2021年10月01日

脆弱性診断って実施していますか?

技術
SCUVA

こんにちは。
『SCUVA(スキューバ)』診断員のしゃちです。

東京都の新型コロナウイルスの感染者数も増加し、なかなか収束しない状況ですね。
コロナ禍の生活も2年目となり、私としては仕事においてもプライベートにおいても、良くも悪くも慣れてしまっていますが、皆さんはいかがでしょうか。

ワクチン接種予約システムから見る脆弱性
2021年3月以降、政府や各自治体による新型コロナウイルスのワクチン接種の予約が開始されましたが、それと同時に予約システムでは多くのトラブルが発生し、報告されました。
・アクセスできない!
・架空の接種券番号で予約ができる!
・未来の生年月日で予約ができる!
・期間外でも予約ができる!
・他人の個人情報が閲覧できる!  etc…
複数のシステムで仕様や不具合による様々な問題の指摘や報告がされましたが、この中には大規模接種センターの予約システムで「SQLインジェクションを使って、データベースに不正アクセスができる可能性がある」という指摘がSNSでも拡散されました。
(実際は、SQLインジェクションの被害やデータの流出は報告されていません)

SQLインジェクションとは、Webサイトが想定していないSQL文(データベースへの命令文)を実行させることで、データベースを不正に操作する攻撃手法のことです。
データベースには、いろいろなデータが登録されており、それらが不正に操作される可能性があるということです。

「うちの会社はデータベースを使ってないから大丈夫」
そう思われている方々は、注意が必要です!
データベースを利用していないWebサイトでは、当然SQLインジェクションは起こりません。しかし、だからといって、脆弱性がない安全なWebサイトであると言い切ることはできません!
SQLインジェクション以外にも、Webサイトが持つ機能によって、どのような脆弱性が潜んでいる可能性があるか、3つのCASEを挙げてみます。

■CASE1:掲示板などユーザが入力した内容を表示するサイト
掲示板などはユーザが任意に入力した内容をそのまま表示できるのが一般的です。
→このようなサイトに、クロスサイトスクリプティング(図1)に対する脆弱性があれば、攻撃者によって、偽のページを表示させられたり、不正なスクリプトを実行させられたりという可能性があります。

XSS

図1 クロスサイトスクリプティング

■CASE2:ログイン機能のあるサイト
ログイン機能があるということは、個人が閲覧できる範囲が分かれているのが一般的です。
→このようなサイトに、認可制御(図2)に対する脆弱性があれば、攻撃者に他のユーザの個人情報を閲覧されてしまう可能性があります。

認可制御の不備

図2 認可制御

■CASE3:お問い合わせのできるコーポレートサイト
お問い合わせのできるサイトは、ログインしなくても個人情報などを入力して、企業担当者にその内容をメールで送るというものが一般的です。
→このようなサイトに、CRLFインジェクション(図3)に対する脆弱性があれば、攻撃者によってメールの内容を改ざんされる可能性があります。

CRLFインジェクション

図3 CRLFインジェクション

今回は3つのCASEを挙げてみましたが、Webサイト毎にどのような機能があるかによって、潜んでいる脆弱性は異なってくるのです。もちろん、Webサイトによって、ここで挙げた以外にも脆弱性が潜んでいる可能性があります。

Webサイトは作る前の計画段階から対策を考え、作っている間にも脆弱性が潜まないように作るのが望ましい手順と言えるでしょう。しかし、脆弱性が潜まないように作られたWebサイトであっても、意図せず脆弱性が潜んでしまうことがあります。そのため、インターネットに公開する前に、脆弱性が潜んでいるかチェックをすることをオススメします。

そのようなお客様のWebサイトに対して、多くの脅威から守るために、弊社はWebサイトに潜んでいるセキュリティリスクを発見するサービス「Webアプリケーション脆弱性診断『SCUVA(スキューバ)』」を提供しております。

SCUVA(スキューバ)ってなに?泳ぐの?
「スキューバ」という言葉からまず連想されるのは、タンクを背負って水中に潜るスキューバダイビング(scuba diving)かもしれません。しかし、『SCUVA(スキューバ)』とは、弊社が提供している「Webアプリケーション脆弱性診断」のサービスのことです。
Security CatchUp Vulnerability Analyzeの頭文字をとって、『SCUVA(スキューバ)』です。
水中には潜りませんので泳ぎません。Webの世界に潜り、脆弱性を見つけ出すというイメージから考えた造語です。

『SCUVA(スキューバ)』は、診断期間、コスト、診断内容の面でバランスのとれたサービスであり、” より多く”、”より早く”、”より安く”、 Webアプリケーション脆弱性診断をご提供します。
高セキュパ

■より多く!
「ツールだけ!」「手動だけ!」の診断ではなく、「ツール&手動」を使い分けて診断することで、効率良く、さらに幅広い範囲をカバーし、できるだけ多くの種類の脆弱性を検出するようにしています!
 
■より早く!
お申込みから診断の実施までの期間が短く、診断開始から納品までは5営業日と、スピーディーな脆弱性診断をご希望のお客様に最適です!

■より安く!
必要な項目を絞ることでコストカットを実現し、1サイト当たり49万円(税抜き)という価格にて提供しております!

このような特徴から、「今まで診断を依頼した事がない…」「今すぐに診断をして貰えない…」「見積りを取ったが費用が高い…」といったお客様のご要望を満たし、ご利用いただいております!
複数のWebサイトを保有されるお客様の定期チェックにもオススメです。
また、セキュリティサービスのリーディングカンパニーであるラックが、1995年から実施してきた診断サービスで培われた独自の診断文字列や手法が活用されているなど、品質面でも高い評価を頂いています。

※ご提供価格につきましては、お客様のWebサイトの仕様、実施時期やオプションによって変動いたします。

★関連ページ
SCUVA特設サイト

さいごに
サイバー攻撃のトレンドも変化し続けており、Webサイトにも対応が求められるようになっていますが、脆弱性診断を受けようとしても、内容によって期間や費用が異なり、迷うことが多いと思います。
そうしたお客様の課題を解決するために生み出されたのが『SCUVA(スキューバ)』です。
個別対応も実施しておりますので、詳細などにつきましては、下記お問い合わせフォームより、どうぞお気軽にご相談ください。

★お問い合わせフォーム
お問い合わせ

最後までお読みいただき、ありがとうございました。

関連記事