AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD) | ScanNetSecurity
2019.12.08(日)

AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)

5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。

研修・セミナー・カンファレンス セミナー・イベント
5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。

検証用 Web サービスは、プロフィールを登録して日記を書いたり、友達とメールのやりとりをするような、一般的 SNS を模して作られており、登録されているデータは全てダミーデータ。攻撃に用いたのは、誰でも入手可能なフリーツール sqlmap で、主にセキュリティ診断用途に開発されているが、他のあらゆるソフトウェアと同様に悪用することが可能だ。

sqlmap を用いてデータベースから、「ID」「性別」「パスワード」を抜き出すまでにかかった時間は 3 分から 4 分程度で、本誌の取材に対し、攻撃デモを行った同社 プロフェッショナルサービス事業部 セキュリティエバンジェリスト 山谷 晶英 氏は「今回のデモは、広く出回っている sqlmap の基本的なオプションだけを使用して行ったもので、高度なハッキング知識を有さずとも、sqlmapを使えば誰でも攻撃することが可能。Webサービスをリリースする前に脆弱性診断を実施し、検出された脆弱性を修正してからサービスインするのは当然ながら、リリース後にこうした攻撃を検知して防ぐためにはWebサービスに対する攻撃の監視を行う必要がある」と語った。

AWS はかねてよりセキュリティに関して「責任共有モデル」を提唱、「AWS がクラウド【の】セキュリティを管理している一方で、クラウドに【おける】セキュリティはお客様の責任となります」と明記しており、インフラ部分の安全は AWS が守る一方で、アプリケーションやそのコンテンツはユーザ側でセキュリティを担保する必要がある。

MBSD が提供する「Alert Logic」は、AWS ユーザ企業向けに IDS、WAF、SIEM をオールインワンしたパッケージサービスで、特に MBSD SOC による 24 時間 365 日の監視サービスが付帯している点が特徴。インフラ監視事業者の延長サービスとしての SOC では無く、大規模事業者を主要顧客層として西暦 2001 年から SOC サービスを提供してきたノウハウを月額課金制で利用でき、大手 Web サービスなどへの採用実績が出始めているという。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×