In its third quarter of 2025, Qualys, Inc. saw significant revenue growth of 10% year-over-year, prompting an increase in its financial guidance for the year. The company's success reflects its innovative cloud-based security solutions.

Qualys, Inc. announces the addition of Bradford L. Brooks to its Board of Directors, bringing extensive expertise in cybersecurity and SaaS to bolster growth and governance.

Alan speaks with Shailesh Athalye, senior vice president of product management at Qualys, about how AI, automation, and integrated platforms are redefining the way enterprises approach cybersecurity and risk management. Athalye notes that many organizations still operate in fragmented security environments—managing a patchwork of tools that generate endless alerts but little insight. The challenge, he..

Introduction: The cybersecurity skills gap presents a formidable challenge for organizations worldwide, creating unprecedented opportunities for professionals who possess the right credentials. Qualys, a leader in cloud security and compliance solutions, offers a comprehensive suite of free training courses that provide foundational knowledge in critical security domains, from vulnerability management to cloud security assessment. Learning Objectives: Identify and utilize free resources for advancing cybersecurity knowledge and credentials.

Botnets exploit PHP flaws and cloud misconfigurations, launching 20 Tbps DDoS and large-scale credential attacks.

サイバーセキュリティ研究者らは、Mirai、Gafgyt、Moziなど様々なボットネットによるPHPサーバー、IoTデバイス、クラウドゲートウェイを標的とした自動化攻撃の急増に注意を呼びかけている。 「これらの自動化キャンペーンは、既知のCVE脆弱性やクラウドの設定ミスを悪用し、公開されたシステムを乗っ取ってボットネットネットワークを拡大しています」と、Qualys脅威リサーチユニット（TRU）はThe Hacker Newsに共有したレポートで述べている。 サイバーセキュリティ企業によると、WordPressやCraft CMSなどのコンテンツ管理システムが広く利用されていることから、PHPサーバーがこれらの攻撃の最も顕著な標的となっているという。これにより、多くのPHP導入環境が設定ミス、古いプラグインやテーマ、そして安全でないファイル保存などの問題を抱え、大きな攻撃対象面が生まれている。 脅威アクターによって悪用されているPHPフレームワークの主な脆弱性は以下の通り： CVE-2017-9841 - PHPUnitにおけるリモートコード実行の脆弱性 CVE-2021-3129 - Laravelにおけるリモートコード実行の脆弱性 CVE-2022-47945 - ThinkPHP Frameworkにおけるリモートコード実行の脆弱性 Qualysによれば、HTTP GETリクエストで「/?XDEBUG_SESSION_START=phpstorm」というクエリ文字列を使用し、PhpStormのような統合開発環境（IDE）でXdebugデバッグセッションを開始する手法も観測されているという。 「Xdebugが本番環境で意図せず有効になっている場合、攻撃者はこれらのセッションを利用してアプリケーションの挙動を把握したり、機密データを抽出したりする可能性があります」と同社は述べている。 CVE-2022-22947 - Spring Cloud Gatewayにおけるリモートコード実行の脆弱性 CVE-2024-3721 - TBK DVR-4104およびDVR-4216におけるコマンドインジェクションの脆弱性 MVPower TV-7104HE DVRの設定ミスにより、認証されていないユーザーがHTTP GETリクエストを介して任意のシステムコマンドを実行可能 Qualysによると、スキャン活動はAmazon Web Services（AWS）、Google Cloud、Microsoft Azure、Digital Ocean、Akamai Cloudなどのクラウドインフラから発信されていることが多く、脅威アクターが正規のサービスを悪用しつつ、真の発信元を隠蔽していることを示している。 「今日の脅威アクターは、高度な技術を持たなくても効果的な攻撃が可能です」と同社は指摘する。「広く利用可能なエクスプロイトキット、ボットネットフレームワーク、スキャンツールがあれば、初心者レベルの攻撃者でも大きな被害をもたらすことができます。」 この脅威から身を守るためには、デバイスを常に最新の状態に保ち、本番環境から開発・デバッグツールを削除し、AWS Secrets ManagerやHashiCorp Vaultで機密情報を保護し、クラウドインフラへの公開アクセスを制限することが推奨されている。 「ボットネットはこれまで大規模なDDoS攻撃や時折発生する暗号通貨マイニング詐欺と関連付けられてきましたが、アイデンティティセキュリティ脅威の時代には、脅威エコシステムにおいて新たな役割を担うようになっています」とBeyondTrustのフィールドCTO、James Maude氏は述べている。 「ルーターやそのIPアドレスの広大なネットワークにアクセスできれば、脅威アクターは大規模なクレデンシャルスタッフィングやパスワードスプレー攻撃を実行できます。ボットネットは、ユーザーの認証情報を盗んだりブラウザセッションをハイジャックしたりして、被害者の実際の場所に近いボットネットノードや、場合によっては同じISPを利用することで、異常なログイン検出やアクセス制御を回避することも可能です。」 この情報公開は、NETSCOUTがDDoS-for-hireボットネットであるAISURUを、20テラビット毎秒（Tbps）を超えるDDoS攻撃を実行可能な新種マルウェア「TurboMirai」と分類したことを受けてのものだ。このボットネットは主に家庭用ブロードバンドルーター、オンラインCCTVやDVRシステム、その他の顧客宅内機器（CPE）で構成されている。 「これらのボットネットは、専用のDDoS攻撃機能や多目的機能を追加し、DDoS攻撃だけでなく、クレデンシャルスタッフィング、AI駆動のウェブスクレイピング、スパム、フィッシングなどの不正行為も可能にしています」と同社は述べている。 「AISURUは、外部攻撃ツールによって生成されたHTTPSアプリケーション層DDoS攻撃を反射するために使用される、オンボードの住宅用プロキシサービスを含んでいます。」 侵害されたデバイスを住宅用プロキシに変えることで、支払いを行った顧客はボットネット内のノードを経由してトラフィックをルーティングでき、匿名性と通常のネットワーク活動に紛れる能力を得られる。独立系セキュリティジャーナリストのBrian Krebs氏によれば、主要なプロキシサービスは過去6ヶ月間で爆発的に成長しており、spur.usのデータを引用している。 翻訳元:

サイバーセキュリティ研究者によって、PHPサーバー、IoT（モノのインターネット）デバイス、クラウドゲートウェイを標的とした攻撃の急増が確認されました。 本日発表されたQualys Threat Research Unit（TRU）の最新レポートは、この増加の原因をMirai、Gafgyt、Moziといったボットネットによるものとし、これらが既知のCVEやクラウドの設定ミスを悪用して勢力を拡大しているとしています。 PHPはウェブサイトの73%以上で使用されており、企業の82%がクラウド設定ミスに関連するインシデントを報告しているため、デジタル攻撃の対象範囲は拡大し続けています。これにより、WordPressなどPHPベースのアプリケーションを稼働させているサーバーは、リモートコード実行（RCE）やデータ窃取を狙う攻撃者にとって特に魅力的な標的となっています。 「ルーターやIoTデバイスは長年にわたり標的とされ、ますます大規模なボットネットの一部として侵害されてきました」とBeyondTrustのフィールドCTO、James Maude氏は述べています。 「約10年前、Miraiボットネットの台頭を目の当たりにしましたが、これは当初60種類のデフォルトユーザー名とパスワードを悪用して大量のデバイスにログインし、感染させていました。」 彼はまた、歴史は繰り返さないが「ルーターの侵害とボットネットに関しては、しばしば韻を踏む」と付け加えました。 現在進行中の主な脆弱性 Qualysは、現在実際に悪用されている複数の脆弱性を強調しています： CVE-2022-47945：ThinkPHPにおける不適切な入力サニタイズによるRCEの脆弱性 CVE-2021-3129：本番環境で有効なままのLaravel Ignitionデバッグルート CVE-2017-9841：eval-stdin.phpスクリプトを露出させる長年のPHPUnitの脆弱性 攻撃者はまた、XDebugなどの有効なデバッグツールや不適切に保存されたシークレットといった安全でない設定も悪用しています。 Qualysの研究者は、公開されたLinuxサーバーからAmazon Web Services（AWS）の認証情報ファイルを取得しようとする試みが頻繁に見られると指摘しています。 クラウド設定ミスのリスクについてさらに読む：ハッカーが不適切に公開されたAWS認証情報を持つ公開ウェブサイトの設定ミスを悪用 IoTとクラウドシステムは依然として危険にさらされている IoTデバイスは、特に古いファームウェアを使用しているものが、依然として持続的な弱点となっています。レポートでは、Miraiのようなボットネットによって悪用されているTBK DVRのコマンドインジェクション脆弱性（CVE-2024-3721）や、バックドアを内蔵したMVPower DVRを標的とした類似の攻撃が挙げられています。 「ボットネットはこれまで大規模なDDoS攻撃や時折発生する暗号通貨マイニング詐欺と関連付けられてきましたが、アイデンティティセキュリティ脅威の時代において、脅威エコシステムで新たな役割を担うようになっています」とMaude氏は述べています。 彼は、侵害されたルーターの膨大なネットワークへのアクセスにより、攻撃者が大規模なクレデンシャルスタッフィングやパスワードスプレー攻撃を実行できると説明しました。 クラウドネイティブ環境もリスクにさらされており、Spring Cloud GatewayのCVE-2022-22947により、認証なしでコード実行が可能となっています。 「かつてセキュリティチームは、運用データやシステムが存在するデータセンターを完全に管理していました」とBugcrowdのチーフストラテジー＆トラストオフィサー、Trey Ford氏は述べています。 「現代のクラウドネイティブやインフラストラクチャ・アズ・コードの時代では、開発者がセキュリティチームが把握するよりも早くサービスやインフラを立ち上げ、接続できるようになっています。」 Ford氏は「攻撃対象領域を常に最新の状態に保つことは、重要な能力である」と強調し、「見えないもの、変化を特定できないものを、どうやって守れるのか？」と付け加えました。 悪用への耐性を構築する iCOUNTERのパートナーGTM、Scott Schneider氏は「リスクベースの脆弱性管理（RBVM）は、増え続ける脆弱性リストに対処する効果的な方法です」と述べました。 資産の重要度、脅威の可能性、露出度を評価することで、組織は「最も差し迫った深刻なリスクをもたらす脆弱性に修正作業を集中できる」と説明しています。 露出を減らすために、Qualysは以下も推奨しています： ソフトウェアやフレームワークの迅速なパッチ適用 本番環境での開発・デバッグツールの無効化 プレーンテキストファイルではなく、管理されたストアでのシークレット管理 ネットワークアクセスを必要最小限のIPに制限 クラウドアクセスログによる認証情報の不正使用の監視 Qualysは、攻撃者がもはや高度なスキルを必要とせずに影響力のある攻撃を仕掛けられるようになったと結論付けています。 「広く出回っているエクスプロイトキットやスキャンツールにより、初心者レベルの攻撃者でも大きな被害をもたらすことができます」と研究者らは述べています。 同社は、PHPサーバー、IoTデバイス、クラウドシステムを継続的な悪用から守るため、組織に対して継続的な可視化と自動修復の導入を強く求めています。 翻訳元:

Alan catches up with Eran Livne, senior director of endpoint remediation at Qualys, to discuss how organizations are evolving from vulnerability detection to true automated remediation. Livne, who helped build Qualys’ remediation platform from the ground up, reflects on how the industry’s approach to vulnerability management has changed. For years, the focus was on scanning..

パートナーコンテンツ サイバーリスクが高まり続ける中、多くの組織ではサイバーセキュリティへの投資と実際のリスク低減との間にギャップが生じています。セキュリティ予算の増加、正式なサイバーリスクプログラムの導入、新しいフレームワークの採用にもかかわらず、最近のデータはこれらの取り組みがリスクプロファイルの低減に繋がっていないことを示しています。 Dark Readingによる Qualys サイバーリスクの現状レポート によると、組織の71％がサイバーリスクレベルの上昇（51％）または横ばい（20％）を報告しており、減少を経験しているのはわずか6％です。ほぼ半数（49％）の組織が正式なサイバーリスクプログラムを持っていますが、業界としてはまだ初期段階にあります。特に、これらのプログラムの43％は導入から2年以内、19％はまだ計画段階です。 これらのプログラムの3分の1未満しかビジネス目標と連携しておらず、重大なミスマッチが明らかになっています。これはしばしば、ツールやチームの分断、優先順位の対立、統合された可視性の不足などの課題に起因します。その結果、サイバーリスクがますますビジネスの課題となっているにもかかわらず、多くの組織は依然として技術的な問題として扱っており、断片的かつ非効率的なリスク管理となり、デジタルトランスフォーメーションとAI主導の脅威が加速する中で企業を脆弱にしています。 欠けている指標：ビジネス文脈を取り入れたサイバーリスク管理 リスク管理をビジネス目標に結びつけない限り、組織は「サイバーリスク・モグラ叩き」を続けることになり、戦略的な枠組みなしに脅威に対応し続けることになります。データによると、約5分の1の組織が依然としてCVSSのような単一スコアの脆弱性評価に頼っており、ビジネス運用のニュアンスを無視しています。例えば、CVSSスコア10の脆弱性があればすぐに修正が必要に思えますが、その欠陥が孤立したサーバーにしか存在しない場合、ビジネスにとって重大なリスクとは限りません。リスクは、ビジネスの健全性にどれほど影響を与えるかという文脈でのみ正確に評価できます。 リアクティブでコンプライアンス重視のアプローチや、静的評価、分断されたテレメトリー、CVSSベースの優先順位付けといった従来の一律評価手法は、今日のサイバーリスク環境では効果的ではありません。これらの方法は現実世界での影響を評価できず、ビジネスとの連携にギャップを生じさせます。 経営層はセキュリティの議論の際、脆弱性のリスト以上のものを求めています。彼らは何がリスクにさらされているのか、どのように保護されているのかについての洞察を求めています。これには、業務の中断、規制による罰則、評判の損失といった広範な影響の理解も含まれます。 ここでの重要なポイントは、リスクの優先順位付けは技術的な議論ではなく、ビジネスの議論でなければならないということです。これには、サイバーリスクの議論に非セキュリティ部門（財務、オペレーション、取締役会）を巻き込む必要があります。こうした議論を拡大することで、従来の文脈的リスクスコアリングを超え、資産価値、悪用可能性、ビジネス全体への影響に基づいて優先順位を付けることが可能になります。 資産の可視化と文脈に基づく優先順位付けは、効果的なリスク軽減のために不可欠です。しかし、90％の組織がサイバーリスクの発見を取締役会に報告している一方で、統合されたリスクシナリオを使用しているのはわずか18％、リスクレポートを財務定量化に結びつけているのは14％に過ぎません。ビジネス部門が関与するのは半分以下で、財務部門がサイバーリスクの議論に参加しているのは22％のみです。 その結果、セキュリティチームはリスクデータを分かりやすいビジネスインサイトに変換するのに苦労し、リスク軽減を複雑にするコミュニケーションの壁を生み出しています。 スマートなリスク優先順位付けにおけるROCの役割 リスク管理にビジネス文脈を取り入れるため、先進的なセキュリティチームは Qualysのリスクオペレーションセンター（ROC） のようなモデルを採用しています。このフレームワークは、ビジネスリスクの文脈で検知・評価・軽減を統合し、重大度優先のモデルを、悪用可能性・資産の重要性・ビジネスへの波及効果を重視した文脈的スコアリングに置き換えます。 ROCは、サイバーセキュリティを運用・財務リスクと統合する中央集約型のクロスファンクショナルハブとして機能します。リスク要素を1つのプラットフォームに統合することで、継続的な脅威曝露管理を簡素化し、サイバーリスクを財務的な観点で定量化し、リアルタイムでの優先順位付けと対応をオーケストレーションできます。 セキュリティ、IT、財務、コンプライアンス間の壁を取り払い、ROCは全社的な協力と統一されたリスク軽減アプローチを促進します。QualysのROCは、関係者のための共通言語とリアルタイムインサイトを提供し、各組織の独自のリスクプロファイルと優先順位に合わせたプロアクティブなリスク軽減を可能にします。これにより、技術的な重大度よりもビジネスへの影響を優先した対応が実現します。 ROCフレームワークは、断片的なツールから包括的なリスク軽減戦略への転換を示します。侵害が発生する前の組織のリスク曝露に焦点を当てています。2025年以降、このモデルを採用する組織は、よりレジリエントで資本効率が高く、運用面でも効果的になるでしょう。 サイバーリーダーのための戦略的ポイント サイバー犯罪者がAIや機械学習を活用してより巧妙な攻撃を仕掛ける中、リスクはかつてないほど高まっています。今日のサイバーリスク環境では、コンプライアンス主導のチェックリストから文脈を考慮した戦略への転換が求められています。企業は、最も目立つリスクではなく、最も重大なリスクを優先しなければなりません。 サイバーリスク管理の未来は、文脈、協働、そしてサイバーセキュリティを中核的なビジネス機能として統合する戦略にあります。これには文化的な変革が必要です。セキュリティリーダーは技術的な専門用語をビジネスに関連したインサイトに置き換え、サイバーセキュリティの現実的な影響を経営層や取締役会に伝え、賛同を得る必要があります。 脅威が進化する中、ビジネスへの影響に基づいてリスクの優先順位を付けるセキュリティリーダーが、最も効果的にリスクを軽減できる立場にあります。ROCのようなフレームワークを活用してセキュリティ運用をビジネスの優先事項と連携させることで、CISOは実際のリスク低減に向けて有効かつ戦略的な意思決定を行うことができます。 Qualysによる寄稿。 翻訳元:

Opérant dans un secteur très réglementé, Abeille Assurances doit veiller autant que possible à ce que ses données restent hors de portée des attaquants. Cela passe notamment par la gestion des vulnéra...