AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD) | ScanNetSecurity
2024.03.19(火)

AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)

5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。

研修・セミナー・カンファレンス セミナー・イベント
5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。

検証用 Web サービスは、プロフィールを登録して日記を書いたり、友達とメールのやりとりをするような、一般的 SNS を模して作られており、登録されているデータは全てダミーデータ。攻撃に用いたのは、誰でも入手可能なフリーツール sqlmap で、主にセキュリティ診断用途に開発されているが、他のあらゆるソフトウェアと同様に悪用することが可能だ。

sqlmap を用いてデータベースから、「ID」「性別」「パスワード」を抜き出すまでにかかった時間は 3 分から 4 分程度で、本誌の取材に対し、攻撃デモを行った同社 プロフェッショナルサービス事業部 セキュリティエバンジェリスト 山谷 晶英 氏は「今回のデモは、広く出回っている sqlmap の基本的なオプションだけを使用して行ったもので、高度なハッキング知識を有さずとも、sqlmapを使えば誰でも攻撃することが可能。Webサービスをリリースする前に脆弱性診断を実施し、検出された脆弱性を修正してからサービスインするのは当然ながら、リリース後にこうした攻撃を検知して防ぐためにはWebサービスに対する攻撃の監視を行う必要がある」と語った。

AWS はかねてよりセキュリティに関して「責任共有モデル」を提唱、「AWS がクラウド【の】セキュリティを管理している一方で、クラウドに【おける】セキュリティはお客様の責任となります」と明記しており、インフラ部分の安全は AWS が守る一方で、アプリケーションやそのコンテンツはユーザ側でセキュリティを担保する必要がある。

MBSD が提供する「Alert Logic」は、AWS ユーザ企業向けに IDS、WAF、SIEM をオールインワンしたパッケージサービスで、特に MBSD SOC による 24 時間 365 日の監視サービスが付帯している点が特徴。インフラ監視事業者の延長サービスとしての SOC では無く、大規模事業者を主要顧客層として西暦 2001 年から SOC サービスを提供してきたノウハウを月額課金制で利用でき、大手 Web サービスなどへの採用実績が出始めているという。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×