出典:Sergey Shubin(Shutterstock経由)
長い間放置され、死んだと見なされてきたさまざまな古いプロジェクトが、作成した企業のサイバーセキュリティ体制を今なお脅かし続けています。
コードからインフラ、APIに至るまで、いわゆる「ゾンビ」資産は企業にセキュリティ上の頭痛の種をもたらし、時には侵害につながることもあります。Oracleの「廃止」サーバー、攻撃者がマルウェア配布に利用した放置されたAmazon S3バケット、そして監視されていないAPI(Optusの顧客IDデータベースをインターネットに接続)など、企業を悩ませるゾンビのバリエーションは多岐にわたります。
忘れ去られた、いわば「アンデッド」なサービスへの無関心は、2つの点でサイバーセキュリティ上の問題を引き起こすと、サイバーセキュリティ企業Palo Alto Networksのプロダクトディレクター、アンドリュー・スコット氏は語ります。
「もし忘れ去られたデバイスがあれば、それを管理していない可能性が高いので、万が一侵害されても気づきにくいでしょう」と彼は言います。「そしてもう一つは、それらが長期間放置され、管理されず、適切なメンテナンスやパッチが適用されないままでいるほど、時間の経過とともにリスクにさらされやすくなるということです。」
依然として稼働しているが管理されていないデバイス、サービス、APIは、企業にとって大きなサイバーセキュリティ上の問題であり、攻撃対象領域を拡大させ、発見と対策に多大な労力を要します。攻撃者の3分の1は、ウェブ公開サービス(18%)、外部リモートサービス(12%)、サプライチェーン(3%)などの公開資産を狙っていると、MicrosoftのDigital Defense Report 2025(今月発表)によれば報告されています。組織の大多数(84%)が外部攻撃対象領域の拡大を経験し、90%がそれに伴う重大なインシデントの増加を認識していると、Cybersecurity Insidersの2024 Attack Surface Threat Intelligence Reportは伝えています。
ゾンビデバイスやソフトウェアは、セキュリティ負債の一形態でもあり、組織の半数以上(58%)が、既知の脆弱性があるにもかかわらずパッチが適用されていない、または更新されていない技術について深刻または中程度の懸念を抱いていると、Invantiの「State of Cybersecurity Exposure Management」レポートは報告しています。それにもかかわらず、組織は管理されていない技術を生み出し続けており、例えば半数以上(51%)がサポート終了後のソフトウェアを運用しています。
ゾンビコード、アンデッドハードウェア
ゾンビソフトウェアとデバイスは、いずれも企業にとって問題です。
アプリケーションセキュリティ企業Black Duckがスキャンしたコードベースの9割には、現行リリースより10バージョン以上古いオープンソースコンポーネントが含まれており、91%のコードベースで過去2年間開発活動のないパッケージが見つかっています。同社によれば、平均的なアプリケーションに含まれるオープンソースファイル数は4倍に増えています。
ほとんどのコードベースには、4年以上更新されていないパッケージが少なくとも1つ含まれており、開発者はその存在に気付いていない可能性があります。出典:Black Duck
これらゾンビコードベースの大多数(81%)に少なくとも1つの重大な脆弱性が含まれているため、ソフトウェアは高リスクの負債となっていると、Black Duckのシニアセキュリティソリューションマネージャー、マイク・マグワイア氏は述べています。
「これは巨大で管理されていない古いコードの集団です」と彼は言います。「コンポーネントが多いほど攻撃対象領域が広がり、ゾンビコードが隠れる場所も増えます。」
管理されていないハードウェアもまた大きなリスクであり、通常はデバイスのソフトウェアが更新されなくなるためですが、提供するサービスへのアクセスを管理するセキュリティ制御も更新されなくなるためです。平均的な組織では、毎月300以上の新しいサービスが公開されており、高度・重大な脆弱性の3分の1を占めていると、Palo Alto Networksの調査は報告しています。
これらのデバイスは発見が難しいことが多いと、Palo Alto Networksのスコット氏は言います。
「以前そのデバイスを知っていた最後の担当者が退職してしまい、誰もそれが何なのか、どこにあるのか分からないハードウェアが見つかることがあります」と彼は言います。深刻な脆弱性や認証の問題が発覚すれば、パッチ適用の優先順位が上がるとスコット氏は述べます。しかし彼は続けて、「古いものがたくさんあり、会社が『それを追跡するには多大な労力がかかるから、あまり気にしない』と判断してしまうケースも多い」と語ります。
アンデッドクラウドインフラ
クラウドインフラは、攻撃対象領域の管理をさらに複雑にしています。
毎日UTCの深夜、無料のデジタル証明書サービス「Let’s Encrypt」は自身のゾンビ問題に直面します。ドメイン名の有効期限が切れた組織のハードウェア、動的DNSドメインを持つ家庭ユーザー、古いウェブサービスの廃止を怠った管理者のハードウェアが目覚め、サーバーに証明書更新リクエストを送信します。これらのリクエストは無効なため、証明書が発行されることはありません。
しかし、このサービスは6億7千万枚の有効な証明書をカバーしているため、ゾンビクライアントが占める割合が少なくても、かなりのリソースを消費すると、Let’s Encryptのシニアソフトウェアエンジニア、サマンサ・フランク氏は記しています。
「人間と違い、ソフトウェアは同じ作業に何度も失敗しても諦めたり、やり方を変えたりしません」と彼女は書いています。自動化は「更新が成功する場合は素晴らしいですが、忘れ去られたクライアントやデバイスが何ヶ月、時には何年も失敗し続けてリクエストを送り続けることも意味します。」
この問題を解決するため、組織はレート制限を導入し、アカウントとホスト名のペアを一時停止して、更新リクエストを即座に拒否するようにしています。
他のゾンビインフラにはアプリケーションプログラミングインターフェース(API)も含まれます。全体として、2024年にはAPIへの攻撃が41%増加し、「シャドウAPI」や「ゾンビAPI」(それぞれ「未記載」および「忘れ去られた」エンドポイントと定義)が、ビジネスロジックの欠陥や機密データへの攻撃を検知されずに実行できるようになっていると、クラウドセキュリティ企業Radwareの 2025 Cyber Threat Reportは報告しています。
企業はしばしばAPIの新バージョンを導入し、後方互換性のために旧バージョンを残しますが、その後レガシーコードの廃止を忘れてしまうと、Radwareのサイバー脅威インテリジェンス担当副社長パスカル・ギーネンス氏は述べています。
「通常、これらのゾンビAPIは何年も前に書かれたもので、同じ制御や安全なコードで書かれていない場合が多いです。会社が以前使っていたC++から、より安全なプログラミング言語であるRustに切り替えたかもしれません」と彼は言います。
AIの急速な導入がゾンビを生む
パイロットAIプロジェクトの急速な開発により、企業には重大なセキュリティ負債――実際の企業データに接続されたままアクセス可能なゾンビサービス――が残されています。例えば、エクスポージャー管理企業Tenableの顧客の一社は、Microsoft Copilotから移行したものの、ネットワークをスキャンしたところ「数十のエンドポイント」が依然としてインターネットからアクセス可能な状態で残っていたと、同社プロダクト担当副社長トマー・アヴニ氏は述べています。
忘れ去られたAIサービスには、さまざまな欠陥や設定ミスが影響を及ぼす可能性があります。出典:Tenable
「基本的に、インターネット上の誰もがこれらのエージェントと通信し、機密データを問い合わせることができたのです」と彼は言います。そして、企業はMicrosoft Copilot Enterpriseから移行していたため、問題を修正する権限がなかったと説明します。
現在、組織の大多数はAIワークロードを運用中(55%)または試験運用中(34%)であり、3分の1はすでにAI関連の侵害を経験していると、Tenableの「State of Cloud and AI Security 2025」レポートは報告しています。
ゾンビサービス、デバイス、コードへの対策には自動化が鍵となります。例えば、ソフトウェアのパッケージマニフェストをスキャンするだけでは十分ではありません。なぜなら、脆弱性の約3分の2は推移的(他のソフトウェアパッケージにインポートされたパッケージ内で発生)だからです。マニフェストのスキャンでは依存関係の約77%しか検出できないと、Black Duckのマグワイア氏は述べています。
「古く、かつ重大なリスクの脆弱性を含むコンポーネントに集中し、それ以外は優先度を下げましょう」と彼は言います。「オープンソースコンポーネントには厳格かつ定期的な更新サイクルを導入してください。サードパーティライブラリのメンテナンスも自社コードと同じ厳格さで扱う必要があります。」
AIはさらに複雑な問題をもたらすと、Tenableのアヴニ氏は言います。AIサービスはさまざまなエンドポイントにまたがっており、SaaS型、アプリケーション統合型、エンドポイント上で動作するAIエージェントなどがあります。さらに、AIエージェントはサードパーティサービスと頻繁に接続するため、機密データが信頼できない環境にさらされる可能性もあります。例えば、Cursorを使い、DeepSeekの基盤AIモデルに接続する開発者は、ポリシー違反となる場合があります。
セキュリティチームは、社内全体と従業員が利用するサービスにわたってシャドウAIやゾンビエンドポイントを探し出す必要があります。ネットワークトラフィックだけを見ても不十分であり、インフラ全体にセンサーを分散配置することが重要だとアヴニ氏は述べます。
「これは従来経験してきたものよりはるかに大きな課題です。なぜなら、解決策がさまざまな人やグループにまたがるからです」とアヴニ氏は言います。「時にはセキュリティチームが分断されていて、エンドポイント担当、クラウド担当などがいますが、この問題は全員が一堂に会して一緒に取り組む必要があるのです。」
翻訳元: https://www.darkreading.com/cyber-risk/zombie-projects-rise-again-undermine-security
