#AppSecニュースのまとめ:DevSecOps、Medium、HackerOneなど

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > #AppSecニュースのまとめ:DevSecOps、Medium、HackerOneなど

#AppSecニュースのまとめ:DevSecOps、Medium、HackerOneなど
Tushar Richabadas

2017年10月19日

本日は#AppSecニュースのまとめをお送りします。まずは、身近なトピックから始めましょう。

DevOpsとセキュリティ:長年の頭痛の種に改善の兆し

調査結果をご紹介する前に、インフラストラクチャ、特にセキュリティとDevOpsの連携の必要性について持論を展開させてください。ビジネスのデジタル変革には、スピーディな対応が必要です。それには、ITのアジリティが要求されます。ITアジリティを実現するには、アプリケーション開発とインフラストラクチャのアジリティが不可欠です。ところが、ほとんどの企業で導入されているセキュリティは、アジリティとはほど遠い状態です。実際、セキュリティは後回しにされる場合がほとんどです。アプリの新規開発では、開発の完了後、数ヵ月経ってからセキュリティチームが変更を加え、セキュリティ機能が搭載される、という具合です。ですから、アプリケーション開発プロセスにセキュリティを組み込むアプローチの方が、効率的なのです。

国連の調査で、シンガポール以外の国にサイバーセキュリティギャップが存在することが判明

国連が水曜日に発表した調査結果によると、シンガポールはほぼ完璧なサイバーセキュリティ対策を講じていることがわかりました。他の先進各国の対策には不備が存在し、途上国では対策の遅れが目立ちました。

立ち上げから1年が経過したHackerOne:報告されたセキュリティ脆弱性から6件を紹介

バグ懸賞プログラムの重要性を示す記事です。

HackerOneは、Flexportのセキュリティ強化を目的に、1年前に立ち上げられたプログラムです。HackerOneでは、趣味のハッカーやセキュリティのプロフェッショナルが侵入テストを行い、発見された脆弱性に懸賞金が支払われます。これまでに、nginxヘッダからのサーバトークンの削除やXSSの脆弱性など、200件近くの脆弱性が報告されています。今日は、この200件の報告の中から非常に興味深い脆弱性を6つご紹介しましょう。

セキュリティコストは高すぎる?ハッキングしてみよう!

WhiteHat Security:年次アプリケーションセキュリティ統計レポートでDevSecOpsの事例を紹介

DevSecOpsという発想は、セキュリティ業界で働くプロフェッショナルの興味をかき立てています。開発者のプロセスとワークフローにセキュリティを組み込むことは、セキュリティ担当者にとっては当然のことですが、セキュリティに関する知識がない開発者にとっては難しい概念だといえます。また、アプリケーション開発期間のさらなる短縮を求められる今、この問題は深刻化しています。「SDLC(システム開発ライフサイクル)の早い段階」でセキュリティ機能を組み込むには、開発者が行うコーディングプロセスの一部としてセキュリティを実装せざるを得まえせん。というのは、アプリケーションはデジタルビジネスの推進力でありながら、最も脆弱なコンポーネントでもあるからです。Verizon 2017年度データ漏えい/侵害調査報告書によれば、Webアプリケーションが、侵害された資産または侵害された資産への脅威ベクタとなったケースは、全体のほぼ60%を占めています。ここでは、開発者に向けて、セキュリティ対策に取り組む価値があることを実証する証拠をいくつかご紹介しようと思います。「事例紹介:DevSecOpsのケース」というセクションでは、あるWhiteHatユーザを取り上げています。このユーザは、開発部門内で「セキュリティヒーロー」誕生を目指したプログラムを実践し、アジャイルなDevOps環境でセキュアなコーディングをサポートする上で必要なトレーニングとインフラストラクチャを実装しました。このプログラムは、大きな効果を実現しました。DevOpsチームは今まで経験したことがなかったセキュリティ強化に取り組み、開発環境と運用環境内のアプリケーションに存在する重大な脆弱性をわずかな時間で解消することができたのです。

Mediumアカウントをターゲットにした持続型XSS(バックドアドメイン)

まとめ:

  • ・Mediumは、持続型XSSの修正を拒否しました。75ドルあれば、アカウントをハイジャックできます。

  • ・そもそもWebオリジンには問題があり、サーバの公開鍵を含めるWebオリジンが適切です。プロプリエタリ、一元管理、他人が使ったドメインを使用しないようにすれば、持続型XSSバックドアとDNSリバインディングを修正できます。

  • ・自分で登録していないドメインを信頼しないようにしましょう。悪意のあるバックドアがユーザブラウザに仕込まれている可能性があります。アプリケーションキャッシュを使用しない場合でも、ブラウザをリロードしないユーザがハイジャックされる危険が、わずかであっても必ず存在するのです。

2016年4月、悪意のあるChrome拡張機能のボットネットがWixを攻撃

2016年4月、Webサイト作成サービスであるWix.comが大規模なサイバー攻撃を受けました。悪意のあるChrome拡張機能のボットネットがWix Webサイトを作成し、新規ユーザに拡散したのです。
当時、この攻撃は報告されていませんでしたが、先週ラスベガスで開催されたBlack HatおよびDEF CONセキュリティコンファレンスにおいて、Tomer Cohen氏(Wixのセキュリティチームの責任者)が詳細を開示しました。

最高のハッキング:Black HatとDEF CONから

今年もハッカーがラスベガスに集結し、インターネットセキュリティシステムをハッキングするさまざまな手法を披露しました。ここでは、今週開催されたBlack Hatコンファレンスから、事例をいくつか取り上げて詳しく解説します。

電報を悪用したSQLインジェクションスキャナ、犯罪者の高い評価を得る

2017年4月8日、ロシア語を話す一流のハッカーが集まるフォーラムにおいて、「Katyusha Scanner」が紹介されました。このツールは、高機能の自動SQLi脆弱性スキャナであり、電報メッセンジャとArachni Scanner(オープンソースの浸入テストツール)を活用しています。

Myspaceの脆弱性

今年の4月、Web検索中に自分の古いMyspaceを偶然見つけました。アカウントにアクセスして削除しようとしたところ、ビジネスプロセスの不具合を見つけたのです。

このように、アプリケーションセキュリティの問題はあらゆる場所に存在します。アプリケーションセキュリティはニッチなトピックかもしれませんが、アプリケーションを活用する個人や企業に大きな影響を与えるのも事実です。また、なかなか理解されない脅威ベクタの1つであり、エンドユーザが注意を払わない領域でもあります。

バラクーダネットワークスは、お客様の環境を保護するセキュリティソリューションを複数提供しています。Barracuda Web Application Firewallについて詳しくは、製品ページをご覧ください。バラクーダネットワークスは、アプリケーションセキュリティに関するディスカッションを行っています。Twitter(@barracuda)でも#appsecでコメントをお寄せください。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。タッシャーにつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 8月18日 #AppSec News Roundup: DevSecOps, Medium, HackerOne, and more を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら