ペネトレーションテスターは見た! 第3回「ペンテスターだって負ける日もある。だって人間だもの。」 | ScanNetSecurity
2019.12.14(土)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

ペネトレーションテスターは見た! 第3回「ペンテスターだって負ける日もある。だって人間だもの。」

実は、筆者の10年以上の長いペネトレーションテスターキャリアにおいて、これが初めての負け試合だった。そして、まだこの時点ではさらに半年後にまさか2つ目が待っていようとは筆者自身知る由もなかったのである。

特集 コラム
 前回の記事をやっとの思いで見つけた所、なんと 2017 年 5 月となっていた。1 年以上も筆を放り投げてしまっていた状態だったことになるが、読者の皆さんは筆者のことを覚えていてくれているだろうか。

 「海から上がったら昆布絡まった画像」を見てもらえれば思い出してもらえると思うが、この 1 年余りの間に弊社(といっても私しかいない (註 1 ) が)におきた出来事をお話したいと思う。タイトルで察して頂けたかもしれないが、今回はペネトレーションテスターとしての敗北、つまり「侵入できなかった」話だ。

(註 1 )正確には私しかいなかった。今年の 4 月に従業員の採用をしたので現在は社員 3 名!

■敗北の日は突然に

 丁度前回の記事が公開された翌月のことである。とある企業からセキュリティ診断(ペンテスト)の相談を頂いたのでお打合せに伺った。今回の相談は、スマートフォンアプリの API に対する診断だ。API の診断なら Web アプリの診断と(ほぼ)同様の工程 (註 2 ) で作業もできるし、検出される脆弱性も似たようなもの (註 3 ) で、ただちょっと作業そのものの効率化ができるかどうか微妙 (註 4 ) だった。

(註 2 )通常の Web アプリの診断と違ってアプリでの検証の場合 SSL/TLS の通信のインターセプトができるかどうか微妙なケースがある。

(註 3 )とはいえ、サーバからのレスポンスをアプリが受け取った際の挙動が仕様通りかどうかの判断が難しいケースがある。API 診断の場合は事前の調整で API の仕様などを公開してもらうケースが多い。今回も公開してもらえるように調整を行った。

(註 4 )API そのものに認証トークンや改ざん検知の signature などが付いている場合、繰り返し送信する事が難しくなるので手間が通常よりもかかることがある。

 打合わせをしてみると、いつも通り診断ができそうだと分かったため、依頼企業から検証用アプリをもらって自社の検証用 iPhone にインストール & 疎通の確認まであっさりと完了した。

《株式会社キーコネクト 代表取締役 利根川義英》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Athenz」にフィッシングなどに遭う脆弱性(JVN) 画像

「Athenz」にフィッシングなどに遭う脆弱性(JVN)
WordPress用プラグイン「Custom Body Class」に複数の脆弱性(JVN) 画像

WordPress用プラグイン「Custom Body Class」に複数の脆弱性(JVN)
アカウント更新や口座の制限解除を理由に誘導する、みずほ銀行偽メール(フィッシング対策協議会) 画像

アカウント更新や口座の制限解除を理由に誘導する、みずほ銀行偽メール(フィッシング対策協議会)
マイクロソフトが12月のセキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC) 画像

マイクロソフトが12月のセキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)
Appleが7製品11バージョンのセキュリティアップデートを公開(JVN) 画像

Appleが7製品11バージョンのセキュリティアップデートを公開(JVN)
Intelが複数の製品に対するアップデートを公開(JVN) 画像

Intelが複数の製品に対するアップデートを公開(JVN)

インシデント・事故 記事一覧へ

FAX誤送信、顧客の貯金残高等が流出(JA高知県) 画像

FAX誤送信、顧客の貯金残高等が流出(JA高知県)
「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール) 画像

「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール)
別人の遺児手当所得状況届を同封し誤送付、発送時ダブルチェックも見逃す(名古屋市) 画像

別人の遺児手当所得状況届を同封し誤送付、発送時ダブルチェックも見逃す(名古屋市)
同一町内で苗字が同じ別人へ書類誤配布、今後「指差喚呼」を徹底(名古屋市) 画像

同一町内で苗字が同じ別人へ書類誤配布、今後「指差喚呼」を徹底(名古屋市)
再利用封筒内に書類が残入、会費収納済通知書を別人に誤配(新潟県) 画像

再利用封筒内に書類が残入、会費収納済通知書を別人に誤配(新潟県)
水防警報伝達メール誤送信、過去3ヶ月間に16回発生(新潟県) 画像

水防警報伝達メール誤送信、過去3ヶ月間に16回発生(新潟県)

調査・レポート・白書 記事一覧へ

ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト) 画像

ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)
3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート) 画像

3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)
個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所) 画像

個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所)
「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA) 画像

「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA)
2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所) 画像

2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所)
日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス) 画像

日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス)

研修・セミナー・カンファレンス 記事一覧へ

KOOV(R)を使用した「親子でプログラミング」レポート(トレンドマイクロ) 画像

KOOV(R)を使用した「親子でプログラミング」レポート(トレンドマイクロ)
SNS上で犯罪行為をほのめかす投稿、ユーザー参加型イベントを中止(バンダイナムコオンライン) 画像

SNS上で犯罪行為をほのめかす投稿、ユーザー参加型イベントを中止(バンダイナムコオンライン)
PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング) 画像

PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)
企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと 画像

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用 画像

クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用
「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ) 画像

「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ)

製品・サービス・業界動向 記事一覧へ

サプライチェーン含むセキュリティ指針の監査支援サービス(ニュートン・コンサルティング) 画像

サプライチェーン含むセキュリティ指針の監査支援サービス(ニュートン・コンサルティング)
「IIJセキュアエンドポイントサービス」にEDR機能のオプション(IIJ) 画像

「IIJセキュアエンドポイントサービス」にEDR機能のオプション(IIJ)
サイバーセキュリティセンター開設、スペシャリスト育成と研究に活用(日立ほか) 画像

サイバーセキュリティセンター開設、スペシャリスト育成と研究に活用(日立ほか)
Instagramの安全な使い方や機能を学べるガイドを配布(Facebook) 画像

Instagramの安全な使い方や機能を学べるガイドを配布(Facebook)
脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー) 画像

脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)
UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス) 画像

UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×