より多くの違反、より多くの問題。サードパーティ製アプリへの信頼の代償

2018年07月05日掲載
ピーテル・ダンヒョウ著
ケーススタディ

より多くの違反、より多くの問題。サードパーティ製アプリへの信頼の代償

2018年07月05日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。

そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。

最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。

これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。

同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。

では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。

この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。

もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。

では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。

最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。

などのヒントを見つけることができます。

セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法

開発者が自分で問題を発見して解決する方法を教える方法

開発者が自らのコードを安全に構築するためにはどうすればよいか。

この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。

私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

より多くの違反、より多くの問題。サードパーティ製アプリへの信頼の代償

2018年07月05日掲載
Pieter Danhieux著

私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。

そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。

最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。

これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。

同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。

では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。

この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。

もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。

では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。

最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。

などのヒントを見つけることができます。

セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法

開発者が自分で問題を発見して解決する方法を教える方法

開発者が自らのコードを安全に構築するためにはどうすればよいか。

この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。

私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。