決するためのプロトコルです。クエリをローカルサブネットに送信し、任意のシステムが要求されたIPアドレスで応答できます。これにより、攻撃者が自分のシステムのIPアドレスで応答することが可能になります。
推奨事項:
- mDNSを使用していない場合は、Apple Bonjourまたはavahi-daemonサービスを無効にしてmDNSを無効にするのが最も効果的です。
2. NetBIOS名前サービス(NBNS)スプーフィング
NetBIOS名前サービス(NBNS)は、DNSサーバーが利用できない場合に内部ネットワークでDNS名を解決するためのプロトコルです。ネットワーク全体にクエリをブロードキャストし、任意のシステムが要求されたIPアドレスで応答できます。これにより、攻撃者が自分のシステムのIPアドレスで応答することが可能になります。
推奨事項:
- レジストリキー
UseDnsOnlyForNameResolutionsを設定して、NBNSクエリの使用を防止します。 - DHCPオプション、ネットワークアダプタ設定、またはレジストリキーを使用して、内部ネットワークのすべてのWindowsホストでNetBIOSサービスを無効にします。
3. リンクローカルマルチキャスト名前解決(LLMNR)スプーフィング
リンクローカルマルチキャスト名前解決(LLMNR)は、DNSサーバーが利用できない場合に内部ネットワークでDNS名を解決するためのプロトコルです。ネットワーク全体にクエリをブロードキャストし、任意のシステムが要求されたIPアドレスで応答できます。これにより、攻撃者が自分のシステムのIPアドレスで応答することが可能になります。
推奨事項:
- グループポリシーを使用して、マルチキャスト名前解決を無効にします:
Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution = Enabled - Windows Vista/7/10 Home Editionの場合、レジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticastを設定してLLMNRクエリを無効にします。
4. IPv6 DNSスプーフィング
IPv6 DNSスプーフィングは、不正なDHCPv6サーバーがネットワークに展開されると発生します。WindowsシステムはIPv4よりもIPv6を優先するため、利用可能な場合はDHCPv6サーバーを使用します。攻撃中、IPv6 DNSサーバーがこれらのクライアントに割り当てられ、攻撃者がDNSリクエストを傍受することが可能になります。
推奨事項:
- ビジネスオペレーションに必要でない場合はIPv6を無効にします。IPv6を無効にすることがネットワークサービスの中断を引き起こす可能性があるため、この設定を大量展開する前にテストすることを強くお勧めします。代替策として、ネットワークスイッチでDHCPv6ガードを実装します。DHCPv6ガードは、承認されたDHCPサーバーのみがクライアントにリースを割り当てることを保証します。
5. 古いMicrosoft Windowsシステム
古いMicrosoft Windowsシステムは、セキュリティ更新を受け取らないため、攻撃に対して脆弱です。これにより、攻撃者がその弱点を悪用し、ネットワーク内の他のシステムやリソースにピボットする可能性が高まります。
推奨事項:
- 古いバージョンのMicrosoft Windowsを、製造元によってサポートされている最新のオペレーティングシステムに置き換えます。
6. IPMI認証バイパス
インテリジェントプラットフォーム管理インターフェース(IPMI)は、管理者がサーバーを集中管理するためのものです。しかし、一部のサーバーには認証をバイパスしてパスワードハッシュを抽出できる脆弱性があります。パスワードがデフォルトまたは弱い場合、攻撃者は平文のパスワードを取得し、リモートアクセスを得ることができます。
推奨事項:
- IPMIアクセスを管理目的で必要なシステムに限定します。
- ビジネスオペレーションに必要でない場合は、IPMIサービスを無効にします。
- デフォルトの管理者パスワードを強力で複雑なものに変更します。
- HTTPSやSSHなどの安全なプロトコルのみを使用して、攻撃者が中間者攻撃でパスワードを取得する可能性を制限します。
7. Microsoft Windows RCE(BlueKeep)
テスト中にCVE-2019-0708(BlueKeep)に対して脆弱なシステムが特定されました。このMicrosoft Windowsの脆弱性は、利用可能なツールやコードのために非常に悪用されやすく、攻撃者が影響を受けるシステムを完全に制御できるようにします。
推奨事項:
- 影響を受けたシステムにセキュリティ更新を適用することをお勧めします。さらに、組織はパッチ管理プログラムを評価し、セキュリティ更新の欠如の原因を特定する必要があります。この脆弱性は一般的に悪用されるものであり、重大なアクセスを引き起こす可能性があるため、直ちに修正する必要があります。
8. ローカル管理者パスワードの再利用
内部ペネトレーションテスト中、多くのシステムが同じローカル管理者パスワードを共有していることが判明しました。一つのローカル管理者アカウントを危険にさらすことで、複数のシステムにアクセスでき、組織全体のリスクが大幅に増加します。
推奨事項:
- Microsoft Local Administrator Password Solution(LAPS)などのソリューションを使用して、複数のシステム間でローカル管理者パスワードが一貫していないことを確認します。
9. Microsoft Windows RCE(EternalBlue)
テスト中にMS17-010(EternalBlue)に対して脆弱なシステムが特定されました。このWindowsの脆弱性は、利用可能なツールやコードのために非常に悪用されやすく、攻撃者が影響を受けるシステムを完全に制御できるようにします。
推奨事項:
- 影響を受けたシステムにセキュリティ更新を適用することをお勧めします。さらに、組織はパッチ管理プログラムを評価し、セキュリティ更新の欠如の原因を特定する必要があります。この脆弱性は一般的に悪用されるものであり、重大なアクセスを引き起こす可能性があるため、直ちに修正する必要があります。
10. Dell EMC IDRAC 7/8 CGIインジェクション(CVE-2018-1207)
Dell EMC iDRAC7/iDRAC8バージョン2.52.52.52より前のバージョンは、CVE-2018-1207の脆弱性があり、コマンドインジェクションの問題があります。これにより、認証されていない攻撃者がルート権限でコマンドを実行し、iDRACデバイスを完全に制御できるようになります。
推奨事項:
- ファームウェアを可能な限り最新のバージョンにアップグレードします。
重要なペンテスト発見の共通の原因
これらの発見は異なるエクスプロイトから生じたものですが、多くの共通点があります。主要な原因は、構成の弱点とパッチの欠如です。
構成の弱点
構成の弱点は、管理者がデプロイしたシステム内の適切に強化されていないサービスに起因することが多く、弱い/デフォルトの資格情報、不要に露出されたサービス、または過剰なユーザー権限などの問題を含みます。構成の弱点の一部は限られた状況で悪用される可能性がありますが、攻撃が成功した場合の影響は比較的高くなります。
パッチの欠如
パッチの欠如は依然として多くの組織で大きな問題となっており、互換性やパッチ管理ソリューションの構成問題などが原因であることが多いです。
これらの二大問題は、頻繁なペネトレーションテストの必要性を証明しています。年に一度のテストが通常のアプローチでしたが、継続的なテストは、セキュリティリスクが重大な妥協につながるリアルタイムの文脈に近いギャップを特定するのに大きな価値を提供します。たとえば、TenableのNessusスキャナーはLLMNRを情報として特定するかもしれませんが、VonahiのvPenTestを使用した四半期ごとまたは月次のネットワークペネトレーションテストは、これらの問題を強調し、その潜在的な影響を説明します。
vPenTestとは?
vPenTestは、組織のIT環境全体でセキュリティリスクと侵害を積極的に削減する、完全に自動化されたネットワークペネトレーションテストプラットフォームです。資格のあるネットワークペネトレーションテスターを見つける手間を省き、識別された脆弱性、その組織に与えるリスク、および技術的および戦略的な観点からその脆弱性を修正する方法を伝える質の高い成果物を提供します。何より、組織のコンプライアンス管理能力を強化するのに役立ちます。
vPenTestの主要な特徴と利点
- 包括的な評価: 内部および外部の両方のテストを実施し、ネットワーク内のすべての潜在的なエントリポイントを徹底的に調査します。
- 現実のシミュレーション: 実際のサイバー脅威をシミュレートし、セキュリティ状況に関する貴重な洞察を得ます。
- タイムリーで実行可能な報告: 脆弱性、その影響、および推奨される対策を詳細で分かりやすい報告書で提供します。
- 継続的なテスト: 月次テスト間隔を設定して、積極的かつ応答的なセキュリティ対策を確保します。
- 効率的なインシデント対応: 脆弱性を早期に特定し、潜在的なセキュリティインシデントに効果的に備えます。
- コンプライアンスの整合性: SOC2、PCI DSS、HIPAA、ISO 27001、サイバー保険要件などの規制コンプライアンス要件を満たします。
今すぐ無料トライアルを試して、vPenTestを使用してリアルタイムでサイバー攻撃のリスクを積極的に特定する方法の簡単さを体験してください。
対ネット犯罪の最前線に立つ、世界最高水準のホワイトハッカー集団
Microsoft社やGoogle社などで活躍しているホワイトハッカー・エンジニアのコミュニティの中から国際認定を持ったサイバーセキュリティ専門家で結成されたのが、私たち「バイナリヤード」。
世界最高峰の技術力・豊富な実績をもったエンジニアチームが、お客様のシステムの脆弱性を的確に洗い出し、安心・安全のセキュリティ環境をご提案致します。