企業がより強力なサイバーセキュリティの必要性に迫られるなか、ペネトレーションテスト(ペンテスト)への人気が高まっています。しかし、多くの企業は一般的なセキュリティテストの利点について完全には理解していません。
ペンテストは、ITシステムやWebサイトを使用するあらゆる組織にとって必要不可欠です。ペネトレーションテスターを対象とした最近の調査では、その88%が、12時間以内に企業に侵入してデータを盗むことができると回答しています。このことから、ほとんどすべての企業が攻撃に対して脆弱であることがわかります。
しかし、ペンペストで何が行われるのか、特にどのようなタイプの脆弱性が特定できるのかについてはほとんど知られていません。実際には、さまざまなタイプのペンテストがあり、そのうちのどのタイプを実行するかによって結果が大きく異なるのです。
それでは、ペンテストで発見できる最も一般的な脆弱性を4種類あげてみましょう。
1.ホストやデバイスの不安全な設定
オープンポート、弱いユーザークレデンシャル、不安全なユーザー権限、パッチ未適用のアプリケーションなどは、ハッカーがシステムに侵入する際に悪用する脆弱性です。不安全なネットワーク設定は、(それが安全ではないことに気づいているならば)比較的簡単に修正できます。しかし、企業のセキュリティ態勢の変化は非常に早く、新しいデバイスやサービスを取り入れることにより、新しいリスクを招き入れてしまいます。
クラウドに移行して、自社の環境が安全であるかを確認することを怠る企業が増えていることなどは、そのいい例です。オンプレミスやクラウドのネットワークに対し、しっかりとした脆弱性スキャンを行うことは、基本的な問題の特定には有効です。しかし、ペネトレーションテスターは、さらに時間をかけて外部からセキュリティ調査を実施します。犯罪者の技術が一層高度化するなか、企業のインフラストラクチャーの安全をどのように確保できるかという貴重な情報を提供してくれるのがペンテスターです。
2.暗号化や認証の不備
保存時や送信時のデータの暗号化は、企業が通信の安全を確保するために使用する一般的な方法です。SSH、SSL、およびTLSは、(人間が読むことができる)プレーンテキストを、(鍵がないと読むことができない)暗号化されたデータに変換するために使用される一般的なプロトコルです。しかし、一部には安全性の低い暗号化方式を採用した企業が、ハッカーに破られるケースもあります。2017年10月、Wi-Fi接続の保護に一般的に使用されているプロトコル「WPA2」が、実際には傍受可能であることが発覚しました。
ハッカーが送信者のデジタルIDを検証するように設計された認証システムを回避して、通信を傍受しようとする場合もあるでしょう。このような脆弱性は、いわゆる中間者攻撃を可能にしてしまいます。HSBC、NatWest、Co-op Bankなどの大企業は、セキュリティ上の不備が修正されるまでの1年もの間、中間者攻撃の危機にさらされていました。ペネトレーションテストを実施することで、御社の通信およびデータ保管メソッドがどの程度安全であるのかを把握することができます。
3.コードおよびコマンドインジェクション
Webアプリケーションを狙うハッカーにとって、最も有効な方法の1つは、ソフトウェアプログラムに内在する脆弱性を利用することであることは広く知られています。Webアプリケーションを狙った最も一般的な攻撃方法はSQLインジェクションです。この攻撃では、バックエンドデータベースに悪意のあるコマンドで指示または問い合わせを行い情報を盗みます。これは、ハッカーが個人情報やクレジットカードの詳細情報を詐取するためによく使う手口です。
SQLインジェクションは非常に一般的で、あらゆる規模の企業に影響を与えます。カナダのインターネットプロバイダーAltima TelecomのWebサイトに内在していた欠陥は、簡単にSQLインジェクション攻撃で破られる可能性のあるものでした。同社がこの脆弱性に対処し、被害を未然に防ぐことができたのは、ペネトレーションテスターのスキルのおかげでした。
4.セッション管理
ユーザーの利便性向上のために、Webアプリケーションでは、識別用トークンやCookieなどのセッション管理機能が採用されています。それにより、ログイン・ログアウト時の手間を排除したり、ユーザーの好みやアクティビティを記憶したりできます。しかし、このような機能は、ハッカーによるセッションの乗っ取りや、権限の昇格に悪用される可能性があります。
セッション管理テストでは、トークンやCookieが安全な方法で作成され、改ざんを防止できるかを評価できます。最近では、Facebookへの攻撃で、アクセストークンが流出した事例がありました。企業は、同様の攻撃に狙われる可能性が十分あることを知る必要があります。
ペネトレーションテストは、このような問題をテストするのに非常に有益です。しかし、どの企業にも異なるニーズがあることを忘れないことが大事です。どの企業にも通用するペネトレーションテストは存在しません。ですから、御社の要望をサイバーセキュリティのプロによく説明して、御社に最も利益をもたらすテストを提案してもらうようにしてください。
執筆者について:Mike James氏は、ブライトンを拠点とするサイバーセキュリティの専門家で、20年以上にわたり、IT業界のさまざまな職務を経験してきました。数々のオンライン/紙媒体のマガジンの著者である彼は、ペネトレーションテスト、ホワイトハッキング、その他の脅威の検出方法など、企業および個人のサイバーセキュリティにおけるさまざまな側面を網羅しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
