2019年10月16日 08時00分 公開
特集/連載

問題のあるペンテスターもペネトレーションテスターは信頼できるのか

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

[Cliff Saran,Computer Weekly]

 ペネトレーションテスト(ペンテスト)は、企業セキュリティの脆弱(ぜいじゃく)性の特定を目的とする。だがペンテストの担当者(ペンテスター)が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。

 BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」(注意:ペンテスト手法の検証)は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。

 同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回(うかい)方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」

 レポートは、さらに恐るべき事実を指摘している。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news113.jpg

新型コロナウイルス感染拡大に関する不安 「経済への打撃」が「多くの死者が出ること」を上回る
McCann Worldgroupが世界14カ国で実施した意識調査の結果、政府の対応体制が「整っている...

news145.jpg

「70歳までの就労意識」をテーマとした調査を実施――富国生命調査
長期的に働く上でのリスクトップ3は「病気」「就業不能状態」「入院」。