ペネトレーションテスターは見た! 第3回「ペンテスターだって負ける日もある。だって人間だもの。」 | ScanNetSecurity
2023.01.31(火)

ペネトレーションテスターは見た! 第3回「ペンテスターだって負ける日もある。だって人間だもの。」

実は、筆者の10年以上の長いペネトレーションテスターキャリアにおいて、これが初めての負け試合だった。そして、まだこの時点ではさらに半年後にまさか2つ目が待っていようとは筆者自身知る由もなかったのである。

特集
筆者 株式会社キーコネクト 代表取締役 利根川 義英 氏、“ カンパイ ”の図
  • 筆者 株式会社キーコネクト 代表取締役 利根川 義英 氏、“ カンパイ ”の図
 前回の記事をやっとの思いで見つけた所、なんと 2017 年 5 月となっていた。1 年以上も筆を放り投げてしまっていた状態だったことになるが、読者の皆さんは筆者のことを覚えていてくれているだろうか。

 「海から上がったら昆布絡まった画像」を見てもらえれば思い出してもらえると思うが、この 1 年余りの間に弊社(といっても私しかいない (註 1 ) が)におきた出来事をお話したいと思う。タイトルで察して頂けたかもしれないが、今回はペネトレーションテスターとしての敗北、つまり「侵入できなかった」話だ。

(註 1 )正確には私しかいなかった。今年の 4 月に従業員の採用をしたので現在は社員 3 名!

■敗北の日は突然に

 丁度前回の記事が公開された翌月のことである。とある企業からセキュリティ診断(ペンテスト)の相談を頂いたのでお打合せに伺った。今回の相談は、スマートフォンアプリの API に対する診断だ。API の診断なら Web アプリの診断と(ほぼ)同様の工程 (註 2 ) で作業もできるし、検出される脆弱性も似たようなもの (註 3 ) で、ただちょっと作業そのものの効率化ができるかどうか微妙 (註 4 ) だった。

(註 2 )通常の Web アプリの診断と違ってアプリでの検証の場合 SSL/TLS の通信のインターセプトができるかどうか微妙なケースがある。

(註 3 )とはいえ、サーバからのレスポンスをアプリが受け取った際の挙動が仕様通りかどうかの判断が難しいケースがある。API 診断の場合は事前の調整で API の仕様などを公開してもらうケースが多い。今回も公開してもらえるように調整を行った。

(註 4 )API そのものに認証トークンや改ざん検知の signature などが付いている場合、繰り返し送信する事が難しくなるので手間が通常よりもかかることがある。


 打合わせをしてみると、いつも通り診断ができそうだと分かったため、依頼企業から検証用アプリをもらって自社の検証用 iPhone にインストール & 疎通の確認まであっさりと完了した。

《株式会社キーコネクト 代表取締役 利根川義英》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. FIRST Annual Conference 京都について

    FIRST Annual Conference 京都について

  2. 不正アクセスの痕跡を検出するログ解析ツール「ShowTOC」 〜ログ解析の現状と対策〜

    不正アクセスの痕跡を検出するログ解析ツール「ShowTOC」 〜ログ解析の現状と対策〜

  3. 進化する古典的手法 標的型メール攻撃、多段的分析でブロックするトレンドマイクロの「DDEI」

    進化する古典的手法 標的型メール攻撃、多段的分析でブロックするトレンドマイクロの「DDEI」

  4. ポート80セキュリティとは

  5. 工藤伸治のセキュリティ事件簿 シーズン 8 「レピュテーション攻撃の罠」 第18回 「エピローグ:サイバー アタック プリンセス」

  6. サイレントクーデター 超限政変:工藤伸治のセキュリティ事件簿 外伝 プロローグ

  7. 改正割賦販売法に伴うカード業界セキュリティの動向(3)

  8. ウォッチガード×Lastlineの標的型攻撃対策対談(1)

  9. piyolog Mk-II 第12回 「一体何が目的? 年末年始に起きていたタマネギ騒動を振り返る」

  10. piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×