過去の実績例

WEBアプリケーションのペネトレーションテスト

民間企業基幹業務WEBアプリケーション

リクエスト数: 80+
マニュアルテストによりSQLインジェクション及びセッションフィクセーションを発見。その他複数の脆弱性スキャナーによりミスコンフィギュレーション等の軽微な脆弱性の発見。エクスプロイトによりデータベースへのアクセス及びビジネスデータの収集に成功、セッションフィクセーションは自身でコーディングしたスクリプトによりログインクレデンシャルのバイパスを再現できる形で実証しました。イントラネット内で使用するアプリケーションですが、社内クライアントマシンが攻撃者のコントロール下に落ちた場合に想定できる攻撃手法やデータ転送経路を証明しこの脆弱性を悪用された場合のインパクト等ビジネスリスクをご説明。全ての脆弱性の修正を確認後プロジェクトを終了しました。

官公庁一般公募用WEBアプリケーション

ログインセッションマネージメントに不備を発見、セッションフィクセーションによりユーザーのログイン状態のインターセプトが可能であることを確認。また確認通知メール送信機能にセキュリティ上のバグがあり攻撃者が複数の任意の宛先へ任意のメッセージを送信できる脆弱性を発見しました。契約により報告まででプロジェクトは終了となりました。

民間企業スマートフォンアプリケーション脆弱性診断

APIによるWebsocketsのテストをメインに行いました。オープンソースツールによる手動診断でハンドシェイク時のCSWSH(Cross Site Websocket Hijacking)の脆弱性、またWebsockets通信上でサーバーサイドでデータが適切にバリデーションが行われておらずXSS脆弱性を発見しました。契約によりエクスプロイトは不実行。アプリケーションの修正をご提案し、修正を確認後プロジェクトを完了しました。

他多数。

サーバーサイドペネトレーションテスト

民間企業オンプレミスサーバーのペネトレーションテスト

サーバーサイド脆弱性診断
ネットワーク内部及び外部からのポートスキャン後、スキャンツールによる脆弱性診断。SSHに対してクラフトしたパスワードリストによる攻撃、暗号化状況の診断等を行いました。外部からの直接的な攻撃点や暗号化通信方法の脆弱性等は見つからなかったものの、内部からは容易にエクスプロイトが可能な脆弱性を発見。ネットワーク内部からのデータベースサーバーへのadmin権限でのアクセスを実証しました。またSSH上にパスワードクラフトツールで容易に推測できる脆弱なパスワードが見受けられパスワードポリシーの明確化他継続的なログ収集及び監視をご提案いたしました。

他多数。

クライアントサイドペネトレーションテスト

民間企業社内ネットワークのペネトレーションテスト

Platform: Windows他
ネットワーク内部のクライアントマシンがマルウェア等により攻撃者にコントロールを奪われた状況を想定。スキャンツールによるクライアントマシンの脆弱性診断とネットワーク内セグメントの調査を行い攻撃者目線での内部からの攻撃経路の洗い出し、Pivotによるファイルサーバーへの到達難易度や暗号化状態について調査いたしました。調査結果を元にセグメントの構築や人的なセキュリティポリシーの構築をご提案。再テストにより一部の改善を確認、継続的なログ監視や段階的な改善を提案。

他多数。

インシデント・レスポンス

サーバーサイドマルウェアハント

データベースサーバーへのインシデントが疑われプロセスの調査によりマルウェアの存在を確認。ログによりパスワード攻撃によるroot権限の奪取を再確認、時系列及び侵入経路、侵入後の行動の洗い出し、また事後対策を兼ねPost Exploitationによる影響範囲を探るためペネトレーションテストへ移行しました。

他多数。

スピーカー・講演等

WEBディベロッパーが見落としがちな5つのポイント / OWASP Sendai 2016年1月

クライアント攻撃だけではない標的型攻撃の総合メソドロジー / OWASP Sendai 2016年2月

ペネトレーションテストの総合メソドロジー&デモ / 東京ITC 2016年3月

クロスサイトスクリプティングを悪用したブラウザハッキングデモ / OWASP Sendai 2016年5月

「攻撃者目線+ビジネス目線=ペネトレーションテスト」~攻撃者目線が加わることで見えてくるビジネスリスクの評価~ / ITCみやぎ・SAAJ東北・JISTA東北ワークショップ2016

企業のセキュリティ対策セミナー -攻撃者目線を知ることで気づく日常のセキュリティ- / 仙台商工会議所 2016年12月

他社内研修等。

その他

宮城県自治体情報セキュリティクラウド構築総合評価審査委員(2016年)