AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)
5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。
研修・セミナー・カンファレンス
セミナー・イベント
検証用 Web サービスは、プロフィールを登録して日記を書いたり、友達とメールのやりとりをするような、一般的 SNS を模して作られており、登録されているデータは全てダミーデータ。攻撃に用いたのは、誰でも入手可能なフリーツール sqlmap で、主にセキュリティ診断用途に開発されているが、他のあらゆるソフトウェアと同様に悪用することが可能だ。
sqlmap を用いてデータベースから、「ID」「性別」「パスワード」を抜き出すまでにかかった時間は 3 分から 4 分程度で、本誌の取材に対し、攻撃デモを行った同社 プロフェッショナルサービス事業部 セキュリティエバンジェリスト 山谷 晶英 氏は「今回のデモは、広く出回っている sqlmap の基本的なオプションだけを使用して行ったもので、高度なハッキング知識を有さずとも、sqlmapを使えば誰でも攻撃することが可能。Webサービスをリリースする前に脆弱性診断を実施し、検出された脆弱性を修正してからサービスインするのは当然ながら、リリース後にこうした攻撃を検知して防ぐためにはWebサービスに対する攻撃の監視を行う必要がある」と語った。
AWS はかねてよりセキュリティに関して「責任共有モデル」を提唱、「AWS がクラウド【の】セキュリティを管理している一方で、クラウドに【おける】セキュリティはお客様の責任となります」と明記しており、インフラ部分の安全は AWS が守る一方で、アプリケーションやそのコンテンツはユーザ側でセキュリティを担保する必要がある。
MBSD が提供する「Alert Logic」は、AWS ユーザ企業向けに IDS、WAF、SIEM をオールインワンしたパッケージサービスで、特に MBSD SOC による 24 時間 365 日の監視サービスが付帯している点が特徴。インフラ監視事業者の延長サービスとしての SOC では無く、大規模事業者を主要顧客層として西暦 2001 年から SOC サービスを提供してきたノウハウを月額課金制で利用でき、大手 Web サービスなどへの採用実績が出始めているという。
《ScanNetSecurity》
関連記事
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/20559.jpg)
この記事の写真
/
