特集/連載
問題のあるペンテスターも:
ペネトレーションテスターは信頼できるのか
システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。
ペネトレーションテスト(ペンテスト)は、企業セキュリティの脆弱(ぜいじゃく)性の特定を目的とする。だがペンテストの担当者(ペンテスター)が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。
BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」(注意:ペンテスト手法の検証)は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。
同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回(うかい)方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」
レポートは、さらに恐るべき事実を指摘している。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.