システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。
ペネトレーションテスト(ペンテスト)は、企業セキュリティの脆弱(ぜいじゃく)性の特定を目的とする。だがペンテストの担当者(ペンテスター)が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。
BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」(注意:ペンテスト手法の検証)は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。
同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回(うかい)方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」
BlackBerry Cylanceでリサーチおよびインテリジェンス部門のバイスプレジデントを務めるジョシュ・レモス氏は次のように語る。「ここ5年で、ペンテストサービスを提供する企業が世界中で急増している。それが企業のセキュリティを著しく損なう恐れのある手法につながっている」
レポートは、ペンテスターがセキュリティ製品の迂回方法を公開した事例は多数あり、持続的標的型脅威(APT:Advanced Persistent Threat)グループがそれを迅速に実装するようになっていると指摘している。「『AV bypass』というフレーズをTwitterで検索するだけだ。検索結果の約80%はペンテスターが公開した記事だ」(訳注:「AV」は「antivirus」のこと)
BlackBerry Cylanceによると、ペンテスト中にWindowsの組み込み保護機能を迂回しなかったことで生じた問題を、ペンテスターがブログで公開した2016年4月19日の事例がある。そのペンテスターは、他のペンテスターが同じ問題に遭遇する恐れがあるのでその助けになればと、組み込み保護機能の正当な迂回方法を投稿した。
同社によるとこのペンテスターのWebページはその後削除されたが、アーカイブ版はまだ入手できるという。「ペンテスターが迂回方法を投稿するや否や、半ダース以上のAPTや犯罪のグループによる何百もの攻撃にその迂回方法が実装され、以後、何年も問題が続いている」とレポートに書かれている。
レポートは、セキュリティ企業の専門家が攻撃者とペンテスターを混同した事例も指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。