ペネトレーションテスターは見た! 第3回「ペンテスターだって負ける日もある。だって人間だもの。」
実は、筆者の10年以上の長いペネトレーションテスターキャリアにおいて、これが初めての負け試合だった。そして、まだこの時点ではさらに半年後にまさか2つ目が待っていようとは筆者自身知る由もなかったのである。
特集
コラム
「海から上がったら昆布絡まった画像」を見てもらえれば思い出してもらえると思うが、この 1 年余りの間に弊社(といっても私しかいない (註 1 ) が)におきた出来事をお話したいと思う。タイトルで察して頂けたかもしれないが、今回はペネトレーションテスターとしての敗北、つまり「侵入できなかった」話だ。
(註 1 )正確には私しかいなかった。今年の 4 月に従業員の採用をしたので現在は社員 3 名!
■敗北の日は突然に
丁度前回の記事が公開された翌月のことである。とある企業からセキュリティ診断(ペンテスト)の相談を頂いたのでお打合せに伺った。今回の相談は、スマートフォンアプリの API に対する診断だ。API の診断なら Web アプリの診断と(ほぼ)同様の工程 (註 2 ) で作業もできるし、検出される脆弱性も似たようなもの (註 3 ) で、ただちょっと作業そのものの効率化ができるかどうか微妙 (註 4 ) だった。
(註 2 )通常の Web アプリの診断と違ってアプリでの検証の場合 SSL/TLS の通信のインターセプトができるかどうか微妙なケースがある。
(註 3 )とはいえ、サーバからのレスポンスをアプリが受け取った際の挙動が仕様通りかどうかの判断が難しいケースがある。API 診断の場合は事前の調整で API の仕様などを公開してもらうケースが多い。今回も公開してもらえるように調整を行った。
(註 4 )API そのものに認証トークンや改ざん検知の signature などが付いている場合、繰り返し送信する事が難しくなるので手間が通常よりもかかることがある。
打合わせをしてみると、いつも通り診断ができそうだと分かったため、依頼企業から検証用アプリをもらって自社の検証用 iPhone にインストール & 疎通の確認まであっさりと完了した。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威
Microsoft Windows の iphlpsvc.dll におけるファイル作成処理の不備に起因する任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、IPv6 の機能を担う DLL である iphlpsvc.dll を起点として、任意のファイルが書き換え可能となる脆弱性が報告されています。
-
英で個人事業主に税金還付騙る詐欺大量発生 - 電話・メール・Web・検索結果、手口の詳細と対策(The Register)
英国歳入関税庁( HMRC )によると、詐欺師たちは個人事業主をいい標的だと考えており、税金の還付を騙ってさまざまな詐欺を働いているという。
-
企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。
-
双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary]
ラジコン機器や金型などで知られる双葉電子工業のフィリピン子会社が、マルウェア感染により同社のPCからメールアドレスが窃取されたことを発表しました。Emotet (エモテット)に類似しているスパムメールを受信したことで、アンチウイルスソフトが検出したとのことです。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

「Athenz」にフィッシングなどに遭う脆弱性(JVN)

WordPress用プラグイン「Custom Body Class」に複数の脆弱性(JVN)

アカウント更新や口座の制限解除を理由に誘導する、みずほ銀行偽メール(フィッシング対策協議会)

マイクロソフトが12月のセキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

Appleが7製品11バージョンのセキュリティアップデートを公開(JVN)

Intelが複数の製品に対するアップデートを公開(JVN)
インシデント・事故 記事一覧へ

FAX誤送信、顧客の貯金残高等が流出(JA高知県)

「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール)

別人の遺児手当所得状況届を同封し誤送付、発送時ダブルチェックも見逃す(名古屋市)

同一町内で苗字が同じ別人へ書類誤配布、今後「指差喚呼」を徹底(名古屋市)

再利用封筒内に書類が残入、会費収納済通知書を別人に誤配(新潟県)

水防警報伝達メール誤送信、過去3ヶ月間に16回発生(新潟県)
調査・レポート・白書 記事一覧へ

ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所)

「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA)

2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所)

日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス)
研修・セミナー・カンファレンス 記事一覧へ

KOOV(R)を使用した「親子でプログラミング」レポート(トレンドマイクロ)

SNS上で犯罪行為をほのめかす投稿、ユーザー参加型イベントを中止(バンダイナムコオンライン)

PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用

「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ)
製品・サービス・業界動向 記事一覧へ

サプライチェーン含むセキュリティ指針の監査支援サービス(ニュートン・コンサルティング)

「IIJセキュアエンドポイントサービス」にEDR機能のオプション(IIJ)

サイバーセキュリティセンター開設、スペシャリスト育成と研究に活用(日立ほか)

Instagramの安全な使い方や機能を学べるガイドを配布(Facebook)

脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス)
おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣)

編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
