調査によると、ファイルのアップロードを受け付けるウェブアプリケーションを持つ組織の82%が、過去1年間にマルウェア攻撃への懸念を高めているが、セキュリティのベストプラクティスを実施しているのはわずか8%であることが明らかになった。
フロリダ州タンパ - 2021年8月26日- (以下「タンパ」)。 OPSWATクリティカル・インフラストラクチャ・プロテクション(重要インフラ保護)の世界的なリーダーである株式会社セコム(本社:東京都港区、代表取締役社長:劉克振、以下セコム)は本日、ウェブアプリケーション・セキュリティ・レポートの結果を発表し、マルウェア攻撃やサードパーティリスクに関する懸念が著しく高まっているにもかかわらず、ファイルアップロード用のウェブアプリケーションを持つ組織のうち、ファイルアップロードセキュリティのベストプラクティスを完全に実施しているのはわずか8%に過ぎないことを明らかにしました。最も問題なのは、ファイルアップロード用の Web アプリケーションを持つ組織の 3 分の 1 が、悪意のあるファイルを検出するためにすべてのファイルアップロードをスキャンしていないこと、そして大多数が、未知のマルウェアやゼロデイ攻撃を防ぐために、Content Disarm Reconstruction (CDR) を使用してファイルアップロードをサニタイズしていないことです。
「ハイブリッド・ワークスペースは、ここしばらくの間、デジタルトランスフォーメーションとクラウド移行のイニシアチブを推進してきた。クラウドサービス、mobile デバイス、リモートワーカーの台頭により、企業は顧客、パートナー、従業員のエクスペリエンスを向上させるウェブ・アプリケーションを開発・展開する必要に迫られている」と、OPSWAT の創設者兼CEOであるBenny Czarnyは述べた。「ファイル・アップロードのためのウェブ・アプリケーションは、ドキュメントの提出や共有をより速く、簡単に、低コストで行うことで、ビジネスの合理化に役立ちます。その結果、この採用は、組織が効果的に保護できていない新たな攻撃面を導入することにもなりました。
オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)は、ウェブ・アプリケーション・セキュリティの最も一般的なリスクを追跡し、その軽減のためのベストプラクティスを提供する非営利団体ですが、悪意のある行為者が攻撃しようとしているシステムに直接アクセスするために悪用するマルウェアがファイルに隠されている可能性があるため、重大なリスクを伴う脆弱性として「制限のないファイルアップロード」を特定しました。OPSWATこの脆弱性は、悪意のある行為者が攻撃しようとするシステムに直接アクセスするために悪用することができる隠れたマルウェアを含んでいる可能性があるためです。
OPSWATのレポートによると、回答者の圧倒的多数(99%)が、マルウェアやサイバー攻撃の攻撃ベクトルとしてファイルアップロードを懸念しています:82%の組織が、昨年からファイルアップロードからのマルウェア攻撃に対する懸念が増加していると報告しており、重要インフラ業界の49%は、ファイルアップロードをマルウェア攻撃から保護することを非常に懸念しています。最も興味深いことに、OPSWAT は、ファイルアップロードセキュリティのための10のベストプラクティスを特定し、ファイルアップロード用のウェブアプリケーションを持つ組織のうち、10すべてを完全に実装しているのはわずか8%であることを明らかにしました。これらのベストプラクティスの中で、認証、アンチウイルス、およびウェブルート外にファイルを保存することが最も採用されている一方で、ファイルタイプの検証、アップロードされたファイル名のランダム化、およびデータのサニタイゼーションとして知られるCDR技術による埋め込み脅威の除去は、最も採用されていないものでした。
「この調査から、企業は安全でないファイルアップロードのリスクについて懸念を表明しているものの、セキュリティ態勢を強化するために必要なプロトコルを採用している企業はほとんどないことがわかりました。「この結果から、ファイルアップロードにウェブアプリケーションを活用している組織に共通する盲点が明らかになりました。OPSWAT当社の業界をリードするテクノロジーは、サイバー犯罪者が悪用し続ける脆弱性に対抗するのに役立ちます。これはすべて、世界で最も重要なインフラをマルウェアやゼロデイ攻撃から守るという当社の使命の一環です。
OPSWAT「ウェブアプリケーション・セキュリティ・レポート」のその他の主な調査結果は以下の通り:
企業は、特に重要なインフラ産業において、安全なファイル転送に関する懸念が高まっていると報告しています。ファイルのアップロードにウェブアプリケーションを使用している組織の87%は、安全なファイル転送について非常に懸念しているか、または非常に懸念しており、82%は過去1年間で懸念が高まったと報告しています。重要インフラ業界の49パーセントがファイル転送のセキュリティを非常に懸念しているのに対し、その他の業界では36パーセントしか懸念していませんでした。また、重要インフラ業界の 40% が過去 1 年間に懸念が大幅に増加したのに対し、その他の業界では 25% にとどまりました。
収益の損失と風評被害は、攻撃された場合の最大の懸念事項です。ファイルアップロード用のウェブアプリケーションを使用している組織の3分の2が、安全でないファイルアップロードに関連する風評被害や事業または収益の損失を懸念しています。
大半の組織がセキュリティのベストプラクティスを導入していない。ファイル・アップロード用の Web アプリケーションを導入している組織の 3 分の 1 は、悪意のあるファイルを検出するためにすべてのファイル・アップロードをスキャンしておらず、わずか 5 社に 1 社のみが1 つのアンチウイルス・エンジンでスキャンしています。ファイルアップロード用の Web ポータルを持つ組織の 3 分の 2 は、未知のマルウェアやゼロデイ攻撃を防ぐために、CDR を使用してファイルアップロードをサニタイズしていません。
組織はベストプラクティスに従っておらず、包括的なアンチウイルス技術を効果的に使用していません。また、ほとんどの組織は、既知および未知の攻撃を防ぐために CDR 技術を使用していません。ウェブアプリケーションのセキュリティギャップを埋めたいのであれば、OPSWAT 、複数の AV エンジンによるマルウェア対策スキャンや CDR のような、いくつかの高度な技術が統合された包括的な保護を提供するソリューションを使用することをお勧めします。
このOPSWATの調査の詳細と包括的な分析については、こちらから全レポートをダウンロードしてください: https://info.opswat.com/web-application-security-report-2021
OPSWATについて
OPSWAT は、マルウェアやゼロデイ攻撃から世界のミッションクリティカルな組織を守る、重要インフラのサイバーセキュリティにおけるグローバルリーダーです。侵害のリスクを最小化するために、OPSWAT Critical Infrastructure Protection ソリューションは、公共および民間の組織が、重要なネットワークとの間でファイルやデバイスを安全に転送するプロセスを実装することを可能にします。金融サービス、防衛、製造、エネルギー、航空宇宙、運輸システムなど、世界中で1,500を超える組織が、OPSWAT 、ファイルやデバイスの安全性、業界や政府主導のポリシーや規制へのコンプライアンスの確保、サイバーによる混乱からの評判、財務、従業員、人間関係の保護に信頼を寄せています。OPSWAT の詳細については、www.opswat.com をご覧ください。
本件に関するお問い合わせ
Kat Lewis
コーポレート・コミュニケーション部長
Kat.lewis@opswat.com
