1. ホーム
  2. ニュース
  3. 「システムの脆弱性を突いた攻撃」を防ぐには~ASMと脆弱性診断の必要性~

「システムの脆弱性を突いた攻撃」を防ぐには~ASMと脆弱性診断の必要性~

セキュリティ 2025.7.30

1.概要

 今年の「情報セキュリティ 10 大脅威 2025」では、昨年 5 位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と 7 位の「脆弱性対策情報の公開に伴う悪用増加」が統合され、「システムの脆弱性を突いた攻撃」として掲載されています。順位は3位に上がっており、システムの脆弱性対策の重要性が増していることが分かります。
 システムの脆弱性対策を怠っているとマルウェア感染や情報漏洩につながるおそれがあり大変危険です。システムの脆弱性の発見および対策方法としてASM(Attack Surface Management)と脆弱性診断の効果的な利用を提案いたします。

2.システムの脆弱性とは

2-1システムの脆弱性とは
 システムの脆弱性とは、コンピュータのOSやソフトウェア、ハードウェアに存在するセキュリティ上の欠陥や弱点のことを指します。OSやアプリケーション等のソフトウェアの脆弱性が発見されると、開発ベンダー等が修正プログラム(パッチ)や回避策等を公開し、製品利用者へ対策を促します。企業は、公開された情報に基づき、自社のIT資産に対して速やかに対策を講じる必要があります。

 しかしながら、IT資産の管理やセキュリティ対策において近年の企業の現状として以下のような事例が挙げられます。
  ・IT資産管理ができていない
  適切なアップデートがされていないPCの放置、使用されていないWebサイトの放置、退職した人のデータの未対応など。

  ・脆弱性対策を行っていない
  どこをどう対策したらいいのかわからない。それぞれのIT資産にどれぐらいのコストをどこにかけたらいいのかわからない。

 攻撃者は上記のような脆弱なポイントを探し出し、ゼロデイ攻撃によるランサムウェアへの感染や不正アクセスによる情報窃取などの攻撃を行います。
 このようなシステムの脆弱性を突いた攻撃を回避するために、IT資産の管理、そして脆弱性対策が必須になっています。

2-2システムの脆弱性をついた攻撃の事例
・Windows上のPHPの脆弱性を悪用した攻撃
 2024 年 6 月、Windows上で動作するCGIモードのPHPにOSコマンドインジェクションの脆弱性があることが報じられました。この脆弱性は、既存の脆弱性(CVE-2012-1823)に対する保護を回避できるというものであり、この脆弱性が悪用され、悪意ある小規模プログラムwebshellがシステム(Webサーバー等)に設置されるといった被害が確認されました。攻撃者はwebshellを利用して、コマンドの実行、情報窃取、追加マルウェアのダウンロードといった攻撃を実行し、IT資産に深刻な影響を与えます。

3.ASM(Attack Surface Management)とは

 ASMとは、企業のIT資産を可視化し、サイバー攻撃のリスクを管理するための重要なセキュリティ対策です。
 ASMは主に下記の3段階のプロセスで構成されています。
 ①攻撃面の発見
 最初のプロセスとして、組織名をもとに企業が保有または管理しているインターネットからアクセス可能なIT資産を発見します。
 ②攻撃面の情報収集
 2つ目のプロセスでは、①で発見したIT資産についてOS・ソフトウェアの種類やバージョン、ポート番号などの情報を収集します。
 ③攻撃面のリスク評価
 3つ目のプロセスでは、②で収集した情報をもとにリスク評価を行います。

4.ASMと脆弱性診断を組み合わせるメリット

 ASMと脆弱性診断は脆弱性を管理するという観点では同じですが、それぞれに下記のような特徴があります。

     表1 ASMと脆弱性診断の違い
 

ASM

脆弱性診断

IT資産の網羅性

自社で把握していないIT資産も特定可能

⾃社で既知のIT資産のみを対象

情報の確度

通常のアクセスの範囲で収集した情報との突合によって脆弱性を把握するため、確度は高くない

疑似攻撃パケットを送信して実際の応答から脆弱性を特定するため、正確な脆弱性検知が可能

IT資産への影響

通常アクセスとなるため、監視装置や対象機器への影響が少ない

疑似攻撃のパケットが監視装置などに影響を与えることがある

 
 脆弱性診断では、自動診断と手動診断を使い、システム全体に対して網羅的な検査を行い、サーバー攻撃のきっかけとなる脆弱性を発見することができます。実際に疑似攻撃パケットを対象サーバーに送信することで、その応答から脆弱性を検知・特定するため、より正確な結果を得られることがメリットとして挙げられます。しかし、対象のIT資産としては、自社が認識しているIT資産のみであり、未把握のIT資産に対しては適用範囲外となってしまうという点がデメリットとして挙げられます。
 このようにASMと脆弱性診断は似ているようでそれぞれにメリット・デメリットが存在します。効果的なセキュリティ対策を行うためには、ASMによって洗い出されたリスクの高いIT資産に対して脆弱性診断を行うといった2つの組み合わせが非常に重要です。
 弊社で提供中の脆弱性診断サービスがこのような組み合わせたセキュリティ対策の一助になれば幸いです。

5.参考情報

情報処理推進機構 情報セキュリティ10大脅威 2025 組織編
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

6.SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 コロナ禍を経て急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

 セキュリティ運用監視サービス:https://www.ssk-kan.co.jp/e-gate#e-gate–02
 脆弱性診断サービス:https://www.ssk-kan.co.jp/vulnerability-assessment

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp