AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)

研修・セミナー・カンファレンス セミナー・イベント

5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。

検証用 Web サービスは、プロフィールを登録して日記を書いたり、友達とメールのやりとりをするような、一般的 SNS を模して作られており、登録されているデータは全てダミーデータ。攻撃に用いたのは、誰でも入手可能なフリーツール sqlmap で、主にセキュリティ診断用途に開発されているが、他のあらゆるソフトウェアと同様に悪用することが可能だ。

sqlmap を用いてデータベースから、「ID」「性別」「パスワード」を抜き出すまでにかかった時間は 3 分から 4 分程度で、本誌の取材に対し、攻撃デモを行った同社 プロフェッショナルサービス事業部 セキュリティエバンジェリスト 山谷 晶英 氏は「今回のデモは、広く出回っている sqlmap の基本的なオプションだけを使用して行ったもので、高度なハッキング知識を有さずとも、sqlmapを使えば誰でも攻撃することが可能。Webサービスをリリースする前に脆弱性診断を実施し、検出された脆弱性を修正してからサービスインするのは当然ながら、リリース後にこうした攻撃を検知して防ぐためにはWebサービスに対する攻撃の監視を行う必要がある」と語った。

AWS はかねてよりセキュリティに関して「責任共有モデル」を提唱、「AWS がクラウド【の】セキュリティを管理している一方で、クラウドに【おける】セキュリティはお客様の責任となります」と明記しており、インフラ部分の安全は AWS が守る一方で、アプリケーションやそのコンテンツはユーザ側でセキュリティを担保する必要がある。

MBSD が提供する「Alert Logic」は、AWS ユーザ企業向けに IDS、WAF、SIEM をオールインワンしたパッケージサービスで、特に MBSD SOC による 24 時間 365 日の監視サービスが付帯している点が特徴。インフラ監視事業者の延長サービスとしての SOC では無く、大規模事業者を主要顧客層として西暦 2001 年から SOC サービスを提供してきたノウハウを月額課金制で利用でき、大手 Web サービスなどへの採用実績が出始めているという。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

    C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

  2. DMARCの国内ISP導入事例

    DMARCの国内ISP導入事例

  3. サイバー犯罪対策、産学官連携の成果 -- JC3 間仁田氏報告

    サイバー犯罪対策、産学官連携の成果 -- JC3 間仁田氏報告

  4. CODE BLUEのハッキングコンテストで優勝、賞金2万ドルを獲得(NHNテコラス)

  5. 2017年8月25日 名和利男の目に映った光景

  6. イスラエル発の国際セキュリティ会議「Cybertech」、11月30日開催(Cybertech Tokyo 運営事務局)

  7. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第6回「キャッチアップ!2020に向けたメール運用」について語る

  8. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る

  9. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第7回「オフィス/公衆Wi-Fiのセキュリティと混雑解消に向き合おう」について語る

  10. 多様な攻撃から人とクルマを守る多層防御システムを提唱(デンソー)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×