“The 2022 Edition of the Microsoft Vulnerabilities Report is Out – Despite Uneven Progress, a Picture of Elevated Vulnerabilities Remains” May 25, 2022 by Jonathan Clarke より
毎年人気を博す、年次のMicrosoft脆弱性レポート(Microsoft Vulnerabilities Report)の第9版ができました。これはサイバーセキュリティ専門家にとって今年最も大事な読み物の1つになります。
これまでのレポート同様、今回の2022年版でも、2021年中のMicrosoft社による「パッチチューズデー」(毎月第2火曜に公開する、OSその他の関連アプリケーションのセキュリティアップデートやその他アップデート)の12か月間の統合ビューと分析内容を提供します。
さらにこのレポートは、Microsoftエコシステムの脅威に関する重要なバロメーターを提供し、Paula Januszkiewicz氏、Sami Laiho氏、Russell Smith氏といったMicrosoftとサイバーセキュリティに関する世界有数の権威による解説と分析も含まれています。
この調査結果はMicrosoftのプラットフォームと製品を網羅して、脆弱性の数だけでなく、それらの重大度も評価しています。加えて、6年間の脆弱性傾向分析を提供する「レポートレトロスペクティブ」セクションを用意しました。これにより、脅威の状況が拡大している領域と、将来に備える必要がある方法を理解するのに貴重なコンテキストを提供します。
毎日約15億人がWindows OSに頼っており、侵害の27%はパッチが適用されていない脆弱性によって引き起こされています。拡大していく攻撃対象領域を悪用する攻撃者に先んじることが重要です。
それでは最新の調査結果のポイントを見てみましょう。
2022年度Microsoft脆弱性レポート:主な調査結果
昨年のレポートでは、Microsoftの脆弱性全体が最高水準に到達して、前年を大幅に上回っていました。 2021年には、Microsoftの脆弱性は1,212件に低下しました。これは、2020年に記録された1,268件から5%の減少です。この文面だけみると、この減少はプラスに聞こえるかもしれませんが、Microsoftの脆弱性の履歴データを顧みると、この数値は依然上昇していることに注意してください。
今年の調査でのもう1つの興味深い発見は、脆弱性全体の中で特権の昇格カテゴリが他のすべてのカテゴリよりも2年連続で高くなっていることです。2021年には、特権の昇格の脆弱性がMicrosoftのすべての脆弱性のほぼ半分(49%)を占めています。2020年以前は、リモートコード実行は一貫して最も一般的な種類のMicrosoftの脆弱性でした。この突然かつ継続的な変化は複数の要因によるものである可能性があります。セキュリティのベストプラクティスとして管理者権限を除去する組織が増えており、攻撃者は特権を取得するための新たな方法を模索していると考えられます。
攻撃者は、ローカル管理者権限を持つユーザーに容易には行き当らなくなったため、システムを侵害したり、資格情報を盗んだり、横方向に移動したりするのに悪用できる、昇格された権限の取得をするための革新に取り組み始めています。加えて、クラウドアプリケーションとシステム上で増え続ける攻撃対象領域が、攻撃者にとって高度な特権は非常に望まれている状況になっています。
最新のレポートで、その他の重要な調査結果は次のとおりです。
- レポートされた影響の大きい脆弱性の大半は、オンプレミステクノロジーのリスクを浮き彫りにしており、クラウドへの移行がセキュリティを向上させることができることを示しています。
- 2021年のIEとEdgeの脆弱性は、過去最高の349件であり、前年の合計の約4倍でした。
- Microsoftの重大な脆弱性は前年比で47%減少し、このレポートでは過去最低を記録しました。
- Windowsの脆弱性は前年比で40%減少しました。
Microsoftの「クラウド」に希望の兆し
今年のレポートから読み取れる肯定的なポイントは、クラウドサービスのセキュリティに関してMicrosoftがどれだけうまく機能しているかということです。 AzureとDynamics365の脆弱性は、過去2年間一貫して低いままでした。
実際、レポートで詳しく説明している影響の大きい脆弱性の大半は、オンプレミステクノロジーのリスクも浮き彫りにしており、クラウドへの移行によって組織のセキュリティが向上する可能性を示しています。
とりあえずダウンロード 2022年版Microsoft脆弱性レポート
MicrosoftのCommon Vulnerability Scoring System(CVSS)への移行
今年のレポートでの最も重要な変更の1つは、2020年11月にMicrosoft社が脆弱性の報告をCVSS形式に移行したという事実です。この新しいシステムにより、Microsoftの脆弱性をサードパーティのバグと相互参照することが容易になります。ただし、このプロセスには不幸なトレードオフがありました。
CVSS形式に移行する前は、Microsoftはセキュリティアップデートガイドを介してCVEの詳細を共有する独自の方法を使用していました。以前のレポート形式は、報告された各脆弱性のエグゼクティブサマリーを特徴として使用されていました。この要約から、セキュリティ研究者は、管理者権限がユーザーから削除された場合に、特定の脆弱性(具体的には、重大な脆弱性)を軽減できるかどうかも推測できます。残念ながら、このタイプの重要な分析はもはや不可能です。そうは言っても、管理者権限の削除は、デジタルトランスフォーメーションイニシアチブの結果として拡大している攻撃対象領域を減らし、予防的な脅威の防止と軽減を提供するためには、これまで以上に重要なベストプラクティスであることは変わりません。
脆弱性リスクを積極的に削減する方法
2021年には、2020年との比較では脆弱性の総数はわずかに減少したものの、Microsoftの脆弱性は過去最高をわずかに下回った程度です。タイムリーなパッチ適用と自動化された脆弱性管理プログラムは、脆弱性が関連する侵害の可能性を最小限に抑えるための重要な方法です。
ただし、パッチ適用と脆弱性管理プログラムだけでは、組織はゼロデイ・エクスプロイト(攻撃手段やツール)のリスクにさらされたままになります。さらに脆弱性に、組織の環境に基づいてのパッチ適用は必ずしも容易ではなく、望ましいとは限りません。そのため予防的なセキュリティ防御の実施が重要です。
Microsoft脆弱性レポートの過去の版が明確に示しているように、管理者権限の削除は強力な防御手段であり、多くのゼロデイ脅威に対する予防的な保護を提供します。2015年から2020年の間(このようなデータが利用可能だったとき)から、管理者権限を削除することで、Microsoftの重大な脆弱性の平均75%を軽減できた可能性があります。強力なベースラインセキュリティを提供することに加えて、管理者権限を除去して最小限の権限を適用することが、サイバー保険業者から一層要求されるようになり、ゼロトラストセキュリティの原則と一致する制御になっています。
2022年のレポートでの解説で、Sami Laiho氏 – シニアテクニカルフェローおよびMicrosoft MVP – は、次のように述べています。
「管理者権限を削除した後にサービスデスクのチケットが75%少なくなった顧客がいます。コンピューターを壊す特権がない場合、コンピューターの動作が向上します。」
レポートの中で、Petri IT Knowledgebaseの編集ディレクターであるRussell Smith氏は、次のように述べています。
「私は常に、管理者権限へのアクセスを制限することを強く支持してきました。 しかし、システムとデータを保護する上での標準ユーザー権限で操作することの重要性にもかかわらず、今日のWindowsをネイティブで管理することはまだ不可能です。 BeyondTrustは、Windowsのセキュリティと使いやすさの微妙なバランスを実現するための最良のソリューションを提供し続けています。」
BeyondTrustの統合プラットフォームとソリューションは、環境全体のすべてのID、アクセス、およびエンドポイントをプロアクティブに保護します。 クラスをリードするエンドポイント特権管理ソリューションでは、次のことが実現できます。
- 最小権限の原則の迅速な実装:すべてのエンドポイントにわたりローカル管理者権限を排除し、すぐに使用できるクイックスタートポリシーで投資対効果の時間を短縮
- フィッシング、ランサムウェア、マルウェアの阻止:承認されたアプリケーションのスクリプト、タスク、およびコマンドにのみJust-in-Time(JIT)特権を割り当てることで、攻撃対象領域を削減
- コンプライアンスの確保:余剰な特権を除去、アプリケーションのホワイトリストの使用、そしてユーザーアクティビティの監査証跡を提供することにより、内部および外部のコンプライアンスのニーズに対応
詳細な考察と統計データの内訳、サイバーセキュリティの専門家やインフルエンサーからの独自の解説は、Microsoftの脆弱性レポート全体をぜひダウンロードしてください!
BeyondTrust 2022年度 Microsoft脆弱性レポートのダウンロードこちら
参考 Windowsで標準ユーザーでサインインして管理者権限が必要なプログラムや操作ができるようにするBeyondTrustのソリューションはこちら
Jonathan Clarke, BeyondTrust社 Content Marketing Manager
Jonathanは英語とメディアの修士号を取得しており、説得力をもつ徹底的に研究されたサイバーセキュリティコンテンツの作成に情熱を持っています。B2Bエージェンシーのバックグラウンドと相まって、彼は幅広い業界トピックに適応でき、BeyondTrustの広報およびソーシャルメディアチャネルも見ています。大いなる動物愛好家である彼は、非常に活動的なジャーマンシェパードのシンバの誇り高い「父」でもあります。