Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ホワイトハッカーが人気職種になる

新年2本目は、ホワイトハッカーの記事を取り上げたいと思います。InfoSecurity Magazineの記事では、トップのホワイトハッカー5年以内に収益が1000万ドル(約10.3億円)を達成する見込みとなっている様です。

www.infosecurity-magazine.com

 

キタきつねの所感

日本ではLINEサイボウズ等の一部企業が採用していますが、海外ではバグ報奨金プログラムが果たす役割が年々増してきており、GMスターバックス任天堂PayPal, Google、ゴールドマンサックス、トヨタIBM等の有名企業のみならず、政府や行政機関がこうしたプログラムを利用し、多額の報奨金が支払われる様になってきています。

この動きを加速させたのが、企業とホワイトハッカーをつなぐプラットフォームを2012年から提供するHackerOneです。会員数は20万人以上と言われ、多くの有名企業が利用しています。

f:id:foxcafelate:20210102071520p:plain

 

InfoSecurity Magazineでは、HackerOneのホワイトハッカーに2021年以降の予想を聞くというユニークな記事(1/1)を出していましたので、こちらの一部内容をご紹介します。

機械翻訳なので精度(読みにくい所が多々あるの)はご容赦下さい

 Julien Ahrens a.k.a @MrTuxracer; Germany 

来年の企業にとって最大の脅威は何だと思いますか?
特にデジタル化を始めたばかりの人に対しては、攻撃の流入が見られます。私が特に懸念していることの1つは、すべてをオンラインで移動している学校などの政府機関の速度が非常に速いことです。彼らは非常に短い時間でシステムとプロセスを構築する必要がありましたが、これはセキュリティに関しては決して良いことではありません

来年最大のリスクをもたらすものは何ですか?
企業が脅威について従業員を十分に教育する時間がなかったため、十分に警戒されていない人々に対するこれらの攻撃のソーシャルエンジニアリングは大幅に増加します

(Infosecurity Magazine記事より引用)※機械翻訳

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

コロナ禍に伴う急速なDX化は、良い面と悪い面があり、その悪い面の1つがセキュリティを軽視してDX化を推進する事なのだと思います。ハッカー視点では、そこが狙い目になる、この事を忘れてしまうと痛いしっぺ返しになりそうです。

 

James Kettle a.k.a @albinowax; UK

今年は何が変わりましたか?
最大の脆弱性クラスに対する緩和策が大幅に増加しているのを見てきました。ブラウザでデフォルトで有効になっている同じサイトのCookieから、AmazonがHTTP Desync Guardianをリリースするまで、ハッカーは、メンテナンスが不十分なWAF正規表現よりも大きな障害を回避する必要がますます高まっています。

2021年にはどのような脆弱性の傾向が現れると思いますか?
リクエストの密輸、パラメータの汚染、パスの正規化の悪用などを通じて、マルチサーバーアプリケーション間の不一致を悪用する人が増えるでしょう。

(Infosecurity Magazine記事より引用)※機械翻訳

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

企業側の脆弱性緩和策が進んでいく中、ハッカー側は自動スキャナー等で従来の(成功していた)攻撃が検出されたとしても、競合状態やタイミング攻撃など、企業側の防御が曖昧になっている部分を攻める事になると予想しています。

 

Shubham Shah a.k.a @notnaffy; Australia

来年はどのような脆弱性の傾向が現れると思いますか?あなたの地域に特に影響を与えているものはありますか?
APACでは、引き続きクラウドファーストのアプローチを採用しており、クラウドへの移行に伴い、重要なアプリケーションとサービスの展開を調整するために、企業が新しいテクノロジーを採用することを期待しています。新しいテクノロジーと方法論が採用されているため、通常、脆弱性につながる可能性のある構成ミスとステップミスがあります

来年、どの業界が最もリスクにさらされるでしょうか?
2020年の第4四半期に見たように、攻撃者は、ランサムウェア攻撃から目標を達成するために、重要な情報(医療記録)を保存したり、重要なインフラストラクチャ(病院)をホストしたりする企業を標的にしています。残念ながら、私はこの傾向が続くと信じており、モラルを完全に無視して、私たちの社会で最も脆弱な人々にサービスを提供している業界や企業をターゲットにしています。

これは将来の厳しい見通しですが、現在の攻撃者のペースを考えると、私たちの生活に不可欠なインフラストラクチャ(SCADAシステム、電話会社、ヘルスケア、教育)がターゲットにされていても驚かないでしょう。

(Infosecurity Magazine記事より引用)※機械翻訳

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

クラウドへのシフトにおいて、構成ミスや設定ミスが狙われる。新しい環境を構築する上で、サービス(更新)リリース前の脆弱性診断(※出来れば外部侵入テスト)の重要性が増しているのかと思います。その知見が無い企業/組織は外部の力を借りるべきなのかと思います。併せて、重要(IoT)インフラへの攻撃、2021年は顕在化してきそうな気がします。

 

Samuel Eng a.k.a @Samengmg; Singapore

来年、企業や政府機関にとって最大のセキュリティ脅威は何だと思いますか?
私はまだ多くの認証バイパスとアクセス制御の問題を見つけています。これらはどの企業にも大きな影響を与え続けていると思います。問題はアプリケーションのコンテキストに基づいているため、これはおそらく継続します。スキャナーはこれらの問題を検出しないため、それらを探す経験と訓練を受けた目が必要です

来年はどのような脆弱性の傾向が現れると思いますか?
OTPバイパスは、APACで非常に目立つ傾向があります。2FAは、APACで急速に出現したコンプライアンス要件であり、これは、開発者がこれらの機能を迅速に展開する傾向があるが、安全ではないことを意味します。一方、フレームワークが安全なデフォルト設定を採用しているため、CSRFSQLインジェクションなどの以前の一般的な脆弱性は軽減されます。

(Infosecurity Magazine記事より引用)※機械翻訳

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

多くの企業/組織が2021年に取り組む可能性がある”ゼロトラスト(再設計)”においても認証は鍵となりますが、そろそろOTPを引っ張るのは(利用環境にもよりますが)厳しいのかも知れません。

 

 日本では以前ご紹介した気がしますが、BugBounty.jpが同様なサービスを展開していますが、HackerOneに比べると、必ずしも流行っているとは言えず、トヨタ任天堂など、グローバルな企業等一部を除いて、日本企業/組織はホワイトハッカーを使いこなすという海外の動きに対し、周回遅れになりつつあります

 

InfoSecurity Magazineの記事では、トップのホワイトハッカーが数億円規模の(累計)報奨金を数年以内に得る可能性が高いと予想しており、近い将来、現在のYouTuberの様に多くの優秀な才能を持つ若者がこの分野に向かう事は間違いないかと思います。

問題は、彼らの才能が発揮される場が日本ではなくなってしまう可能性が高い(海外に引っ張られてしまう)事です。2021年は国内企業や組織バグ報奨金(ホワイトハッカー活用)への理解、議論が進む事を期待したいと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ホワイトハッカー集団のイラスト

 

更新履歴

  • 2021年1月2日 AM