Posts

profile

「2018年08月号」ハッカーはどんな企業をターゲットにするのか? 最もハッキングされやすい産業は何?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/08/29    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【月間レポート】 最新Web脆弱性トレンドレポート2018年05月号公開
【02】【ペンタソリューション】 最もハッキングに脆弱な産業は?
【03】【ペンタオリジナル】 中小企業がよくするウェブセキュリティに対する誤解
【04】【コラム】 変化する未来自動車の5つの要素:最終回

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【月間レポート】 最新Web脆弱性トレンドレポート2018年05月号公開

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンド

レポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DB

より公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティ

チームの専門的知識と経験を活かし作成されています。

 

【概要】

 

2018年5月に公開されたExploit‐DBの脆弱性報告件数は、95件でした。そして、最も多い脆弱性が公開

された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob

Uploaderから各5個の脆弱性が公開されました。

ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、

SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross Site Scripting)が

複合的に修行されるMultiple Vulnerabilitiesです。

 

当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュア

コーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイア

ウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート2018年05月号まとめはこちら

https://bit.ly/2Mp34Xw

 

>> 最新Web脆弱性トレンドレポート2018年05月号レポート全文ダウンロードこちら

https://bit.ly/2MFaAwQ

 

**次回のWeb脆弱性トレンドレポートは四半期ごとに提供されます。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【ペンタソリューション】 最もハッキングに脆弱な産業は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

最近、多様な産業がハッキングで被害を受けています。ニュースを見ると、病院・大学・会社・銀行など、

その分野も様々です。

昨年行われたアンケート結果によると、企業のCSOとセキュリティ担当者は、金融産業が情報セキュリティ

に最も気を使わなければならない産業と答えています。これは明白な事実です。今までの調査によると、

金融事業が他の産業群に比べ、サイバー攻撃の回数が多かったです。金融産業は、ハッカーたちには

かなり良いターゲットです。

しかし、それとして金融産業群に含まれない産業群や中小企業がハッカーのターゲットではないと油断

してはいけません。

 

今回は、果たしてハッカーたちがどのような方法でハッキング戦略を立ててハッキングをするのか、また

ハッキングに最も脆弱な産業は何なのかをご解説いたします。

 

さらに詳しい内容は、コラム全文をご参考ください。

 

>> 「最もハッキングに脆弱な産業は?」全文はこちら

https://bit.ly/2KuzYQL

 

※ ペンタソリューションを他のコラムはこちらから確認できます。

 

▶「未来IT技術の基盤、ブロックチェーン」全文はこちら

https://bit.ly/2L1cYOf

 

▶ペンタソリューションのコンテンツリストはこちら

https://bit.ly/2Na9ar0

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【ペンタオリジナル】 中小企業がよくするウェブセキュリティに対する誤解
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

ここ数年間、有名会社たちがハッキングされたことがニュースに連日報道され、企業の不安感が高まって

います。問題は、私たちがこのようなハッキングが大手企業などの規模が大きくて安定的な会社で起きた

話だけを聴いているため、ハッカーが中小企業を狙うはずがないと信じていることです。

 

しかし、これは非常に大きな勘違いです。

米事業者の中で中小企業の割合は8割ほどで、約2,800万社の中小企業が存在します。中小企業は、会計・

マーケティング・運営管理などをすべて自分でしなければなりません。最近は、約54%以上の企業が直接

ウェブサイトの構築及び管理までしています。多くの事業が次第にオンライン化していき、10年前には

考えもしなかったSNSや広告、SEO、オンライン評価、ウェブサイトのデザインと管理などの数多くの

ものを直接管理しなければならないのです。

 

既に多くの課題を持っている中小企業の運営者たちにウェブセキュリティ、データセキュリティなどを

期待するのは、もしかしたら無理かもしれません。 結果的に、米国の中小企業の中で約8割が公式的に

ウェブセキュリティシステムを構築していないと答えました。

 

大手企業は巨大なセキュリティシステムを計画し、多くの開発者とセキュリティ担当者を通じて、ウェブ

サイトの脆弱性を簡単かつ早く見つけることができます。しかし、中小企業にとってはとても難しいこと

です。そのため、ハッカーたちは世界的に有名な企業を攻撃する代わり、中小企業を狙うのです。

 

大手企業のみが攻撃を受けたものだという誤解だけでなく、中小企業がウェブセキュリティについてして

いる誤解はさらにあります。今回は、その誤解について調べてみます。

 

さらに詳しい内容は、コラム全文をご参考ください。

 

>> 「中小企業がよくするウェブセキュリティに対する誤解」全文はこちら

http://bitly.com/2MH6DnW

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【コラム】 変化する未来自動車の5つの要素:最終回
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

【概要】

モノのインターネットやクラウドのような言葉が日常的な用語となり、技術系で働かない人々にももう

不慣れでない。近年では、様々な分野で第4次産業革命を言及しながら、社会全般にわたって大きな変化

と革新を持って来るはずだと期待している。

第4次産業革命時代を迎え、様々な産業分野で変化が起きている。その中でも、代表的なのは「モノの

インターネット」と「クラウド」で、その中でもモノのインターネットを導く自動車が注目を浴びている。

このコラムでは、宇宙、または空間を意味する「SPACE」をセキュリティ(Security)、プラットフォーム

(Platform)、自律走行(Autonomous)、連結性(Connectivity)、電化(Electrification) の 5つの単語

の組み合わせで定義し、ネットワークと繋がり、変化していく未来自動車の様子を詳しく説明する。

 

【目次】

第1回

・SPACEとは?

・電化(Electrification)

 

第2回

・連結性(Connectivity)

・自律走行(Autonomous Driving)

 

第3回

・プラットフォーム(Platform)

・セキュリティ(Security)

 

>>「変化する未来自動車の5つの要素:第1回」全文はこちら

https://bit.ly/2uGZhdp

 

>>「変化する未来自動車の5つの要素:第2回」全文はこちら

https://bit.ly/2NEwMUL

 

>>「変化する未来自動車の5つの要素:最終回」全文はこちら

https://bit.ly/2OTiMHk

 

>>「SPACE:変化する未来自動車の5つの要素」ホワイトペーパーのダウンロードはこちら

https://bit.ly/2PsQQLl(2MB/PDF)

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

hack-813290_1280

【コラム】 ハッカーの6つの行動パターン

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

「ハッカー」は、何のためにWebサイトをハッキングしているのでしょうか。

その昔、インターネットが普及していなかった頃のハッカーは、自己顕示欲が強く自分の能力を見せつけるためにWebサイトをハッキングしていたものでした。しかし、社会がWebでつながっていると言っても過言ではない現代のハッキングは、より巧妙に行われ、その被害も膨大になってきています。

技術の進歩により我々の日常生活は便利かつ多様な側面を持つようになりましたが、その技術進歩には裏面も存在します。例えば、ネットバンキングは過去15年の間、関連技術を基盤として進化し、一度のクリックで金融取引ができる便利な世の中を作り上げました。しかし、この利便性の裏には個人情報および銀行取引情報といった重要な情報がネットを介し流れることになります。その重要な情報を欲しがっているのが「ハッカー」です。

ハッカーが欲しがる情報と、その情報を手に入れるための行動には幾つかのパターンがあるのです。今回はそれらのパターンを紹介します。

1.脆弱性スキャン

脆弱性スキャンはその名前からも分かる通り、システムの内部の脆弱性を探るために用いられる手法です。自社システムのセキュリティホールを洗い出し弱い部分を改善、自社のセキュリティを強固にしていくための行為でもあります。しかし、ハッカーらは同手法を用いて、標的のシステムに侵入するための脆弱性を見つけ出すのです。
ハッカーにとっての脆弱性スキャンは、本格的なハッキングを行うための情報収集およびシステムの脆弱性を下調べする行為であり、次の攻撃を行うためのゲートウェイのようなものなのです。

2.サーバー運用妨害

サーバー運用妨害は、Webサイトへのアクセスをブロックし、通常のサービスができないように妨害することです。サーバー運用妨害攻撃で最も知られているのは、分散型サービス拒否攻撃(Distributed Denial of Service attack:DDoS)が挙げられます。
DDoS攻撃を行うためにハッカーが「ボットネット(botnet)」と呼ばれるゾンビコンピュータのネットワークを介しPC端末を制御下に置き、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけることで、サービスをダウンさせます。

3.金銭的損害

ハッカーにより行われる攻撃の中で被害側としては大打撃をうけるパターンが、この金銭的損害です。前述のようにネットの普及によりオンライン化された各種サービスは利便性をもたらしましたが、金銭的被害を及ぼすためのハッカーの狙いにもなります。

4.個人情報漏洩

前述の金銭的損害とともにこの個人情報漏洩はネット世界の課題でもあり、社会全般の問題としても議論されています。個人情報を手に入れたハッカーは、別人へのなりすまし、管理者権限を取得し更なる攻撃を仕掛けたり、奪取した情報を売り捌いたりしています。この前のアシュレイ・マディソンのハッキング事件は記憶に新しいかと思いますが、不倫サイトであるアシュレイ・マディソンの会員情報をWeb上に露出させ、非常に大きな波紋と混乱を引き起こしました。

5.Webサイト改ざん

Webサイトに対し、悪意を持って別の内容で置き換えることをWebサイト改ざんといいます。攻撃後はWebサイトを確認すれば、改ざんされた箇所がすぐ把握できるため、ニュースと同時に人々から「興味を持ってもらえる」攻撃として非常に効果の高い手法と言えます。
政治的な理念により選挙などで有力な候補者のWebサイトを改ざんするという事例が多発しています。この手のハッカーは、自己顕示欲が強い傾向があります。昨今アメリカでは、このようなハッキング行為に対し、処罰するというよりは「倫理的なハッカー」になってもらうよう、若者への「教育」を奨励している傾向にあります。

6.任意コード実行

システム上意図していなかったコードが実行されれば、それは要注意です。ハッカーは、悪意のあるコードを挿入し、コマンドを実行することで標的のシステムを制御し出します。ハッカーは、任意のコードを実行するために前述の1.脆弱性スキャンのように下調べを行い、そのシステムにて最もセキュリティ的に弱い部分を狙い打ちします。次の攻撃のための第一歩になるわけです。
このように、時代の流れと技術の進歩とともに、世の中の必要悪として「ハッカー」と「ハッキング」という言葉は誕生しました。サイバー上の戦いは、非常に恐ろしいものです。しかしながら、このような時代になったからといって、怯えるばかりでは何も解決できません。自社システムの脆弱性を洗い出し、その弱いところを補完できるセキュリティソリューションを検討することが重要です。
このようなコラムを介し、微力ながらもセキュリティにおいての知識や心構えなどを共有できればと思います。Webサイトを保護し不正アクセスを遮断するためには、その専用のセキュリティ対策としてWebアプリケーションファイアウォール(WAF)の導入をオススメします。もし宜しければ下記リンクもご参照下さい。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(8月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 8月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

【情報】最新Web脆弱性トレンドレポートのEDB-Report(6月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 6月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。