問題のあるペンテスターもペネトレーションテスターは信頼できるのか

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

[Cliff Saran，Computer Weekly]

　ペネトレーションテスト（ペンテスト）は、企業セキュリティの脆弱（ぜいじゃく）性の特定を目的とする。だがペンテストの担当者（ペンテスター）が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。

　BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」（注意：ペンテスト手法の検証）は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。

　同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回（うかい）方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」

　レポートは、さらに恐るべき事実を指摘している。

続きを読むには、［続きを読む］ボタンを押して
会員登録あるいはログインしてください。

関連記事

主要VPNサービスは危険？　VPNプロバイダーの資本や国籍に注意

スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ

米国にまん延する「AIでセキュリティの課題は解決」論の危険性

DDoS攻撃を阻止するトラフィックスクラビング

ホストOSは守らない！　仮想化ベースセキュリティ技術