Posts

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(第2四半期)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 第2四半期バージョンをリリース

2018年第2四半期の最新Web脆弱性トレンド情報

2018年4月から6月まで公開されたExploit‐DBの脆弱性報告件数は、167件でした。そして、最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob Uploaderから各5個の脆弱性が公開されました。ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross-Site Scripting)が複合的に修行されるMultiple Vulnerabilitiesです。また、”Z-Blog 1.5.1.1740 – Full Path Disclosure”脆弱性も注意しなければなりません。当脆弱性または類似した脆弱性の攻撃は多様な形の../を含めており、特定のウェブアプリケーションに開頭する特定のパターンを含めています。
当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


 

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(5月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 5月号をリリース

5月の最新Web脆弱性トレンド情報

2018年5月に公開されたExploit‐DBの脆弱性報告件数は、95件でした。そして、最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL BlobUploaderから各5個の脆弱性が公開されました。ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross‐Site Scripting)が複合的に修行されるMultiple Vulnerabilitiesです。当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(4月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 4月号をリリース

4月の最新Web脆弱性トレンド情報

2018年4月に公開されたExploit‐DBの脆弱性報告件数は、37件でした。この中で最も多くの脆弱性が公開された攻撃は、XSS(クロスサイトスクリプティング)です。特に、HRSALE The Ultimate HRMで3つの脆弱性が公開されました。この中で、注目すべきことは”Z-Blog 1.5.1.1740-Full Path Disclosure”脆弱性です。当脆弱性あるいは類似な脆弱性は、様々な形の../を含めており、特定のWebアプリケーションに該当する特定のパターンを含めています。当脆弱性を予防するためには、最新パッチとセキュアコーディングをおすすめします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)実装を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(2月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 2月号をリリース

2月の最新Web脆弱性トレンド情報

2018年2月に公開されたExploit‐DBの脆弱性報告件数は、88件でした。この中で最も多かった脆弱性が公開された攻撃はSQL Injection(SQLインジェクション)です。特に、Joomla Componentで51つの脆弱性が公開されました。この中で、注目すべきことは”Joomla!Component JTicketing 2.0.16‐SQL Injection”脆弱性です。当脆弱性は、url encodingとbase64 encodingを混用し、攻撃データが挿入される攻撃です。当脆弱性を予防するために最新パッチとセキュアコーディングをおすすめします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーションファイアウォールを活用した深層防御(Defenseindepth)実装を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(1月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 1月号をリリース

1月の最新Web脆弱性トレンド情報

2018年01月に公開されたExploit-DBの脆弱性報告件数は、50件でした。この中で最も多い件数の脆弱性が公開された攻撃はSQL injection(SQLインジェクション)攻撃でした。特に、攻撃難易度と危険度が二つとも高い攻撃もSQL injection(SQLインジェクション)攻撃でした。攻撃難易度や危険度が高いレベルに該当されるSQL injection(SQLインジェクション)攻撃の中で”Advantech WebAccess < 8.3 – SQL Injection”脆弱性は、URL経路の中で攻撃コードが挿入される特異点がある脆弱性です。該当脆弱性を含めて、EDB解析レポートに公開された脆弱性に対して予防するためには最新パッチとセキュアコーディングをお薦めします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する考えなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

11月の最新Web脆弱性トレンド情報

2017年11月に公開されたExploit-DBの脆弱性報告件数は、総15件であり、10月に公開された脆弱性数(67件)と比べると77%ほど減少しました。今月非常に多くの脆弱性が公開された攻撃はクロスサイトスクリプティング(Cross Site Scripting)であり、この中で最も注目すべきの脆弱性は「KirbyCMS < 2.5.7 – Cross Site cripting脆弱性」です。当脆弱性は、ファイルアップロード(File Upload)攻撃と混合されています。悪性コードをsvgファイルにセーブした後、そのファイルをアップロードする方式です。当脆弱性を防ぐためには、最新パッチとセキュアコーディングを行うことをお薦めします。ですが、完全なるセキュアコーディングは不可能であり、持続的にセキュリテイ性を維持するためにはWebアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する必要があります。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

profile

「2017年11月号」大手企業を狙ったサイバー攻撃、その被害規​模が恐ろしい?!Web脆弱性からコネクテ​ィッドカーまで、セキュリティ情報まとめ!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/11/28 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【特別記事】第10回 オートモーティブワールド2018「コネクティッドカーEXPO」に出展!

【02】【プレスリリース】仮想通貨取引所に論理演算分析エンジン搭載WAF「WAPPLES」を提供

【03】【月間レポート】最新Web脆弱性トレンドレポート2017年10月号公開

【04】【ニュースまとめ】大手企業を狙ったハッキングで流出される顧客情報の規模が恐ろしい。

【05】【コラム】2017年11月号 「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」

【06】【特別連載】Q&Aで分かるコネクティッドカーのすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】 【特別記事】第10回 オートモーティブワールド2018「コネクティッドカーEXPO」に出展!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今年1月、ペンタセキュリティは第9回オートモーティブワールドの「コネクティッドカーEXPO」に

出展し、自動車通信プロトコルに最適化されたファイアウォールのAutoCrypt AFWと自動車と外部

インフラ間の安全な通信システムのAutoCrypt V2X、自動車用PKI認証システムのAutoCrypt PKIや

自動車内部の暗・復号化を担当する鍵の管理システムのAutoCrypt KMSの4つで構成されている

AutoCrypt(アウトクリプト)を紹介し、大きな反響を起こしました。来年のオートモーティブワールド

2018にも出展することになりましたが、展示会に来場する方々がさらにオートモーティブワールドを

活用できるように、展示会に行く前にチェックしておけば良いことをご紹介いたします。

オートモーティブワールドに参加予定の方々、また興味を持っている方なら、是非ご確認ください。

 

>> オートモーティブワールド2018特集記事全文はこちら

 

https://goo.gl/KYu9Gj

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】【プレスリリース】仮想通貨取引所に論理演算分析エンジン搭載WAF「WAPPLES」を提供

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが11月14日からブロックチェーンプラットフォーム専門企業「CERTON」が運営

する仮想通貨取引所の「コインリンク」に、自社開発の論理演算分析エンジンを搭載したWebアプリ

ケーションファイアウォールの「WAPPLES(ワッフル)」を提供することになりました。

日本では、2017年上半期に個人の仮想通貨口座をハッキングした事件が33件発生し、これによって、

約7650万円の仮想通貨が盗まれた事件があり、その他にも香港、韓国など、仮想貨幣取引所を狙った

サイバー攻撃が急増して、多数の仮想貨幣取引所はセキュリティの重要性を認知するようになり、

本格的にセキュリティシステムを構築し始めました。コインリンクもセキュリティ強化の一環として

今回ペンタセキュリティのWAPPLES(ワッフル)を導入したのです。

より詳しい内容は、下記のプレスリリース全文をご参照ください。

 

>> プレスリリース全文はこちら

https://goo.gl/d8EVj8

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】最新Web脆弱性トレンドレポート2017年10月号公開

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレン

ドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報である

Exploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータ

セキュリティチームの専門的知識と経験を活かし作成されています。

 

【概要】

2017年10月に公開されたExploit-DBの脆弱性報告件数は、総67件であり、その中でSQLインジェク

ションが51件で最も多い件数で発見されました。10月の攻撃の中で最も危険度の高い攻撃は、コマンド

・インジェクション(Command Injection)攻撃でした。コマンド・インジェクション(Command

Injection)攻撃は、意図しないシステムコマンドを実行することができる攻撃で、今月に公開された

攻撃は主に1)multipart/form-dataを活用した方式、2)JSON形式でコマンドを挿入する方式、3)コマンド

をbase64とhashで変調する方式、4)コマンドが挿入されたxmlファイルを参考する方式などがありました。

該当脆弱性を予防し、持続的なセキュリティを維持するためにはWebアプリケーションファイアウォール

とセキュアコーディング、最新パッチを通じて深層防御(Defense in depth)実装を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュースまとめ】大手企業を狙ったハッキングで流出される顧客情報の規模が恐ろしい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されています。企業の情報

を狙った不正アクセスにより、顧客の機密情報やクレジットカード情報などの敏感な情報が流出される

など、企業の被害件数も増加しています。今回のニュースまとめでは、特に注意しなければならない大手

企業の事例です。大手企業を狙った3つのハッキング事件について、事件の概要から経緯まで詳しくご

説明いたします。サイバー攻撃はその攻撃を受けた企業の規模により、被害規模も変わりますが、大手

企業の場合、その被害規模は実に恐ろしいです。詳しい内容は全文をクリックしてください。

 

目次は、以下の通りです。

(1) 米ヤフーユーザー30億人の情報流出―「世界の半分」の情報が盗まれる!

(2) TOKYO MXに不正アクセスー30万人以上の個人情報流出の可能性

(3) GMO、1万4612件の顧客情報が流出ーサイト売買サービスに不正アクセス

 

>>ニュースまとめ全文はこちら

https://goo.gl/BU8BBP

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】【コラム】2017年11月号 「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信しているセキュリティコラムを

紹介いたします。

【概要】

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題に

なっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。

以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、

十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、

利用する人たちは安心した。しかし、そのWPA2も崩れたのだ。

———————————————————————————————

いつのまにかWi-Fiは私たちの日常生活では欠かせないものになりましたが、安全だと信じていた

このWPA2(無線LAN規格)から脆弱性が発見されたことにより、全世界が大騒ぎになりました。

それで今回は、脆弱性が発見されたこのWPA2のどこから欠陥があったのか、またそれでWPA2方式

は本当に安全な方式ではないか?などの疑問について解説いたします。

詳しい内容は、本コラムからご確認ください。

 

>>コラム「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」全文はこちら

https://goo.gl/xeNF7k

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】 【特別連載】Q&Aで分かるコネクティッドカーのすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

運転席で一眠りして起きたら。自動車が自ら運転して、目的地まで送ってくれる場面をニュース

などで見たことがありますか? こういう話は今はもう映画の中の話だけではなく、現実です。コネクティ

ッドカーあるいは自律走行車がそれです。世界有数の自動車会社とIT会社がスマートな自動車を

リリースして、映画の中で見たのが現実になっていて、みんなが驚いています。

しかし、もし、ハッカーらが自律走行車を攻撃すれば、恐ろしい事故が起こる恐れもあります。それ

で、今回は近未来に商用化される自律走行車、コネクティッドカーをテーマにして紹介と共に、セキュ

リティの重要性、二重三重のセキュリティシステムなどについてQ&Aでご解説いたします。

 

>>Q&Aで分かるコネクティッドカーのすべて全文はこちら

https://goo.gl/XqeMTx

 

▼ 他の特別連載記事はこちら ▼

≫≫ Q&Aで分かる「情報セキュリティ」のすべてhttps://goo.gl/dQSDTK

≫≫ Q&Aで分かる「ネット銀行(ネットバンク)」のすべてhttps://goo.gl/F9qLLz

≫≫ Q&Aで分かる「モノのインターネット(IoT)」のすべてhttps://goo.gl/ZfHFRh

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(10月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 10月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

10月の最新Web脆弱性トレンド情報

2017年10月に公開されたExploit-DBの脆弱性報告件数は、総67件であり、その中でSQLインジェクションが51件で最も多い件数で発見されました。10月の攻撃の中で最も危険度の高い攻撃は、コマンド・インジェクション(Command Injection)攻撃でした。コマンド・インジェクション(Command Injection)攻撃は、意図しないシステムコマンドを実行することができる攻撃で、今月に公開された攻撃は主に1)multipart/form-dataを活用した方式、2)JSON形式でコマンドを挿入する方式、3)コマンドをbase64とhashで変調する方式、4)コマンドが挿入されたxmlファイルを参考する方式などがありました。該当脆弱性を予防し、持続的なセキュリティを維持するためにはWebアプリケーションファイアウォールとセキュアコーディング、最新パッチを通じて深層防御(Defense in depth)実装を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

sebastien-gabriel-232358

【コラム】 安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題になっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、何となく十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、利用する人たちは安心した。

 

1997年に導入されたWEP方式は、2001年に致命的なセキュリティ脆弱性が発見され、この代わりにセキュリティを強化した’WPA(Wi-Fi Protected Access)’標準が制定された。しかし、TKIP(Temporal Key Integrity Protocol)方式のセキュリティプロトコルを使用するWPAもたった60秒以内にハッキングできるという事実が明らかになった。幸いに、その脆弱性はTKIP暗号化アルゴリズムではなく、AES(Advanced Encryption Standard)方式を使用することによって回避することができた。また、WPAに続いて、AESに基づいたCCMP(Counter Cipher Mode with block chaining message authentication code Protocol)を基本に使用するWPA2が登場し、今日までWi-Fiネットワークプロトコルセキュリティ標準として位置づけられている。

 

それで、セキュリティ専門家たちも「WPA2を使いなさい!」、「WPA2は安全です!」と強く主張したのだ。ところが、そのWPA2まで崩れたのだ。その経緯を見てみよう。

 

「KRACK」にクラック

WPA2を狙った「KRACK(Key Reinstallation AttaCK)」は、名前の意味そのままKeyを再設定する攻撃である。WPA2プロトコルの鍵管理脆弱性を攻撃する。米国国土安全保障省(DHS)配下の情報セキュリティ対策組織であるUS-CERT(United States Computer Emergency Readiness Team、アメリカのコンピュータ緊急対応チーム)では、KRACKの危険性について「復号化・パケットの再生・TCP接続ハイジョキン・HTTPコンテンツ・インジェクションなどが影響を受ける。プロトコル自体の問題であるため、WPA2標準のほとんど、またはすべての部分に該当する。」と言った。

 

KRACK攻撃者は、Wi-Fiネットワーク過程に介入し、鍵を再設定することで、これまで安全に暗号化されていると信じて疑わなかった情報、例えばクレジットカード番号、パスワード、電子メール、メッセージなどの敏感な情報を盗み取ることができる。これに、Wi-Fiを使っていた人たちは大きな混乱に陥った。

 

「WPA2は信じても良いって言ってなかった?」、「暗号化は安全だといつも言ってたでしょう!」「AESも不安というわけか!」

 

これは当然な反応だ。それほどWPA2に対する信頼が堅固だったのだ。そして、攻撃による被害規模は想像もできないほど深刻だ。考えてみよう。私たちはWi-Fiを通じて、どれほど多くの、そして危険な情報をやり取りしてたのか。混乱は、当たり前のことだ。

 

しかし、混乱は問題に対する誤解を起こすこともある。「暗号化してもすべてやられるのではないか!」という怒りをよく見た。結論から言えば、そうではない。KRACKはWPA2セキュリティプロトコルのfour-way handshakeプロセスに非正常的に介入して、無線アクセスポイント(Wireless Access Point、WAP)ではなく、利用者クライアントに影響を与える攻撃であり、プロセスのセキュリティを証明するのに使用される数学、つまり暗号化を無用の長物にしている攻撃ではない。

 

「それではこれからはWPA2を使ってはいけないのか?」

 

これもまた、そうではない。クライアントセキュリティ・アップデートなどに対する確認、そしてアクセスポイント機器のクライアント機能解除などの措置を取らなければならないが、すぐWPA2の使用を中断してはならない。誇張して話すと、代案がない。

 

ふと思い出す昔話

 

第一、裏切り。

 

裏切りは、信じたほど痛い。信頼が深かったら、その分痛い。そのために、相互間に重ねた道義的な信頼関係を壊す行為である裏切りは、さらに悪い行為に取り扱われる。古代から裏切り者は獣とみなした。ダンテの新曲を見ると、地獄は逆に立てた円錐形になっているが、裏切り者はその円錐の一番下にいる。地獄の底には、自分の弟であるアベルを殺したカイン、自分を信じたカエサルを暗殺したブルータス、イエスキリストを裏切ったイスカリオテのユダが地獄で最もあくどい悪魔たちにかみちぎられている。そういう文章を書くほど、裏切りという行為は嫌がれるのだ。

 

第二、スケープゴート。

 

総体的な問題がある。 社会的な、つまりシステムの問題だ。問題を正すか、それとも問題ではないように、お互い合意して解決するはずだが、システム的な問題のほとんどがそうであるように解決が難しい問題だ。そういう時、犠牲物を利用する。古代イスラエルでは、贖罪の日になると羊を立てて、人間の罪をこの羊が代わりに負って去ると宣言した後、荒れ地に追い出したりする風習があった。そのシステムの罪は、羊と一緒にシステムの外に行ったから、罪がすべて消えたという、解決法のない解決策だ。

 

信じて疑わなかったWPA2が裏切った。信じたほど痛い。
しかし、WPA2プロトコル問題を暗号化に負わせるのは、誤解から発生した問題だ。

過去のWEPそしてWPAがそうであったように、WPA2も方式を改めなければならないが、
暗号化は依然として信じられる、事実上唯一のセキュリティ方法だという事実は、変わらない。

profile

「2017年10月号」企業が注意すべき2017情報​セキュリティ10大脅威、対策備えは?!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/10/31 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、PostgreSQL

暗号化を提供開始

【03】最新Web脆弱性トレンドレポート2017年9月号公開

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがSecurity Days Fall 2017に参加いたしました。SecurityDays

Fallは、最新の脅威動向とセキュリティ対策に対して解説するイベントで、東京と

大阪で開かれました。様々な情報セキュリティ関連の企業が参加し、セッションを通

じて、企業情報セキュリティ、特に最近話題になっているDDoS対策とウェブの脆弱性

や改ざん対策、クラウドセキュリティについて解説いたしました。

そこで、ペンタセキュリティは「サイバー攻撃は、セキュリティ対策に取り組んでいる

企業だけが知っている。」というタイトルで講演しました。弊社のブログでは、セミナー

内容の紹介とともにセミナーで使われた資料を無料で配布しているので、ご興味を持って

いる方々は、是非ご確認ください。

>> Security Days Fall 2017現場およびセミナー紹介はこちら

https://goo.gl/UMbhha

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、Postgre

SQL暗号化を提供開始

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが10月19日から当社のOSS DB暗号化ソリューションであるMyDiamo

(マイ・ディアモ)で、MySQL、MariaDB、PerconaDB対応機能に加え、PostgreSQL

DBの暗号化を提供することになりました。

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、

企業のオープンソース使用率は増加していて、2012年4月、日本国内PostgreSQL関連

ベンダー及びユーザ企業が集まり、「PostgreSQLエンタープライズコンソーシアム

(PGECons)」を発足しました。

近年の情報漏えいによるセキュリティへの危機感からPostgreSQLに特化した暗号化

ソリューションのニーズが高まり、 MyDiamo(マイ・ディアモ)のラインナップとして

PostgreSQL暗号化を追加しました。より詳しい内容は、下記のプレスリリースを

ご参照ください。

>> プレスリリース全文はこちら

https://goo.gl/jMNp9V

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】最新Web脆弱性トレンドレポート 2017年9月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとに

したトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連の

オープン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュあ

リティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成さ

れています。

【概要】

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQL

インジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLイン

ジェクション脆弱性は、攻撃実行の難易度が低い方に分類されました。この攻撃は、

オンライン検索を通じてダウンロードできる攻撃ツールの使い方さえ知れば、低いレベル

の難易度で誰にでも手軽に悪用できます。

ですが、SQLインジェクション脆弱性は、低い攻撃難易度持つ同時に高いレベルの危険度

に分類されました。幸いに、ほとんどのSQLインジェクション攻撃は、Webアプリケー

ションファイアウォール通じて簡単に対応できます。よって、持続的なセキュリティを

維持するためには、Webアプリケーションファイアウォールとセキュアコーディングを

活用した多層防御を具現する必要があります。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されて

います。企業の情報を狙う不正アクセスにより、顧客の機密情報やクレジットカード

情報などの敏感な情報が流出されながら、企業が受けている被害件数も増加しています。

特に、最近ターゲットとして狙られているのは、EC系のサイトです。それで今回は、

9月と10月発生した「不正アクセスによって被害を受けた日本国内のECサイト被害事例」

を調べて、ECサイトでの情報セキュリティ対策を紹介します。

 

>>ニュースまとめ全文はこちら

https://goo.gl/61mK9P

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

【概要】

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致

命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性

を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するた

めに、素早く動いている。2017年現在、こういう動きは私たちにどういう意味であろうか。

——————————————————————————————————-

時代の発展により、自動車とインターネットの結合であるコネクティッドカーに対する

人々の興味も高くなっています。今回はIT業界でエバンジェリストとして活躍している

筆者が日本の自動車製造会社の役員たちとの交わした会話を通じて、今後の自動車や

自動車セキュリティに対して紹介します。詳しい内容は、本コラム

からご確認ください。

 

>>コラム「2017年自動車サイバーセキュリティの現状」全文はこちら

https://goo.gl/bYZdvX

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報

セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模

を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大してい

ます。企業としてはセキュリティ対策が不可欠な課題です。

それで、日本の情報処理推進機構(IPA)で発表した「2017情報セキュリティ10大脅威」

を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにどういう

ソリューションが必要であろうかについて解説いたします。

 

目次は、以下の通りです。

(1) 2017情報セキュリティ10大脅威とは?

(2) 企業・組織における情報セキュリティ10大脅威

(3) 企業の情報セキュリティのためには?

① WAFの必要性

② WAFの種類別メリットやデメリット

③ クラウド型WAF、Cloudbric(クラウドブリック)

>>「企業が注意すべき2017情報セキュリティ10大脅威、対策は?」全文はこちら

https://goo.gl/iq6s23

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━