2016年に発覚したEquifaxのセキュリティ問題

2017年9月12日発行
マティアス・マドゥ博士著
ケーススタディ

2016年に発覚したEquifaxのセキュリティ問題

2017年9月12日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。

Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。

セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。

StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。

x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。

https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

2016年に発覚したEquifaxのセキュリティ問題

2024年1月22日発行
マティアス・マドゥ博士著

2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。

Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。

セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。

StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。

x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。

https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。