開発者目線の脆弱性診断

セキュリティ対策 今知っておくべき脆弱性とは⁉ 開発者⽬線の脆弱性診断⼊⾨ GMOサイバーセキュリティ byイエラエ株式会社 脆弱性診断研究会 松本隆則 2024年8⽉7⽇(⽔)

目次 1. はじめに 6. 脆弱性診断の⽬的と⼿法 2. 本セッションの⽬標 7. 脆弱性診断に必要な知識やスキル 3. ⾃⼰紹介 8. 脆弱性診断フロー 4. ⼩ネタ・宣伝 9. 脆弱性診断の学習⽅法 5. サイバー攻撃の現状 10. まとめ © 2024 脆弱性診断研究会 Security Testing Workshop 2

はじめに 技術評論社の「Software Design」2024年7⽉号の 第２特集「脆弱性診断⼊⾨ 脆弱性の発⾒⼿法と 対策アプローチを⾝につけよう」をベースに、 Webアプリケーション開発者として知っておくべき ｢脆弱性診断｣についてお伝えします。 © 2024 脆弱性診断研究会 Security Testing Workshop 3

• https://gihyo.jp/magazine/SD/archive/2024/202407

本セッションの目標 • サイバー攻撃の最新情報を知る • ⾃⾝の開発現場に取り⼊れるべき 考え⽅や対策⽅法を学ぶ © 2024 脆弱性診断研究会 Security Testing Workshop 4

自己紹介 松本 隆則 @nilfigo（ニルフィ）(X(Twitter), Facebook) • 脆弱性診断研究会 主宰 • ZAP Evangelist • GMOサイバーセキュリティ byイエラエ株式会社 • セキュリティジェネラリスト • • アセスメントサービス部 診断1課（Webアプリケーション診断） 教育課（兼務） © 2024 脆弱性診断研究会 Security Testing Workshop 5

脆弱性診断研究会 • Webアプリケーション脆弱性の診断手法や 脆弱性診断ツールの使用法などを研究するコミュニティ • コワーキングスペース茅場町Co-Edo様にて 2014年8月に最初のセミナーを開催（初回参加者：ひとり…） • 2024年8月現在で90回以上のハンズオンセミナーを実施 © 2024 脆弱性診断研究会 Security Testing Workshop 6

小ネタ OWASPとZAP © 2024 脆弱性診断研究会 Security Testing Workshop 7

OWASP The Open Web Application Security Project ↓ The Open Worldwide Application Security Project 2023年2月にダブリンで開催されたOWASPのカンファレンス 「Global AppSec 2023」で変更が発表された模様。 © 2024 脆弱性診断研究会 Security Testing Workshop 8

ZAP（Zed Attack Proxy） OWASP ZAP ※ → ZAP 2023年8月にOWASPからSSP（The Software Security Project）へZAPプロジェクトが移籍 © 2024 脆弱性診断研究会 Security Testing Workshop 9

宣伝：GMOイエラエで働こう！ l 新卒、第⼆新卒、中途 ⼤歓迎！ l 10年前からフルリモートワーク実施！ （部署や職種による） l 10年前からフルフレックス制！（部署や職種による） l ⼊社後の研修＋OJTでスキルアップ！ l 社内インターン制度などで他部署への異動が可能！ © 2024 脆弱性診断研究会 Security Testing Workshop 10

サイバー攻撃の現状 • フィッシング被害の急増 • インターネットバンキングにおける不正送⾦ • クレジットカードの不正利⽤ 11

フィッシング被害の急増 • 令和元年からの5年間で約21倍に増加 • 令和5年は前年⽐で23万件増(過去最多) • 多くはクレジットカード事業者や 1,196,390 968,832 526,504 ＥＣ事業者をかたるもの 224,676 55,787 R1 R2 R3 R4 R5 フィッシング報告件数の推移※ ※フィッシング対策協議会のフィッシングレポートおよび月次報告書から作成（https://www.antiphishing.jp/） © 2024 脆弱性診断研究会 Security Testing Workshop 12

インターネットバンキングにおける不正送金 • 令和5年の被害総額は 約87億3,130万円（過去最多） （件） 6,000 （億円） 100.0 90.0 5,000 80.0 70.0 4,000 • 被害者の⼤部分は個⼈ 60.0 3,000 50.0 40.0 （5,461件、97.9％） 2,000 30.0 20.0 1,000 10.0 • 40代から60代の被害者が約6割 0 0.0 H31 R2 R3 総件数 R4 R5 被害額（概数） インターネットバンキングに係る不正送⾦事犯の 発⽣件数及び被害額の推移※ ※「令和５年におけるサイバー空間をめぐる脅威の情勢等について」 （https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf）の図表9をもとに作成 © 2024 脆弱性診断研究会 Security Testing Workshop 13

• https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf

クレジットカードの不正利用 • 令和5年の被害総額は 過去最多の約540億円 番号盗⽤被害額 単位：億円 偽造カード被害額 その他不正利⽤被害額 600.0 33.1 500.0 400.0 16.9 33.4 300.0 200.0 3.1 23.3 17.8 21.4 1.7 1.5 504.7 8.0 411.7 311.7 100.0 222.9 223.6 H31 R2 0.0 R3 R4 R5 クレジットカード不正利⽤被害の発⽣状況※ ※一般社団法人日本クレジット協会による「クレジットカード不正利用被害の発生状況」 （https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf）より作成 © 2024 脆弱性診断研究会 Security Testing Workshop 14

• https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf

脆弱性診断の目的と手法 • ブラックボックス診断 • ホワイトボックス診断 15

脆弱性診断の目的と手法 • Webアプリケーションやシステムに存在する脆弱性を特定 • 発⾒された脆弱性のリスクを評価 • 脆弱性を修正するための具体的な対策を提案 © 2024 脆弱性診断研究会 Security Testing Workshop 16

ブラックボックス診断 診断対象のWebアプリケーションやシステムの内部構造や動作を 知ることなく、外部から診断を⾏う⼿法 • 攻撃者の視点に⽴って脆弱性を探索 • 実際の攻撃に近い形で脆弱性を発⾒ © 2024 脆弱性診断研究会 Security Testing Workshop 17

ホワイトボックス診断 診断対象のソースコードや設計書などを元に診断する⼿法 • 内部構造を理解した上で網羅的に脆弱性を検出 © 2024 脆弱性診断研究会 Security Testing Workshop 18

脆弱性診断に必要な知識やスキル • 知識・スキル • ツール 19

脆弱性診断に必要な知識やスキル • プロトコル • URL(URI) • 名前解決（ドメイン名） • Webブラウザ • ⽂字コード • HTML/CSS • 暗号 • JavaScript • 認証 • XML/JSON © 2024 脆弱性診断研究会 Security Testing Workshop 20

脆弱性診断で使用するツール • Burp Suite • Zed Attack Proxy（ZAP） © 2024 脆弱性診断研究会 Security Testing Workshop 21

脆弱性診断フロー • 診断対象：確認/選定 • 診断作業：準備/実施 • 診断結果：精査/報告 22

脆弱性診断フロー 診断対象 診断作業 診断結果 • 確認 • 準備 • 精査 • 選定 • 実施 • 報告 © 2024 脆弱性診断研究会 Security Testing Workshop 23

脆弱性診断フロー 1 診断対象確認 クローリングを適切に実施して抜け漏れなく診断対象を確認 2 診断対象選定 診断対象のセキュリティ上の重要度を考慮して実際に診断する対象を選定 3 診断作業準備 診断対象への診断元IPアドレスからの疎通や診断で使⽤するアカウントを確認 4 診断作業実施 診断対象に対して脆弱性の有無を確認 5 診断結果精査 診断で検出した脆弱性の危険度や影響などを判断 6 診断結果報告 精査した診断結果について、再現⼿順や影響、対策などをまとめて報告書を作成 © 2024 脆弱性診断研究会 Security Testing Workshop 24

脆弱性診断の学習方法 • オンライン学習 • ハンズオントレーニング • コミュニティ 25

オンライン学習 • • OWASP • さまざまなセキュリティに関する情報を無償で提供 • 脆弱性診断の⼿法やツールの使い⽅など、実践的な情報を得られる Web Security Academy • PortSwigger社が提供するWebセキュリティの学習に特化した オンラインラーニングプラットフォーム • ハンズオン形式のラボを通じて、さまざまな脆弱性の診断⽅法を学べる © 2024 脆弱性診断研究会 Security Testing Workshop 26

• https://owasp.org/
• https://portswigger.net/web-security

ハンズオントレーニング • 認定Webアプリケーション 脆弱性診断⼠ 公式トレーニング • • グローバルセキュリティエキスパート株式会社（GSX） Webアプリケーション脆弱性診断ハンズオンコース • 株式会社ラック © 2024 脆弱性診断研究会 Security Testing Workshop 27

• https://www.gsx.co.jp/services/securitylearning/securist/webappnwsecuritytesting.html
• https://www.lac.co.jp/service/education/pentest_webapp.html

コミュニティ • ⽇本ネットワークセキュリティ協会（JNSA） • OWASP Japan © 2024 脆弱性診断研究会 Security Testing Workshop 28

• https://www.jnsa.org/
• https://owasp.org/www-chapter-japan/

まとめ 29

まとめ • サイバー攻撃の動向に注意しよう • 紹介したリソースを活⽤して 脆弱性診断のスキルを⾝につけよう • セキュリティエンジニアとしての専⾨性と 開発者としての視点をバランス良く追求しよう © 2024 脆弱性診断研究会 Security Testing Workshop 30