ハードコードされた認証情報は、セキュリティリスクを引き起こす可能性があります。
Secure Code Warrior は、セキュリティや開発者コミュニティに対して、安全なコードの書き方や、安全でないコードによってもたらされる脆弱性のリスクの軽減に関する教育を支援することに深くコミットしています。この目標の一環として、私たちは、Uberの最近のセキュリティインシデントという 発展途上のストーリーを、開発者主導のセキュリティと左遷の重要性を議論する機会として活用する予定です。
Uberのセキュリティ事故について
Uberは、9月16日にサイバーセキュリティ事件に関する声明を発表し、現在も更新を続けています。読者は、これが現在進行中の話であることを心に留めておく必要があります。これまでのUberの発表や、セキュリティコミュニティでの評判の良い投稿を通じて分かったことをまとめてみよう。
このハッカーは、Uberの従業員のWhat'sAppの番号を見つけ、ソーシャルエンジニアリングを行うことから始めました。攻撃者は従業員に連絡を取り、無防備な従業員に偽のUberサイトにログインさせ、ユーザー名とパスワードを取得することで認証情報のフィッシングを開始しました。
Uberのアカウントは多要素認証(MFA)で保護されています。つまり、ユーザーはパスワードを提出する以外に、本人であることを確認するための第2の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を入手した後、攻撃者はUberの純正サイトへのログインを継続的に試み、従業員のデバイスに多数のプッシュ通知を流して圧倒し、MFA疲労攻撃を開始しました。再び、攻撃者はWhatsApp経由で被害者に連絡しました。今回はITサポートのふりをし、承諾するよう説得することに成功したとされています。
ハードコードされたクレデンシャル
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、PowerShellスクリプトを含むネットワーク共有を発見しました。これらのスクリプトの1つには、管理者ユーザーのハードコードされた認証情報が含まれており、AWS、G-Suite、コードリポジトリなど、Uberの内部サービスの侵害につながったのです。また、ハッカーはUberのHackerOneアカウントにアクセスすることができました。ただし、Uberによると、"攻撃者がアクセスできたバグレポートはすべて改善された "という。
この脆弱性がコードでどのように見えるか興味がありますか?PowerShellのチャレンジを無料でお試しください。
このような攻撃はどの程度あるのでしょうか?
ソーシャルエンジニアリングは、サイバーセキュリティの最も弱い部分と考えられてきたため、攻撃のベクトルとして防御することが困難です。Uberのハッキング事件は、MFAの実装が簡単に回避されることを明確に示しています。これを防ぐには、フィッシング攻撃の仕組みについて従業員の意識を高めることが重要です。
しかし、Uberの内部サービスが暴露された原因は、PowerShellスクリプトに含まれていた管理者のユーザー名とパスワードです。認証情報をハードコードすることは、開発者やコードにアクセスできる人なら基本的に誰でも読めるようになるため、決して良いことではありません。
しかし、繰り返しになりますが、意識が重要なのですセキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書く可能性も低くなります。
ソーシャルエンジニアリングに関する一般的な教育と、より具体的にはプロアクティブなセキュアコーディングのトレーニングという2つのアプローチにより、コードベースの脆弱性の数を減らし、セキュリティ脅威との戦いにおいて重要であることが証明されます。
セキュアコーディングのベストプラクティスの最新情報についてもっと知りたいですか?セキュア・コード・コーチをご覧ください。ここでは、セキュアコーディングのガイドラインを学んだり、トレーニングの練習を無料で試したりすることができます。
Uberの最近のセキュリティインシデントを取り上げながら、ハードコードされた認証情報とソーシャルエンジニアリングに関連するリスクについて学び、組織が左遷され、開発者が安全なコーディングのベストプラクティスを最新の状態にすることがなぜ重要であるのかについて説明します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Laura Verheyde はSecure Code Warrior のソフトウェア開発者で、脆弱性のリサーチとMissions および Coding labs のコンテンツ作成に注力している。
Secure Code Warrior は、セキュリティや開発者コミュニティに対して、安全なコードの書き方や、安全でないコードによってもたらされる脆弱性のリスクの軽減に関する教育を支援することに深くコミットしています。この目標の一環として、私たちは、Uberの最近のセキュリティインシデントという 発展途上のストーリーを、開発者主導のセキュリティと左遷の重要性を議論する機会として活用する予定です。
Uberのセキュリティ事故について
Uberは、9月16日にサイバーセキュリティ事件に関する声明を発表し、現在も更新を続けています。読者は、これが現在進行中の話であることを心に留めておく必要があります。これまでのUberの発表や、セキュリティコミュニティでの評判の良い投稿を通じて分かったことをまとめてみよう。
このハッカーは、Uberの従業員のWhat'sAppの番号を見つけ、ソーシャルエンジニアリングを行うことから始めました。攻撃者は従業員に連絡を取り、無防備な従業員に偽のUberサイトにログインさせ、ユーザー名とパスワードを取得することで認証情報のフィッシングを開始しました。
Uberのアカウントは多要素認証(MFA)で保護されています。つまり、ユーザーはパスワードを提出する以外に、本人であることを確認するための第2の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を入手した後、攻撃者はUberの純正サイトへのログインを継続的に試み、従業員のデバイスに多数のプッシュ通知を流して圧倒し、MFA疲労攻撃を開始しました。再び、攻撃者はWhatsApp経由で被害者に連絡しました。今回はITサポートのふりをし、承諾するよう説得することに成功したとされています。
ハードコードされたクレデンシャル
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、PowerShellスクリプトを含むネットワーク共有を発見しました。これらのスクリプトの1つには、管理者ユーザーのハードコードされた認証情報が含まれており、AWS、G-Suite、コードリポジトリなど、Uberの内部サービスの侵害につながったのです。また、ハッカーはUberのHackerOneアカウントにアクセスすることができました。ただし、Uberによると、"攻撃者がアクセスできたバグレポートはすべて改善された "という。
この脆弱性がコードでどのように見えるか興味がありますか?PowerShellのチャレンジを無料でお試しください。
このような攻撃はどの程度あるのでしょうか?
ソーシャルエンジニアリングは、サイバーセキュリティの最も弱い部分と考えられてきたため、攻撃のベクトルとして防御することが困難です。Uberのハッキング事件は、MFAの実装が簡単に回避されることを明確に示しています。これを防ぐには、フィッシング攻撃の仕組みについて従業員の意識を高めることが重要です。
しかし、Uberの内部サービスが暴露された原因は、PowerShellスクリプトに含まれていた管理者のユーザー名とパスワードです。認証情報をハードコードすることは、開発者やコードにアクセスできる人なら基本的に誰でも読めるようになるため、決して良いことではありません。
しかし、繰り返しになりますが、意識が重要なのですセキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書く可能性も低くなります。
ソーシャルエンジニアリングに関する一般的な教育と、より具体的にはプロアクティブなセキュアコーディングのトレーニングという2つのアプローチにより、コードベースの脆弱性の数を減らし、セキュリティ脅威との戦いにおいて重要であることが証明されます。
セキュアコーディングのベストプラクティスの最新情報についてもっと知りたいですか?セキュア・コード・コーチをご覧ください。ここでは、セキュアコーディングのガイドラインを学んだり、トレーニングの練習を無料で試したりすることができます。
Secure Code Warrior は、セキュリティや開発者コミュニティに対して、安全なコードの書き方や、安全でないコードによってもたらされる脆弱性のリスクの軽減に関する教育を支援することに深くコミットしています。この目標の一環として、私たちは、Uberの最近のセキュリティインシデントという 発展途上のストーリーを、開発者主導のセキュリティと左遷の重要性を議論する機会として活用する予定です。
Uberのセキュリティ事故について
Uberは、9月16日にサイバーセキュリティ事件に関する声明を発表し、現在も更新を続けています。読者は、これが現在進行中の話であることを心に留めておく必要があります。これまでのUberの発表や、セキュリティコミュニティでの評判の良い投稿を通じて分かったことをまとめてみよう。
このハッカーは、Uberの従業員のWhat'sAppの番号を見つけ、ソーシャルエンジニアリングを行うことから始めました。攻撃者は従業員に連絡を取り、無防備な従業員に偽のUberサイトにログインさせ、ユーザー名とパスワードを取得することで認証情報のフィッシングを開始しました。
Uberのアカウントは多要素認証(MFA)で保護されています。つまり、ユーザーはパスワードを提出する以外に、本人であることを確認するための第2の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を入手した後、攻撃者はUberの純正サイトへのログインを継続的に試み、従業員のデバイスに多数のプッシュ通知を流して圧倒し、MFA疲労攻撃を開始しました。再び、攻撃者はWhatsApp経由で被害者に連絡しました。今回はITサポートのふりをし、承諾するよう説得することに成功したとされています。
ハードコードされたクレデンシャル
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、PowerShellスクリプトを含むネットワーク共有を発見しました。これらのスクリプトの1つには、管理者ユーザーのハードコードされた認証情報が含まれており、AWS、G-Suite、コードリポジトリなど、Uberの内部サービスの侵害につながったのです。また、ハッカーはUberのHackerOneアカウントにアクセスすることができました。ただし、Uberによると、"攻撃者がアクセスできたバグレポートはすべて改善された "という。
この脆弱性がコードでどのように見えるか興味がありますか?PowerShellのチャレンジを無料でお試しください。
このような攻撃はどの程度あるのでしょうか?
ソーシャルエンジニアリングは、サイバーセキュリティの最も弱い部分と考えられてきたため、攻撃のベクトルとして防御することが困難です。Uberのハッキング事件は、MFAの実装が簡単に回避されることを明確に示しています。これを防ぐには、フィッシング攻撃の仕組みについて従業員の意識を高めることが重要です。
しかし、Uberの内部サービスが暴露された原因は、PowerShellスクリプトに含まれていた管理者のユーザー名とパスワードです。認証情報をハードコードすることは、開発者やコードにアクセスできる人なら基本的に誰でも読めるようになるため、決して良いことではありません。
しかし、繰り返しになりますが、意識が重要なのですセキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書く可能性も低くなります。
ソーシャルエンジニアリングに関する一般的な教育と、より具体的にはプロアクティブなセキュアコーディングのトレーニングという2つのアプローチにより、コードベースの脆弱性の数を減らし、セキュリティ脅威との戦いにおいて重要であることが証明されます。
セキュアコーディングのベストプラクティスの最新情報についてもっと知りたいですか?セキュア・コード・コーチをご覧ください。ここでは、セキュアコーディングのガイドラインを学んだり、トレーニングの練習を無料で試したりすることができます。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Laura Verheyde はSecure Code Warrior のソフトウェア開発者で、脆弱性のリサーチとMissions および Coding labs のコンテンツ作成に注力している。
Secure Code Warrior は、セキュリティや開発者コミュニティに対して、安全なコードの書き方や、安全でないコードによってもたらされる脆弱性のリスクの軽減に関する教育を支援することに深くコミットしています。この目標の一環として、私たちは、Uberの最近のセキュリティインシデントという 発展途上のストーリーを、開発者主導のセキュリティと左遷の重要性を議論する機会として活用する予定です。
Uberのセキュリティ事故について
Uberは、9月16日にサイバーセキュリティ事件に関する声明を発表し、現在も更新を続けています。読者は、これが現在進行中の話であることを心に留めておく必要があります。これまでのUberの発表や、セキュリティコミュニティでの評判の良い投稿を通じて分かったことをまとめてみよう。
このハッカーは、Uberの従業員のWhat'sAppの番号を見つけ、ソーシャルエンジニアリングを行うことから始めました。攻撃者は従業員に連絡を取り、無防備な従業員に偽のUberサイトにログインさせ、ユーザー名とパスワードを取得することで認証情報のフィッシングを開始しました。
Uberのアカウントは多要素認証(MFA)で保護されています。つまり、ユーザーはパスワードを提出する以外に、本人であることを確認するための第2の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を入手した後、攻撃者はUberの純正サイトへのログインを継続的に試み、従業員のデバイスに多数のプッシュ通知を流して圧倒し、MFA疲労攻撃を開始しました。再び、攻撃者はWhatsApp経由で被害者に連絡しました。今回はITサポートのふりをし、承諾するよう説得することに成功したとされています。
ハードコードされたクレデンシャル
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、PowerShellスクリプトを含むネットワーク共有を発見しました。これらのスクリプトの1つには、管理者ユーザーのハードコードされた認証情報が含まれており、AWS、G-Suite、コードリポジトリなど、Uberの内部サービスの侵害につながったのです。また、ハッカーはUberのHackerOneアカウントにアクセスすることができました。ただし、Uberによると、"攻撃者がアクセスできたバグレポートはすべて改善された "という。
この脆弱性がコードでどのように見えるか興味がありますか?PowerShellのチャレンジを無料でお試しください。
このような攻撃はどの程度あるのでしょうか?
ソーシャルエンジニアリングは、サイバーセキュリティの最も弱い部分と考えられてきたため、攻撃のベクトルとして防御することが困難です。Uberのハッキング事件は、MFAの実装が簡単に回避されることを明確に示しています。これを防ぐには、フィッシング攻撃の仕組みについて従業員の意識を高めることが重要です。
しかし、Uberの内部サービスが暴露された原因は、PowerShellスクリプトに含まれていた管理者のユーザー名とパスワードです。認証情報をハードコードすることは、開発者やコードにアクセスできる人なら基本的に誰でも読めるようになるため、決して良いことではありません。
しかし、繰り返しになりますが、意識が重要なのですセキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書く可能性も低くなります。
ソーシャルエンジニアリングに関する一般的な教育と、より具体的にはプロアクティブなセキュアコーディングのトレーニングという2つのアプローチにより、コードベースの脆弱性の数を減らし、セキュリティ脅威との戦いにおいて重要であることが証明されます。
セキュアコーディングのベストプラクティスの最新情報についてもっと知りたいですか?セキュア・コード・コーチをご覧ください。ここでは、セキュアコーディングのガイドラインを学んだり、トレーニングの練習を無料で試したりすることができます。
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.