【セキュリティ事件簿#2024-299】東京都 個人情報の漏えいについて 2024/7/8

東京しごと財団
 

(公財)東京しごと財団(以下、財団という。)において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、このようなことのないよう、情報管理を徹底してまいります。

1 事故の概要

財団では、「シニア中小企業サポート人材プログラム」として、再就職を目指す方に向けたプログラムを提供し、受講された方のうち希望者について企業への人材情報の提供を行い、企業からの面接のリクエストにつなげる支援を実施している。

このたび、この支援を希望された方56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。

2 発生日時

令和6年7月3日(水曜日)17時26分

3 漏えいした個人情報

本来送信予定の項目

「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目

上記に加え、「漢字氏名」「年齢」「性別」

4 経緯

(1)令和6年7月3日(水曜日)17時26分、財団の職員が、488社に対し、匿名加工が施されていない受講者56名の個人情報が含まれた事務局用ファイルをメールで送信。

(2)同日17時40分、当該職員が送信したメールを確認し、誤ったファイルの送信を発見。

(3)同日17時49分、メール削除依頼のメールを全ての宛先(488社)に送信。あわせて、個別に電話やメールで連絡し、謝罪及び削除の依頼を開始。

同月8日(月曜日)までに486社に連絡が終了。連絡のついていない残り2社については、メールで経緯の説明及び削除依頼を行うとともに、継続して電話で連絡をしている。

(4)同月4日(木曜日)、受講者56名に対して、状況の説明と謝罪を開始し、同月8日(月曜日)までに55名に連絡が終了。連絡のついていない残り1名については、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

(5)現時点で二次被害等の報告はない。

5 再発防止策

  • 個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。

  • 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文アーカイブ

【セキュリティ事件簿#2024-298】奈良市が使用していたインターネットドメインの第三者による再使用について 2024/6/7

 

運用を停止した独自ドメインにご注意ください

奈良市が過去に使用していた1つのインターネットドメイン(ホームページアドレス)が第三者に再使用されていることが判明しました。

これらのインターネットドメインを利用して奈良市が開設していたホームページは既に閉鎖しており、再利用されたインターネットドメインを使って現在開設されているホームページは、当市とは全く無関係ですので、ご注意ください。

ドメインを再使用されている市が過去に開設していたホームページの名称

「ならのはるをめざして」

奈良市東部地域の観光・民泊に関する特設サイトとして令和3年度まで開設。

現在「ならのはるをめざして」は閉鎖され、後継サイトとして、「さとやま 奈良市東部地域」(https://www.city.nara.lg.jp/site/naraharu/)があります。

リリース文アーカイブ

【セキュリティ事件簿#2024-297】国立研究開発法人量子科学技術研究開発機構 QST病院の独立ネットワークのシステムにおけるランサムウェア被害について 2024/7/9

QST
 

国立研究開発法人量子科学技術研究開発機構(以下「QST」という。)のQST病院(千葉市稲毛区)が、診療業務用ネットワークとは独立したネットワークで運用管理しているシステム(重粒子線治療多施設共同臨床研究システム(J-CROS)、放射線治療症例全国登録システム(JROD)。以下「本システム」という。)において、ランサムウェア(注1)被害が発生しました。

本システムに登録されている症例情報は全て匿名化されており、患者さんの個人情報は含まれておりません(注2)。また、診療業務を含むQST病院の業務に影響はありません。

<本システムの概要>

全国の重粒子線治療施設が連携して実施する臨床試験の支援を目的としたJ-CROSと、放射線治療の実態調査研究等を目的としたJRODの2つのシステムから構成されています。本システムは、各事業に参加している全国の医療機関から重粒子線治療や放射線治療の匿名化された症例情報を登録し、重粒子線治療や放射線治療の効果や安全性、最適な施行方法などを明らかにすることへの貢献を目的としたものです。

1.経緯

令和6年1月11日(木)16時頃に本システムにおける異常を認識し、その態様からランサムウェア被害と推定できたため、同日17時40分に本システムのネットワークを遮断しました。

これまで文部科学省・厚生労働省及び個人情報保護委員会等の関係機関への報告、所轄の警察への相談、J-CROS・JROD関係医療機関への報告及び謝罪を行っています。専門機関に対して調査を依頼し、侵入経路に関する調査結果及びランサムウェア攻撃に対する再発防止策を講じたため公表するものです。

2.被害状況

本システムを構成する複数サーバ内のファイルが別名ファイルに置き換えられるランサムウェアによる不正アクセスが発生し、本システムが管理する匿名化された症例情報(J-CROS:約2.5万件、JROD:約45万件)の利用ができない状態になりました。一方、バックアップを保存しているためJ-CROS, JRODの事業に支障はなく、現在は安全なオフラインでの運用を再開しています。

現時点で情報漏えいは確認されていませんが、仮にデータが流出した場合であっても、本システムに登録されている症例情報は全て匿名化処理が行われており、患者さん個人が特定されることはありません。

本システムはQSTの基幹ネットワークやQST病院の診療系ネットワークから切り離されているため、QST病院の診療業務を含むQSTの業務に支障はありません。

3.原因

調査の結果、令和6年1月11日に攻撃者がネットワーク機器から不正に侵入し、本システム内部の複数サーバにアクセスして情報を暗号化するランサムウェア攻撃を行ったことを確認しました。

攻撃を受けた要因としては、ネットワーク機器のソフトウェアの更新が適切に行われていなかったこと、複数サーバの管理者アカウントで同一のパスワードを利用した認証を行っていたこと​等が挙げられます。

また、各部署で個別に管理しているネットワークに対するQST本部の情報セキュリティの管理体制が不十分だったことも要因と認識しております。

4.再発防止措置

QSTにおいて、以下のランサムウェア攻撃に対する再発防止措置を講じました。

  • ネットワーク機器のソフトウェアの更新を迅速に適用し、脆弱性を塞ぐ​

  • 多要素認証(例:ワンタイムパスワード)などの強固な認証方式の徹底​

  • 理事長直轄の下で外部のセキュリティの専門家が指導的な役割を果たす体制を早期に構築する​

多くの患者さんの大切な情報を扱う病院において、こうした事案が発生したことについて、大変重く受け止めております。ご心配、ご迷惑をお掛けしている医療機関の皆様に対しまして、深くお詫び申し上げます。

本システムに登録されている情報の漏えい等については、これまでの調査においては確認されていませんが、継続し調査を進めてまいります。

注1:「ランサムウェア」

感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する不正プログラム

注2:

ただし、J-CROSの実施機関担当者(24名)およびJRODの治療担当医師等(1088名)の個人情報(氏名及び所属機関情報)を含んでいます。

 リリース文アーカイブ

【セキュリティ事件簿#2024-296】浪江町職員の逮捕について 2024/7/3

 

このたび、本町職員が逮捕される事案が発生しました。

復興へ向けて全町一丸となって取り組んでいる中、また、公務員として高い倫理観が強く求められる中で、このような不祥事は誠に遺憾であり、町民の信頼を著しく失墜させる事態となりましたことを深くお詫び申し上げます。

今後、このようなことが起きぬよう、改めて職員に対し綱紀粛正、服務規律の徹底を図り、町民の皆様の信頼回復に努めてまいります。

なお、本町としましては、警察の捜査に全面協力するとともに、当該職員の処分につきましては、事実関係を詳細に確認のうえ対応いたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-095】富士通株式会社 個人情報を含む情報漏えいのおそれについて 2024/7/9


2024年3月15日にお知らせしました個人情報を含む情報漏えいのおそれについて、調査結果および既に実施済みの対策についてお知らせいたします。なお、本事案の対象となるお客様については、個別にご報告済みです。

関係者の皆様には、多大なるご心配、ご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 調査結果

本事案での影響範囲および原因の特定に向けて、当社および外部の専門調査会社によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施した結果、以下の事実が判明しました。

(1)マルウェアの挙動および影響範囲


当社の業務パソコン1台にマルウェアが蔵置された後、当該パソコンを起点に他の業務パソコンに影響を広げるマルウェアの挙動が確認されています。このマルウェアはランサムウェアではなく、様々な偽装を行って検知されにくくするなど高度な手法によって攻撃を行う類のものであり、発見が非常に困難な攻撃であったことが判明しました。

業務パソコンの調査を行った結果、マルウェア感染が確認された業務パソコン、およびその業務パソコンから複製指示のコマンドが実行され情報を転送された他の業務パソコンの台数は、当初検知していた49台以外に無かったことが確認されました。これらはすべて日本国内の当社内ネットワークにおいて使用されているものであり、日本以外のネットワーク環境下での業務パソコンへの影響の拡大は確認されておりません。

なお、これらの業務パソコンについては、当社が提供しているクラウドサービスを管理する端末ではありません。また、当社がお客様に対して提供しているサービスへのアクセスの痕跡も確認されなかったことから、お客様環境も含めた社外への被害の拡大はないものと判断しております。

(2)情報漏えいの影響範囲


当社が保有する各種ログ(通信ログ、操作ログ)を調査した結果、一部のファイルについてはマルウェアの挙動により、複製指示のコマンドが実行されております。これらのファイルは不正に持ち出されたおそれがあるため、持ち出されたものと想定してお客様への対応を行っております。複製が可能であったファイルには一部の方の個人情報やお客様の業務に関連する情報が含まれており、それらの対象となるお客様には個別にご報告を行い、必要な対応を進めております。なお、現時点で個人情報やお客様の業務に関連する情報が悪用されたという報告は受けておりません。

2. 対策・対処

本事案については、既に以下の施策を実施しております。

(1)不審な挙動を感知後、被害の疑いがあるすべての業務パソコンを社内ネットワーク環境から隔離、初期化。

(2)攻撃者が利用する侵入元の外部サーバとの接続を遮断。

(3)今回のマルウェアによる攻撃方法の特徴をパターン化し、社内のすべての業務パソコンに対しセキュリティ監視ルールを実装。また、ウイルス検知ソフトの機能強化およびアップデートを実施。

当社といたしましては、今回の事案を受け、更なる情報セキュリティの強化に努めてまいります。


【2024年3月15日リリース分】


【セキュリティ事件簿#2024-295】ベルトラ株式会社 ベルトラ公式FacebookおよびInstagramアカウントに関するお詫びとお知らせ 2024/7/8

 

2024年7月8日現在、ベルトラ公式FacebookおよびInstagramアカウントが第三者により不正にアクセスされ、乗っ取り被害にあったことが判明しました。以下に発生した事象と対処についてご報告申し上げます。

1.発生している事象

2024年7月8日午後4時頃、ベルトラ公式FacebookおよびInstagramアカウントにおいて第三者による不正アクセスが発生しました。その後、アカウントの乗っ取りが発覚しました。

2.本件に関する対処

現在、警察に被害を報告するとともに、メタ社に乗っ取られた旨の報告とサービスの停止ならびに解決を依頼しています。復旧予定やお知らせすべき内容が判明した場合には、速やかに弊社コーポレートサイトにてご報告いたします。

3.お客様へのお願い

現時点で個人情報の流出や、フォロワーの皆様への直接的な被害が及んでいるという報告はございませんが、2024年7月8日午後2時以降に弊社アカウントを使用した投稿やダイレクトメッセージはお送りしておりません。万が一、ダイレクトメッセージ等、ベルトラを装った連絡があった場合には、メッセージを開かず、URL先にもアクセスしないようお願いいたします。

皆様にはご迷惑とご心配をおかけし、誠に申し訳ございません。今後とも、セキュリティの強化に努めてまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-294】公益社団法⼈⾃動⾞技術会 個⼈情報漏えいに関するお詫びとご報告 2024/7/3

⾃動⾞技術会
 

この度、⾃動⾞技術会におきまして、下記の個⼈情報漏えいが発⽣しました。

会員またご関係者におかれましては、多⼤なるご迷惑とご⼼配をおかけする事態になりましたことを⼼よりお詫び申し上げます。 

1. 事案の概要

⾃動運転 AI チャレンジ 2024 の参加登録フォームの誤設定等により、2024 年 5 ⽉ 31 ⽇より 2024 年 7 ⽉ 1 ⽇まで、特定の条件下において、第三者が他⼈の回答情報を閲覧できる状態が発⽣しておりました。尚、2024 年 7 ⽉ 1 ⽇の 17 時 30 分以降は外部からは上記回答情報を閲覧できない状態となっております。

2. 閲覧された可能性のある個⼈情報

上記期間中に当該フォームより参加登録のあった 354 名の⽒名、メールアドレス、所属会社名・学校名。上記に加え、⼊⼒のあった場合、所属研究室名、研究室連絡先メールアドレス。尚、現時点で上記情報の流出による被害は確認できておりません。

3. 発⽣原因

Google フォームの共同編集者を「リンクを知っている全員」と誤設定しました。これにより、編集⽤の URL を⼊⼿すれば誰もが登録された個⼈情報にアクセス可能でした。ただし、上記の編集⽤の URL は外部公開しておらず、閲覧可能となる条件は、①参加登録希望者が Google アカウントにログインの上、当該参加登録フォームにアクセスすることに加え、②当該参加登録希望者の Google ドライブ上に⽣成されたショートカットから、フォームにアクセスすることが必要になります。

4. 今後の対応

再発防⽌のため、役職員にむけて、個⼈情報保護及び情報セキュリティポリシーの周知とセキュリティ教育の徹底を図り、厳格かつ適正な個⼈情報の管理及び取り扱いに努めてまいります。

リリース文アーカイブ

バグバウンティで使えるおすすめのブラウザ拡張機能


今回は、バグバウンティ活動もサポートし、脆弱性の発見を効率化するためのおすすめのブラウザ拡張機能を10個ご紹介します。各拡張機能の特長や使い方、具体的な利用シーンについて詳しく解説していきます。ぜひ最後までご覧ください。

Wappalyzer



Wappalyzerは、ウェブサイトが使用している技術を簡単に特定できる強力なブラウザ拡張機能です。このツールを使えば、サイトが利用しているコンテンツ管理システム(CMS)、Eコマースプラットフォーム、サーバーソフトウェア、JavaScriptフレームワーク、アナリティクスツールなど、さまざまな技術スタックを瞬時に把握することができます。

特長

  • 多岐にわたるテクノロジーの検出:Wappalyzerは数百種類以上のテクノロジーを識別することができ、サイトの詳細なプロファイルを提供します。

  • リアルタイム分析:ウェブページにアクセスするたびに、Wappalyzerがそのページを自動的に分析して表示します。

  • 使いやすさ:インストールしてブラウザのツールバーにアイコンを追加するだけで、簡単に利用できます。

利用シーン

Wappalyzerは特定のテクノロジーに関連する脆弱性を探す際に非常に役立ちます。例えば、特定のCMSやフレームワークに既知の脆弱性がある場合、そのプロダクトを使用しているサイトを迅速に特定し、効率的に脆弱性を検証することができます。また、新しいターゲットサイトのプロダクトスタックを迅速に把握することで、どのような攻撃手法が効果的かを判断する助けにもなります。

Shodan


Shodanは、インターネット上に接続されたデバイスやサービスを検索するための強力なツールです。このブラウザ拡張機能を利用すると、訪問しているウェブサイトやネットワークの情報を簡単に取得でき、潜在的な脆弱性を特定する手助けをしてくれます。

特長

  • デバイスの検出:Shodanは、ウェブカメラ、ルーター、サーバー、プリンター、さらには産業制御システムなど、さまざまなインターネット接続デバイスを検出できます。

  • 詳細なメタデータの表示:IPアドレス、ホスト名、オープンポート、サービス、バナー情報など、ターゲットの詳細なメタデータを表示します。

  • リアルタイム情報:アクセスしているウェブサイトやデバイスの情報をリアルタイムで取得し、潜在的な脆弱性を迅速に特定できます。

利用シーン

Shodanはバグバウンティの活動において、特に以下のようなシーンで役立ちます。

  • ネットワークスキャン:特定のネットワークセグメント内のすべてのデバイスをスキャンし、オープンポートや公開されているサービスを確認することで、攻撃のエントリーポイントを見つけることができます。

  • 脆弱性の特定:既知の脆弱性を持つデバイスやサービスを特定し、検証を行います。例えば、Shodanは特定のソフトウェアバージョンや設定の問題を持つデバイスをリストアップすることができます。

  • インテリジェンスの収集:攻撃対象の技術インフラやセキュリティレベルについてのインテリジェンスを収集し、効果的な攻撃シナリオを構築するための情報を提供します。

Retire.js



Retire.jsは、JavaScriptライブラリに含まれる既知の脆弱性を検出するためのブラウザ拡張機能です。ウェブアプリケーションが使用しているJavaScriptライブラリのバージョンを特定し、そのバージョンに存在する既知の脆弱性を簡単に確認できます。

特長

  • 既知の脆弱性の検出:Retire.jsは、脆弱なJavaScriptライブラリのバージョンを検出し、詳細な脆弱性情報を提供します。

  • リアルタイム解析:ウェブページを読み込む際にリアルタイムで解析し、脆弱なライブラリが使用されている場合に通知します。

  • 詳細なレポート:検出された脆弱性について、CVE(Common Vulnerabilities and Exposures)番号や脆弱性の詳細な説明を含むレポートを生成します。

利用シーン

Retire.jsは、以下のようなバグバウンティのシナリオで特に役立ちます。

  • ライブラリの検証:ターゲットウェブサイトが使用しているJavaScriptライブラリのバージョンを確認し、既知の脆弱性が存在するかどうかを検証します。特に、古いバージョンのライブラリを使用している場合、その脆弱性を突く可能性があります。

  • 脆弱性の特定:サイトが依存しているサードパーティのJavaScriptライブラリに既知の脆弱性があるかを確認することができます。

  • セキュリティ評価:ウェブアプリケーションのセキュリティ評価を行う際に、使用されているJavaScriptライブラリの安全性を確認し、改善提案を行うための情報を提供します。

Hackbar



Hackbarは、ウェブアプリケーションのテストや脆弱性の発見をサポートします。このツールは、URLやパラメータの操作を簡単に行えるインターフェースを提供し、SQLインジェクション、クロスサイトスクリプティング(XSS)、リモートファイルインクルージョン(RFI)などの攻撃をシミュレートすることができます。

HackbarはブラウザのDeveloper tools (F12押下で出てくるやつ)内にある”HackBar tab”内で活用します。

特長

  • URLエンコーディングとデコーディング:Hackbarは、URLエンコーディングやデコーディングをワンクリックで行える機能を提供し、特殊文字やエスケープシーケンスを簡単に操作できます。

  • パラメータの操作:リクエストパラメータの編集や挿入を迅速に行うことができ、SQLインジェクションやXSSなどのテストを効率的に実施できます。

  • リクエストの再送信:修正したリクエストをすぐに再送信できるため、テストの効率が向上します。

  • カスタマイズ可能なペイロード:頻繁に使用するペイロードを保存し、必要に応じてすぐに挿入できる機能を提供します。

利用シーン

Hackbarは、バグバウンティ活動において以下のようなシナリオで特に役立ちます。

  • SQLインジェクションのテスト:URLやパラメータにSQLインジェクションのペイロードを挿入し、サーバーの応答を確認することで、脆弱性の有無を検証します。

  • クロスサイトスクリプティング(XSS)のテスト:入力フィールドやURLパラメータにXSSペイロードを挿入し、スクリプトの実行可否を確認します。

  • リモートファイルインクルージョン(RFI)のテスト:URLやパラメータにRFIペイロードを挿入し、外部ファイルの読み込みが可能かどうかをテストします。

  • ペネトレーションテストの迅速化:リクエストの再送信やペイロードのカスタマイズ機能を活用し、効率的に脆弱性の発見と報告を行います。

Mitaka



Mitakaは、オンラインリソースを迅速に調査し、脅威情報を収集するためのブラウザ拡張機能です。このツールは、IPアドレス、ドメイン、URL、ハッシュなどのデータをさまざまな脅威インテリジェンスプラットフォームやOSINT(オープンソースインテリジェンス)ツールを通じて検索し、詳細な情報を提供します。

特長

  • 複数のインテリジェンスソース:Mitakaは、VirusTotal、Shodan、Censys、AbuseIPDBなどの複数の脅威インテリジェンスプラットフォームと統合されており、一度の検索で広範な情報を取得できます。

  • 多機能な検索:IPアドレス、ドメイン、URL、ファイルハッシュ(MD5、SHA-1、SHA-256)など、さまざまなタイプのデータを検索対象とすることができます。

  • カスタマイズ可能:設定をカスタマイズすることで、自分がよく利用するインテリジェンスソースを優先的に表示させることができます。

利用シーン

Mitakaは、バグバウンティやセキュリティ調査のさまざまな場面で役立ちます。

  • 脆弱性調査:特定のIPアドレスやドメインに関連する脅威情報を収集し、既知の脆弱性や過去の攻撃履歴を確認できます。

  • マルウェア分析:疑わしいURLやファイルハッシュを検索し、マルウェアの存在やその詳細な情報を調査します。

  • インシデント対応:セキュリティインシデント発生時に、関連するIPアドレスやドメインの詳細情報を迅速に収集し、対応策を講じます。

  • 情報収集とレポート作成:バグバウンティの報告書作成時に、対象の技術的背景やリスクを詳細に記述するための情報を収集します。

Trufflehog



Trufflehogは、ソースコードリポジトリやプロジェクトファイル内に存在する機密情報(シークレット)を検出するためのブラウザ拡張機能です。このツールは、APIキー、パスワード、秘密鍵などの機密情報が誤って公開されていないかを確認し、セキュリティリスクを未然に防ぐための重要な役割を果たします。

特長

  • 高精度の検出:Trufflehogは、単純な文字列検索だけでなく、正規表現やヒューリスティックな分析を用いて機密情報を高精度に検出します。

  • 対応するリポジトリ:GitHubやGitLabなどの主要なソースコードホスティングプラットフォームに対応しており、リポジトリ全体を迅速にスキャンできます。

  • リアルタイム通知:検出された機密情報について、リアルタイムで通知し、即座に対策を講じることができます。

  • 簡単な操作:インストールしてブラウザのツールバーにアイコンを追加するだけで、任意のリポジトリを簡単にスキャンできます。

利用シーン

Trufflehogは、バグバウンティやセキュリティ監査のさまざまなシナリオで役立ちます。

  • コードレビュー:リポジトリのコードレビュー時に、機密情報が含まれていないかを確認し、セキュリティリスクを低減します。

  • 継続的インテグレーション(CI)/継続的デリバリー(CD):CI/CDパイプラインにTrufflehogを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。

  • 脆弱性評価:プロジェクトの脆弱性評価を行う際に、誤って公開されている機密情報を特定し、リスク評価と対策を行います。

  • インシデント対応:セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。

DotGit



DotGitは、Gitリポジトリ内に存在する機密情報(シークレット)やメタデータを検出するためのブラウザ拡張機能です。このツールは、誤って公開されたAPIキー、パスワード、証明書などを迅速に特定し、セキュリティリスクを軽減するために役立ちます。

特長

  • 機密情報の検出:DotGitは、Gitリポジトリ内のファイルやコミット履歴をスキャンし、機密情報が含まれていないかを検出します。

  • メタデータの解析:ファイルの変更履歴やコミットメッセージなどのメタデータを解析し、潜在的なセキュリティリスクを特定します。

  • リアルタイム通知:機密情報やメタデータにリスクが検出された場合、リアルタイムで通知します。

  • 使いやすいインターフェース:シンプルで直感的なインターフェースにより、簡単にリポジトリをスキャンし、リスクを確認できます。

利用シーン

DotGitは、以下のようなバグバウンティやセキュリティ管理のシナリオで役立ちます。

  • コードレビュー:リポジトリのコードレビュー時に、誤ってコミットされた機密情報やセキュリティリスクを特定し、問題を早期に発見します。

  • セキュリティ監査:定期的なセキュリティ監査の一環として、リポジトリをスキャンし、潜在的なリスクを評価します。

  • インシデント対応:セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。

  • 継続的インテグレーション(CI)/継続的デリバリー(CD):CI/CDパイプラインにDotGitを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。

FoxyProxy Standard


FoxyProxy Standardは、プロキシサーバーの設定を簡単に切り替えられるブラウザ拡張機能です。異なるプロキシサーバーを切り替えることで、テスト環境や調査対象に応じたアクセスを効率的に管理することができます。

特長

  • 複数のプロキシ設定:複数のプロキシ設定を保存し、必要に応じて簡単に切り替えることができます。各プロキシの詳細な設定も可能です。

  • URLパターンマッチング:特定のURLパターンに基づいてプロキシを自動的に切り替えることができ、柔軟なアクセス管理を実現します。

  • 簡単な操作:ブラウザのツールバーからワンクリックでプロキシのオンオフを切り替えることができ、直感的で使いやすいインターフェースを提供します。

  • ログ機能:プロキシを通じた通信のログを記録し、後から詳細な分析を行うことが可能です。

利用シーン

FoxyProxy Standardは、以下のようなバグバウンティやセキュリティ調査のシナリオで特に役立ちます。

  • 地域制限の回避:異なるプロキシサーバーを利用することで、地域制限を回避し、さまざまな国からのアクセスをシミュレートできます。

  • テスト環境の切り替え:異なるプロキシを使用して、テスト環境や本番環境など、異なる環境へのアクセスを迅速に切り替えることができます。

  • 匿名アクセス:匿名プロキシを利用して、テスト対象に対して匿名でアクセスし、調査活動を行うことができます。

  • ネットワークトラフィックの解析:特定のプロキシを通じたネットワークトラフィックを解析し、セキュリティリスクや異常な挙動を検出します。

Cookie-Editor


Cookie-Editorは、ブラウザ内のクッキー(Cookie)を管理・編集するための拡張機能です。このツールは、クッキーの追加、削除、編集、検索を簡単に行うことができますので、セッション管理や認証に関連するテストに役立ちます。

特長

  • 簡単な編集:クッキーの値、ドメイン、パス、有効期限などを簡単に編集できます。これにより、認証やセッション管理のテストが迅速に行えます。

  • クッキーの追加と削除:新しいクッキーを追加したり、既存のクッキーを削除したりすることができます。これにより、クッキーに依存する機能の動作を検証できます。

  • クッキーの検索:特定のクッキーをすばやく見つけるための検索機能が搭載されています。大量のクッキーが存在する場合でも、目的のクッキーを簡単に特定できます。

  • エクスポートとインポート:クッキーのエクスポートとインポートが可能で、異なるブラウザやデバイス間でクッキーを移行するのが簡単です。

利用シーン

Cookie-Editorは、以下のようなバグバウンティやセキュリティテストのシナリオで特に役立ちます。

  • セッションハイジャックのテスト:他のユーザーのセッションを再現するために、特定のクッキーを編集して認証情報を操作し、セッションハイジャックの脆弱性を検証します。

  • クロスサイトスクリプティング(XSS)のテスト:XSS攻撃をシミュレートし、クッキーを通じてセッション情報やその他の機密データが漏洩する可能性を評価します。

  • 認証とセッション管理のテスト:クッキーを操作して、アプリケーションの認証およびセッション管理機能に関する脆弱性を検出します。

  • セキュリティポリシーの確認:クッキーの属性(セキュア、HttpOnly、SameSiteなど)を確認し、セキュリティポリシーが適切に実装されているかを評価します。