ペネトレーションテスターは見た！第3回「ペンテスターだって負ける日もある。だって人間だもの。」

実は、筆者の10年以上の長いペネトレーションテスターキャリアにおいて、これが初めての負け試合だった。そして、まだこの時点ではさらに半年後にまさか2つ目が待っていようとは筆者自身知る由もなかったのである。

特集コラム

2018.12.19 Wed 8:30

筆者株式会社キーコネクト代表取締役利根川義英氏、“ カンパイ ”の図全 1 枚拡大写真

　前回の記事をやっとの思いで見つけた所、なんと 2017 年 5 月となっていた。1 年以上も筆を放り投げてしまっていた状態だったことになるが、読者の皆さんは筆者のことを覚えていてくれているだろうか。

　「海から上がったら昆布絡まった画像」を見てもらえれば思い出してもらえると思うが、この 1 年余りの間に弊社（といっても私しかいない（註 1 ）が）におきた出来事をお話したいと思う。タイトルで察して頂けたかもしれないが、今回はペネトレーションテスターとしての敗北、つまり「侵入できなかった」話だ。

（註 1 ）正確には私しかいなかった。今年の 4 月に従業員の採用をしたので現在は社員 3 名！

■敗北の日は突然に

　丁度前回の記事が公開された翌月のことである。とある企業からセキュリティ診断（ペンテスト）の相談を頂いたのでお打合せに伺った。今回の相談は、スマートフォンアプリの API に対する診断だ。API の診断なら Web アプリの診断と（ほぼ）同様の工程（註 2 ）で作業もできるし、検出される脆弱性も似たようなもの（註 3 ）で、ただちょっと作業そのものの効率化ができるかどうか微妙（註 4 ）だった。

（註 2 ）通常の Web アプリの診断と違ってアプリでの検証の場合 SSL/TLS の通信のインターセプトができるかどうか微妙なケースがある。

（註 3 ）とはいえ、サーバからのレスポンスをアプリが受け取った際の挙動が仕様通りかどうかの判断が難しいケースがある。API 診断の場合は事前の調整で API の仕様などを公開してもらうケースが多い。今回も公開してもらえるように調整を行った。

（註 4 ）API そのものに認証トークンや改ざん検知の signature などが付いている場合、繰り返し送信する事が難しくなるので手間が通常よりもかかることがある。

　打合わせをしてみると、いつも通り診断ができそうだと分かったため、依頼企業から検証用アプリをもらって自社の検証用 iPhone にインストール＆疎通の確認まであっさりと完了した。

ペネトレーションテスターは見た！第3回「ペンテスターだって負ける日もある。だって人間だもの。」

関連記事

【Scan PREMIUM 記事配信予告】あの男が帰ってくる！～翼の折れたペネトレーションテスター

ペネトレーションテスターは見た！第1回「ペンテスターの苦悩～脆弱性が見つからないのは○○だから？」

ペネトレーションテスターは見た！第2回「誰が困る？脆弱性出すぎ問題」

ハッカーなんかいらない？「Password1」レベルの怠惰なパスワードが 3 社に 1 社のドアを開く～GPU を利用したペネトレーションテストがもたらす、防御とパスワードの「さらに悪いニュース」（The Register）

この記事の写真

関連リンク

特集

アクセスランキング

世界ではじめて脆弱性診断士資格「セキュリスト（SecuriST）」を作った三人の男PR

カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

神奈川県と富士通リースがHDD盗難のクリスマス和解～賠償 4,097 万円再発防止策差し引き和解金 2,369 万円で合意

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

一体どうバランスを取るか？高度なサイバー攻撃対策＆日々のセキュリティ運用PR

ソフトバンク元社員不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

#NoMoreFake 第3回「ファクトチェック」

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法（Scan Tech Report）

IDC予測、2024年までのセキュリティ製品サービス市場規模