閉じるX

Webアプリケーション セキュリティのベストプラクティスの不完全な導入により、急増するサイバー脅威に対する 重要インフラ業界の脆弱性が判明 【 OPSWAT 調査レポート】

調査によると、組織にアップロードされるファイルを Web アプリケーションで処理している組織の 82% が、マルウェア攻撃への懸念を高めています。しかし、その一方で、セキュリティのベストプラクティスを実装している組織は、わずか 8% でした。

フロリダ州タンパ – 2021 年 8 月 26 日 – 重要インフラ保護の世界的リーダーである OPSWATは、Web アプリケーション セキュリティレポート の結果を発表しました。マルウェア攻撃とサードパーティのリスクに関する懸念が著しく高まっているにもかかわらず、組織にアップロードされるファイルを Web アプリケーションで処理している組織のうち、ファイルアップロード セキュリティのベストプラクティスを完全に実装している組織の割合は、わずか 8% でした。最も懸念されるのは、対象となる組織の 3 分の 1 が、悪意のあるファイルを検出するために、アップロードされたすべてのファイルをスキャンしておらず、さらに、大多数の組織が未知の脅威やゼロデイ攻撃を防ぐために、"コンテンツの非武装化と再構築( CDR )" でファイルを無害化(サニタイズ)していないことです。

「昨今、ハイブリッドワークスペースが、デジタルトランスフォーメーションとクラウド環境への移行を推進してきました。クラウドサービス、モバイルデバイス、リモートワーカーの増加にともない、組織では、顧客、パートナー、社員のエクスペリエンスを向上するために、 Web アプリケーションの開発、導入を加速してきました。」 と、 OPSWAT の創業者兼 CEO の Benny Czarny は、述べています。 「 Web アプリケーションによるファイルアップロードは、ドキュメントの提出と共有を、より迅速に、より容易に、そしてより低コストするため、ビジネスの合理化に役立ちます。しかし、一方では、効果的な保護ができていない新たな攻撃対象領域も生まれています。」

OWASP ( Open Web Application Security Project: Web アプリケーションセキュリティにおいて、頻度の高いリスクを追跡調査し、それらを軽減するためのベストプラクティスを提供している非営利組織)は、ファイルには、攻撃者がターゲットにしているシステムを侵害するためのマルウェアが、潜んでいる可能性があるため、「制限のないファイルアップロード」を重大なリスクを伴う脆弱性として位置づけました。 OPSWAT の Web アプリケーションセキュリティの研究は、安全なファイルのアップロードに焦点を当て、現在のサイバーセキュリティ対策の傾向と隔たりを明らかにしているため、セキュリティ担当者が組織のリスクを把握し、対処することができます。

OPSWAT のレポートによると、回答者のほとんど(99%)が、マルウェアやサイバー脅威の攻撃ベクトルとして、ファイルのアップロードを懸念しています。組織の 82% は、アップロードされるファイルによるマルウェア攻撃への懸念が、昨年来高まっていると回答し、重要インフラ業界の 49% は、マルウェア攻撃からファイルのアップロードを防御することに、非常に懸念を示しています。最も興味深いのは、組織にアップロードされるファイルを Web アプリケーションで処理している組織のうち、 OPSWAT が特定したファイルアップロードセキュリティのベストプラクティス 10 項目のすべてを、完全に実装している組織は、わずか 8% だけでした。これらのベストプラクティスの中で、認証、ウイルス対策、および Web ルート外へのファイルの保存が最も採用され、ファイルタイプの確認、アップロードされたファイル名のランダム化、および CDR テクノロジーによる埋め込まれた脅威を除去するファイル無害化は、最も採用されていませんでした。

「調査によると、セキュリティ対策が施されていないファイルアップロードのリスクに、懸念を示している組織はありますが、セキュリティを強化するための必要な手順を実施している組織は、ほとんどありません。」 と Benny Czarny は述べています。 「この調査結果は、組織にアップロードされるファイルを Web アプリケーションで処理している組織に、共通する盲点を明らかにしています。業界をリードする OPSWAT の技術は、サイバー犯罪者が悪用し続けている脆弱性への対策に役立ちます。これは、マルウェアやゼロデイ攻撃から、世界で最も重要なインフラを保護するという私たちの使命の一つです。」

OPSWAT の Web アプリケーション セキュリティレポートの その他の主な調査結果は次のとおりです。

  • 組織の中でも、特に重要インフラ業界において、安全なファイル転送に関する不安が高まっています。 Web アプリケーションでアップロードされるファイルを処理する組織の 87% は、安全なファイル転送について非常に、または とても懸念しており、 82% は過去 1 年間で懸念が高まっています。ファイル転送のセキュリティについて、非常に懸念している割合は、重要インフラ業界では 49% で、他の業界では 36% でした。過去 1 年間に懸念が大きく高まった割合は、重要インフラ業界では 40% 、その他の業界では 25% でした。

  • 攻撃が発生した際の最大の懸念事項は、経済的損失と社会的信用の失墜です。 Web アプリケーションで、アップロードされるファイルを処理している組織の 3 分の 2 は、セキュリティ対策が施されていないファイルアップロードによる、社会的信用の失墜や、ビジネスまたは経済的な損失を懸念しています。

  • 大多数の組織は、セキュリティのベストプラクティスを実装していません。 Web アプリケーションで、アップロードされるファイルを処理している組織の 3 分の 1 は、悪意のあるファイルを検出するために、アップロードされるすべてのファイルをスキャンしていません。さらに、その 5 分の 1 は、 1 種類のウイルス対策エンジンのみでスキャンしています。対象となる組織の 3 分の 2 は、未知のマルウェアやゼロデイ攻撃を防ぐために、アップロードされるファイルを CDR 技術で無害化していません

組織はベストプラクティスを実行しておらず、包括的なマルウェア対策テクノロジーを効果的に使用することなく、ほとんどの組織が既知・未知の脅威を防ぐために CDR 技術を使用していません。 Web アプリケーションのセキュリティギャップを埋めたい場合、複数のマルウェア対策エンジンや CDR 技術などの高度なテクノロジーを統合した、包括的な保護を提供するソリューションの利用をお勧めします。

OPSWAT の総合的な調査・分析レポートは以下のサイトよりダウンロード可能です。https://info.opswat.com/web-application-security-report-2021-jp

OPSWATについて

OPSWAT は、重要インフラ サイバーセキュリティのグローバルリーダーとして、世界のミッションクリティカルな組織をマルウェアやゼロデイ攻撃から保護しています。公共・民間組織が、侵害のリスクを最小限に抑えるために、組織内重要ネットワーク間で、ファイルやデバイスを安全に転送・移動するプロセスを、 OPSWAT の重要インフラ保護(CIP)ソリューションで実装しています。政府、金融サービス、防衛、製造、エネルギー、航空宇宙、輸送システム等、世界の1,500以上の組織が、ファイルとデバイスの保護、業界や政府主導の規制への対応、サイバースペースの混乱から社会的信用、資産、社員、関係の保護で、OPSWATを信頼しています。OPSWATの詳細については、www.opswat.jpをご覧ください。

メディア関連の連絡先

Kat Lewis
Director of Corporate Communications
Kat.lewis@opswat.com

Sign up for Blog updates
Get information and insight from the leaders in advanced threat prevention.