Penetration Test / Ransomware
Webアプリケーション脆弱性診断 / ペネトレーションテスト / ランサムウェア対策
『ITDIRECT セキュリティ診断サービス』
サイバーセキュリティ対策の最も効果的なアプローチは、攻撃者・ハッカーの立場で考えることです。
多くの脆弱性を発見するよりも攻撃のリスク評価を重視し、サイバーセキュリティ対策の優先順位を設定します。
特徴
FEATURE
- 開発・テスト環境で実施する標準的なWebアプリケーション脆弱性診断、ツールでは検出困難な複雑なアプリケーションに対応した脆弱性診断、そして本番環境での攻撃シミュレーション型リスク検証を目的としたペネトレーションテストの3つをご提供しております。お客様のご要望・状態に応じて、柔軟なご提案が可能です。
メニュー
MENU
- 主としてOWASP ZAPを使用して脆弱性診断テストを行います。昨今では認証が複雑になっているため診断対象に漏れがないように、手動でも診断対象を確認してテストします
- 業務での本番環境のシステムやデータを破壊してしまわないように、攻撃を自動シュミレーションしてリスクを評価します。Web サイトやアプリケーションの他、ランサムウェア等の社内環境への攻撃もテストできます。
- ペネトレーションテストは、主に業務環境や本番環境でのセキュリティ診断テストとなりますので、データの破壊等が生じないように、慎重にテストを行います。
Webアプリケーション脆弱性診断
ペネトレーションテスト
Webアプリケーション脆弱性診断テスト
開発時およびリリース前のWebアプリケーション脆弱性診断テストを行います。ツールは主にOWASP ZAPを使用します。
Webアプリケーション脆弱性診断テスト
OWASP ZAP
当社が得意とするダイレクトチャネルを活用したWebアプリケーションについて、脆弱性診断テストを行います。
主に開発環境やテスト環境を用いて、本番リリース前のWebアプリケーションの脆弱性を診断し、ご要望に応じてアプリケーションの改修サポートをご提案いたします。
手動確認が必要なアプリケーションの脆弱性項目の例
ビジネスロジックや状態管理など、自動化ツールでは検出困難な脆弱性診断テストを行います。
- ビジネスロジック
不正な割引適用 - 購入金額の改ざん、ユーザーの意図しない行動や価格の不正調整など
- 認可制御
- 他ユーザーのデータへのアクセス制限が不十分
- CSRF
- 状態変更操作のトークン不備、トークン有無の検査はZAPでは限定的対応
- 多段階認証
- MFAの不備、バイパス可能なロジック、SMS認証やOTPなどのステップをバイパスできるか
- コンテキスト依存のXSS
- JavaScript内の変数、属性値内の反映、反射型でもZAPが正しく評価できないことがある
- 再現困難な脆弱性
- 一時ファイル処理や時間依存の挙動、特定の時間帯や順序でのみ発現するバグなど
- 状態を伴うUIロジック
- 複数画面をまたいだ動作不備、チェックボックス→確認画面→決済のような複雑UI
- DoS/リソース枯渇
- リクエストフラッド、無限ループ、自動診断では攻撃しきれない or 意図的に制限されている
- 不正な割引やクーポン適用
- 割引率の改ざん、価格不整合→ZAPはロジックを理解できない
- 不正な決済フロー
- 支払わずに商品を入手、複数画面をまたぐステップに対応不可
- カート操作の不整合
- 数量や金額の不正操作、状態変化を伴う検証が必要
- 認証なしで機能が実行可能
- ログインしなくても決済できるなど、条件付きアクセスの検証が必要
- IDOR(Insecure Direct Object Reference)
- 他人のデータ(/user/123など)にアクセス可能→ZAPはユーザーごとの権限を区別できない
- 水平的権限昇格
- 一般ユーザーが他人の注文を閲覧、テストユーザーの役割切替が必要
- 垂直的権限昇格
- 一般ユーザーが管理者操作を実行、ロールによる制御がZAPには不可視
- CSRFトークンの未実装
- 状態変化リクエストに保護がない、ZAPのCSRF検査は限定的・正確性が低い
- トークン検証ロジックの不備
- 同一トークンが複数回使えるなど、状態保持や検証ロジックを理解できない
- バイパス可能な二段階認証
- 一部の認証経路でMFAが省略される、セッション状態や認証フローの理解が必要
- OTPリプレイ攻撃
- 有効期限や再利用チェックが不十分、繰り返しテストや状態確認が必要
- JavaScript文脈でのXSS
- var a = "$input"; のような文脈、ZAPはJavaScriptの実行文脈を正確に把握できない
- 属性値内のXSS
- <img src="$input"> のような属性挿入型、コンテキストの違いで攻撃方法が変わる
- 3ステップ以上のフォーム送信
- 入力 → 確認 → 実行 のようなフロー、ZAPは状態管理ができず、最終ステップまで進めない
- JS依存の遷移(SPA等)
- ボタン押下でAjaxや画面遷移するUI→DOMイベントや非同期処理を自動スキャンしきれない
- リクエストフラッド
- 連続投稿、ログイン爆撃、意図的な負荷をZAPは避ける設計
- 巨大ファイルアップロード
- 数GBのファイルでサーバーダウン、スキャン中に実行すると他システムに影響あり
- バックアップファイルの露出
- .bak, .old, .zip などがそのまま公開、一部はディレクトリスキャンで可能だが、網羅不可
- ログ情報漏洩
- エラーメッセージから情報漏洩、特定の操作や例外をトリガーしないと表示されない
- クラウド構成ミス(S3 Bucketなど)
- アクセス制御の不備、Webアプリではなくクラウド設定の問題なのでZAP外
- クリックジャッキング
- iframeによる誘導
- 不適切なログ出力
- ログにパスワードやトークンが記録される、ZAPはサーバーログを参照できない
- 業務的・契約上の脆弱性
- ロールベースの機能制御、条件違反、技術的というより業務運用に関する項目
- SQLインジェクション/コマンドインジェクションのシグネチャ検出
- 各フォームでの不正なアクセス検出(ディレクトリトラバーサルなど)
- レースコンディション
- 同一座アドレスで同時に複数決済リクエストを高速送信し、在庫/注文番号重複や二重発行を誘発など。ZAPでは単純な直列リクエスト送信しか行わないため検出困難
- クライアント側ストレージ信頼問題
- sessionStorage 内のカート情報をユーザが改ざん(価格/商品)し、そのまま API に送信 → サーバ側で再計算/検証していないと不正価格注文など
- 詳細な DOM ベース XSS / React 特有の脆弱性
- React で dangerouslySetInnerHTML を条件付きで使用しているケース等、特定操作後のみ発現する DOM XSS。
活用例
USE CASE
- 金融機関Webサービスの脆弱性診断テスト
- ECサイトの脆弱性診断テスト
- Web予約システムの脆弱性診断テスト
- その他Webサイト全般
ペネトレーションテスト
(本番環境向け)
社内ネットワークへの侵入テスト、マルウェアなどの標的型攻撃を防止するためのペネトレーションテストを自動化し、貴社のシステムを守ります。
AI自動ペネトレーションテストツール
Ridge Security/RidgeBot
RidgeBot®は、世界的に有名なテクノロジーコンサルティングおよび調査企業であるGartnerにおいても、Penetration Testing Tools Reviews(2024)におけるレビュープラットフォームにおいても高い評価を得ています。
レビュープラットフォーム『Gartner』
特徴
FEATURE
『ITDIRECT PenTest』は、限られた時間/コストで貴社の重要な情報資産が晒されている脅威を明らかにするため、脆弱性を網羅的に点検することに加えて、RidgeSecurity社のRidgeBot®(AI駆動/自動ペネトレーションテスト)を活用します。
AIロボットを活用したハッカー視点の自動ペネトレーションテストツール(RidgeSecurity社のRidgeBot)によって、検出される多数の脆弱性について攻撃をシュミレーションし、実際に侵入・侵害を許すリスクの高い脆弱性を洗い出して、対策の優先順位を明らかにします。
メニュー
MENU
- アセットプロファイリングをローンチし、対象のマシンの OS タイプ、オープンポート、アクティブなサービスや Web サイトのドメイン名/サブドメイン名、暗号化キーの情報、Web フレームワークおよび外部 URL/URI 露呈などを検出します。
- スキャンタイプ:ホスト
- サイバー攻撃を対象の Web サイト、Web アプリケーションおよび全ての関係する攻撃表面に実行します。攻撃対象には社内開発ある いは CMS ベースの Web サイトが含まれます。
- スキャンタイプ:Web サイトおよび Web アプリケーション
- ポートスキャンを利用して対象の攻撃表面のどこが晒されているかのプロファイリングをし、また様々なネットワーク攻撃テクニックを使 って脆弱性の検知とその対象のリスクに侵害します。
- スキャンタイプ:ホスト
- ポートスキャニングをおよびデフォルトの Web クロウリングを使って対象の攻撃表面のどこが晒されているか、プロファイリングし、また 様々なネットワーク攻撃テクニックを使って脆弱性の検知とその対象のリスクに侵害します。もし顧客が Web クロウリングをカストマイズしたい、あるいはクロウリングとプロキシーモードを合わせて Web サイトログインを回避したい場合は、そのタスク向けには Web 関連のシ ナリオを選択してください。
- スキャンタイプ: ホストおよびホスト管理インターフェースのみ
- 脆弱なクレデンシャルや許可ないアクセス侵害によって収集された重要なデ情報に対してサイバー攻撃を仕掛けます。攻撃の対象は様々なアプリケーションログイン、Web ログイン、Redis、Elasticsearch、ActiveMQ, データベースなどを含みます。
- スキャンタイプ: ホスト
- Struts2、Spring、Fastjson、ThinkPHP その他多くの一般的に利用されるサードベンダーフレームワークに対してサイバー攻撃を仕掛けます。
- スキャンタイプ: Web アプリケーション
- サーバリモートコマンド実行(RCE)攻撃、Windows リモートデスクトッププロトコール(RDP)、ブルートフォース攻撃など、APT グループがラ ンサムウェア攻撃を実行する際に頻繁に使われる様々なテクニックを利用します。
- スキャンタイプ: ホストおよび Web アプリケーション
- サーバリモートコマンド実行(RCE)攻撃、Windows リモートデスクトッププロトコール(RDP)、Windows リモートコマンド実行(RCE)攻撃、脆 弱パスワード
- ブルートフォース攻撃など APT グループがランサムウェア攻撃を実行する際に頻繁に使われる様々なテクニックを利用します。
- スキャンタイプ: ホストおよびホスト管理のインターフェース
- サードベンダの脆弱性テストレポートをアップロードし、その結果の確認のためにペネトレーションテストタスクを実行する許可を与えます。
- スキャンタイプ: ホストおよび Web アプリケーション
- RidgeBot Botlet が悪意あるソフトウェアを疑似して、あるいはマルウェアのシグニチャをダウンロードして対象のエンドポイントのセ キュリティ制御が有効かを確認します。テスト結果で防御率が高い方がその対象エンドポイントが安全であることを示します。
- RidgeBot Botlet がサーバからの無許可のデータの持ち出しを疑似します。テスト結果で防御率が高い方がそのデータ搾取に対する攻撃の手法が検知され防衛できることを示します。
- RidgeBot Botlet が攻撃者が Windows Active Directory 内の有用な情報を集めて権限昇格、内在、情報略奪などをすることを疑 似します。テスト結果で防御率が高い方が Windows AD サーバの保護の状態が良いことを示します。
1) Attack Surface Identification (攻撃表面検知)
2) Website Penetration (Web サイトペネトレーション)
3) Host Penetration (ホストペネトレーション)
4) Intranet Penetration(イントラネットペネトレーション)(IP+デフォルトのクロウリング)
5) Weak Credential Exploit (脆弱クレデンシャル侵害)
6) 3rd Party Framework Penetration Testing (サードベンダーフレームワークペネトレーションテスト)
7) Ransomware Penetration (ランサムウェアペネトレーション)
8) Intranet Ransomware Penetration (イントラネットランサムウェアペネトレーション)
9) 3rd Party Scanning Result Validation (サードベンダスキャニング結果評価)
10)Endpoint Security (エンドポイントセキュリティ)Coomin Soon
11)Data Exfiltration (データ持ち出し)Coomin Soon
12)Active Directory Information Recon (AD 情報リコン) Coomin Soon
活用例
USE CASE
- 金融サービスの侵入テスト
- 製造業の侵入テスト
- 病院/介護/ヘルスケアの侵入テスト
- 教育/転職サービスの侵入テスト