ISOG-J「細かすぎる」脆弱性診断手法公開 | ScanNetSecurity
2024.04.14(日)

ISOG-J「細かすぎる」脆弱性診断手法公開

ISOG-Jは、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本セキュリティオペレーション事業者協議会(ISOG-J)は4月12日、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開したと発表した。同分科会は、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループ。

 同ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性にターゲットを絞り、メンバーが思い思いの脆弱性について記載したもの。

 それぞれの脆弱性について、概要と原因、誤った利用の例、影響、根本的な対策と一時的な対策、参考文献なども記載されているので理解、対応がしやすい。また、クラウドサービスでは意図せず脆弱な設定をしてしまうこともあるため、活用度の高いドキュメントといえるだろう。

 現時点で掲載されている脆弱性

・NoSQL Injection
・OAuth/OpenID Connect
・Prototype Pollution
・TOCTOU/レースコンディション
・クラウドサービスにおけるWebサービスにまつわる脆弱性
 IDaaSの活用に起因する脆弱性とその悪用
 EDoS(Economic Denial of Sustainability) - IDaaS
 アプリケーションの権限に関するカスタム属性の変更 - IDaaS
 デフォルトエラーに起因するユーザーの開示 - IDaaS
 意図しないサインアップ経路の存在 - IDaaS
 FaaSにおける設定不備と脆弱性の悪用
 Webアプリケーションの脆弱性を利用した認証情報の窃取
 クラウドストレージサービスにおける設定不備
・Web Cache Poisoning

執筆者一覧(順不同)

三井物産セキュアディレクション株式会社
 廣田一貴氏、山本健太氏、洲崎俊氏

株式会社セキュアスカイ・テクノロジー
 岩間湧氏、秋本悠一朗氏、中野智夫氏

LINE株式会社
 林義徳氏

サイボウズ株式会社
 大塚純平氏

富士通株式会社
 下川善久氏

株式会社Flatt Security
 齋藤徳秀氏

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  4. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

    レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

  5. お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

    お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

  6. デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

    デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

  7. 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

    悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

  8. 北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

    北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

  9. 北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

    北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

  10. 日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

    日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

ランキングをもっと見る