週刊OSINT 2022-42号

 

今号は運用セキュリティ、グーグル検索、チートシート、便利なヒントなどを紹介します。

• Naval Opsec
• Let's Geolocate
• Bookmarklet
• Chinese Propaganda
• Geotargeted Google Search
• YouTube Handles
• Geolocation Cheat Sheet

ニュース: Naval OpSec

Steven 'nixintel' Harrisは、Marsattaqueblogが発信した、演習中にフランスのフリゲート艦が文字通り「レーダーから外れた」状態で撃沈されたという話をシェアしました。2021年11月21日から12月3日まで、合計23隻の艦船、1隻の潜水艦、65機の航空機が海上演習に乗り出しました。無線や衛星通信がすべて妨害されていたため、無線での接触は一切なかったにもかかわらず（出典）、レッドチームはSnapchatで見つけた位置情報だけでブルーフリゲート艦の1隻を撃沈してしまったのだ。青いフリゲート艦は岸に近い場所にあり、4Gマストの届く範囲にあったので、Snapchatに接続することができました。アクティブなアカウントを発見した後、精密な打撃が不可能だったため、14発のミサイルによる模擬攻撃が指示されました。OpSecが悪いと壊滅的な影響を与えるというもう一つの例です。

Media: Let's Geolocate

Benjamin Strickは、彼自身の言葉によると、より軽快なコンテンツを作るのに忙しくしているそうです。そして、特に毎日のニュースを賑わせている世界の紛争を考えると、それは素晴らしいことだと言えるでしょう。そして、皆さんも同じように行動することをお勧めします。例えば、彼が世界中の大きな芸術作品をジオロケーションしていくこのビデオに参加することができます。ベンのもう一つの素晴らしいビデオは、いくつかの場所は非常に簡単に見つけることができたにもかかわらず、彼の思考過程を洞察することができます。ベンがどのように利用可能なすべての情報を使って、ひとつひとつの問題を解決していくのか、ご注目ください。

ツール: Bookmarklet

TwitterユーザーのOSINT_Tacticalは、ソーシャルメディアの範囲内でユーザー名を素早く検索できるブックマークレットを作成しました。実際に結果を表示するタブをたくさん開くので、これはあまり好きではないのですが、これはいくつかの問題を引き起こすかもしれません。FirefoxとBraveはデフォルトで1つのタブを開くだけで、Chrome内では空白のページから実行できないようで、動作する前にブラウザで複数のタブを開くように明示的にOKを出す必要があります。というのも、これは可能性のあるリードを素早く見つけるための、もう一つの簡単で迅速なヒントだからです。

ニュース: Chinese Propaganda

ファーガス・ライアン氏と彼の同僚は、ウイグル出身の2人の少女が登場する中国のプロパガンダを調べました。このTwitterのスレッドでは、彼らが見つけた、これらのビデオといわゆる「情報局」とを結びつける情報を取り上げています。このスレッドは、情報キャンペーンが特定の物語を広めるためにどのように利用されているか、そして、時には、それが簡単に引き離されることを示す、興味深いものです。ルーさん、ありがとうございました。

サイト: Geotargeted Google Search

Henk van Essから、Google検索の「ジオターゲティング」の新しい方法についての情報が届きました。数年前からiSearchFromを使っているのですが、この便利なサイトは、検索時に特定の場所をターゲットにすることができるのです。ニュースを検索するとき、Googleは時々、地元のニュースアイテムを表示しますが、非常に特定の地域をターゲットにできるこの機能は、非常に便利かもしれません。このヒントのすぐ後に、「Einat FB」という方から、「U Search From」という別のサイトがあり、そちらは私が使っていたものより改良された良いツールだというヒントをいただきました。これらのヒントに感謝します。

小技: YouTube Handles

ここ数日、YouTubeの新しい機能である「YouTubeハンドル」について、複数のメールを受け取りました。クリエイターは、ハンドルネームを登録することで、次のようなリンクを生成することができます。

https://www.youtube.com/@redbull

現在、このページはHTTPコード「303」を返送し、ブラウザを別のURLにリダイレクトしています。この例では、https://www.youtube.com/user/redbull にリダイレクトされます。YouTubeのブログによると、すでにカスタムチャンネルURLを設定している人は、同じ名前がハンドルネームとして予約され、新しいカスタムチャンネルURLを作成するオプションは今のところ停止しているとのこと。今後どうなるかはわかりませんが、このニュースを受けて多くのユーチューバーが自分のハンドルネームを主張すれば、さらに見つけやすくなるかもしれませんね。

チュートリアル: Geolocation Cheat Sheet

もしあなたがジオロケーションの初心者で、まだ手がかりを見つけるのに苦労しているなら、これはあなたにとって素晴らしいカンニングペーパーになるかもしれません。SEINTは、写真に写っているたくさんのものを集めた大きなマインドマップを作成し、あなたの道のりを助けてくれるでしょう。これは現在進行中で、彼がさらに多くのアイテムを見つけたら更新される予定ですが、すでに印象的です。これはあくまでチートシートとして使用し、画像やビデオを分析する際には、常に自分自身のアイデアも出すことを忘れないでください。このマインドマップのPNG版とPDF版は、SEINTのGitHubで見ることができます。

オマケ: Spooky Logic

38mo1が作成した、ハロウィンの時期に登場する素晴らしいマニアックなジョークで、古典的な「論理ゲート」をいくつか含んでいます。OSINTコミュニティでは、革新的な検索クエリを作成するときに使用するのと同じブール代数を基礎としているので、このうちのいくつかは知られていることだろう。しかし、電気技術者にとっては、これは既知の領域なのです。OSINT Amyさん、教えてくれてありがとうございます。

出典：Week in OSINT #2022-42

BIPROGY 株式会社 第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ 2022年12月12日

当社は、2022 年 7 月 1 日付「USB メモリー紛失事案に関する第三者委員会の設置について」にて公表しましたとおり、当社協力会社社員による兵庫県尼崎市における個人情報を含む USB メモリーの紛失事故を受け、同日に外部の専門家から構成される第三者委員会を設置し、調査を行って参りました。

本日、第三者委員会より、調査の結果判明した事実関係及び問題点の指摘、再発防止のための提言を目的とする調査報告書を受領いたしましたので、下記のとおりお知らせいたします。

当社は、この度の事態を招いたことを真摯に受け止め、改めて深くお詫び申し上げますとともに、第三者委員会の調査結果及び提言を踏まえ、再発防止策等を検討してまいります。また、分析・検討の結果、公表すべき事項がある場合には、適時適切に開示いたします。

当社は、株主や投資家をはじめとするステークホルダーの皆さまからの信頼回復に向け、全社を挙げて全力を尽くしてまいる所存でございますので、引き続き、ご支援を賜りたくお願い申し上げます。

１．調査結果について

第三者委員会の調査結果につきましては、添付資料「調査報告書（公表版）」をご覧ください。

なお、添付資料においては、個人情報保護の必要上、取引先及び社内外の個人名について一部を除き匿名としておりますことをご了承ください。

２．再発防止策について 

当社は本件の発生を受けて、下記のような再発防止策を検討・実施して参りました（以下は一例でありこれらに限りません）。

(1) 組織的安全管理措置について

　①機密性が高い顧客情報資産へアクセスするプロジェクトへの安全管理措置

• プロジェクトを担当する組織内で組織長が週次でその運用に対する安全管理措置を点検。
•  顧客機密情報（個人情報含む）の取扱いに責任を持つ役職者による指導・確認の下、安全管理措置を策定・明確化。
• 新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を客観的に審査・承認し網羅的に管理・モニタリングする仕組み・体制の整備。

　②社内規程及びビジネスプロセスの改定

• 可搬メディアの取扱いルール強化、顧客機密情報と顧客本番環境アクセスのルール強化、サービスビジネスにおいて顧客本番環境にアクセスする際のルール新設等を内容とする社内規程の改定。
• その他、稟議決裁規程、情報サービス・ビジネスプロセス、アウトソーシングビジネスなどのビジネスプロセス関連規程を改定。

　③教育及び指導

• セキュリティリスクの理解と個人情報を含む顧客機密情報の取り扱いルール再徹底のためのセキュリティ教育（e ラーニング）を当社グループ全役職員に対して実施。
• 情報セキュリティ遵守事項に係るプロジェクトチーム内への周知や協力企業向け情報セキュリティ教育の実施状況を確認。

(2) 物理的・技術的安全管理措置について

　①尼崎市様からの受託業務に関する物理的・技術的安全管理措置

• 本番環境にアクセスする作業時は本番サーバルームで尼崎市様ご担当者立合いのもと実施するとともに、可搬メディアを使用する場合のルールを明確化するなど、情報セキュリティに関するルールの明確化。

　②全社的な物理的・技術的安全管理措置

• 利用中の可搬メディアの必要性の見直しと、継続利用する場合は社内規程通り管理されていることを管理簿などの証跡ベースで報告することを徹底。

(3) 委託先管理について

　①情報セキュリティ

• 安全管理措置及び個人情報の取扱いに責任を持つ役職者による教育及び指導等によって、委託先監督に関する法令・当社規程の遵守を徹底。
• 顧客機密情報（個人情報を含む）の取扱いを協力企業に委託する場合も、新たに設置したセキュリティ専門組織にて安全管理措置を審査・承認し、その実施状況をセキュリティ専門組織がモニタリング。
• 形骸化を防止するため、情報セキュリティ内部監査において上記運用状況を監査予定。

　②管理プロセス見直し等 

• 委託先管理を図る責任者を新たに設置。また、委託先管理プロセスを見直し、当社とお客様との契約条件に従って当社から協力会社への委託がなされていることを確認できるエビデンス管理や、運用が適切に行われていることを週次レベルでモニタリング。
• 当社全役職員に関する再教育と指導の徹底、及び委託先に対する契約ルール、再委託留意事項に関するトレーニングプログラムの提供
• 顧客との契約条項に適合した開発（再委託）の場合のみ発注可能となるよう、契約・発注管理システムに契約条項で定められた条件を登録させ、発注の可否を機械的に判断できるようにする修正を加える。
• 委託先との契約書内容を変更し、①契約に違反した場合の違約金条項、②当社の判断で、当社からの二次委託先以降に対する再委託を中止するように要求することを可能とする条項を追加する。
• 委託先管理の実効性を確保するため、委託先管理に対する運用状況を監査予定。

当社は、上記の他にも、第三者委員会の調査結果を真摯に受け止め、再発防止策の提言に沿って具体的な再発防止策を策定し、引き続き着実に実行してまいります。

リリース文（バックアップ）

公益社団法人 シャンティ国際ボランティア会 ランサムウェア攻撃によるサーバーへの不正アクセスについて（第1報） 2022年12月12日

2022年11月23日に、公益社団法人シャンティ国際ボランティア会のサーバーがランサムウェア攻撃の被害に遭い、サーバーへの不正アクセスと個人情報が含まれるデータの毀損が判明しました。

現在、警視庁、専門家及び関係機関に相談し、本攻撃による情報流出の有無や影響の範囲の特定、原因の究明とシステムの復旧に努めております。現時点で、旧サーバーの使用は中止し、セキュリティ強化を施した新サーバーへの移行を完了しています。

関係者の皆様には、ご心配、ご迷惑をおかけし、誠に申し訳ございません。詳細がまとまりましたら改めてご報告差し上げますので、何卒ご理解のほどよろしくお願い申し上げます。 

リリース文（アーカイブ）

加賀電子株式会社 当社海外子会社サーバーへの不正アクセス発生について 2022年12月12日

当社は、タイにおいてEMS事業を展開する当社の連結子会社であるKAGA ELECTRONICS (THAILAND)COMPANY LIMITED（以下、「加賀タイ」）のネットワークシステムの一部が第三者による不正アクセスを受けたことを確認いたしました。

2022年12月2日深夜に発生した、加賀タイのサーバーに対するランサムウエアとみられる不正アクセス攻撃の発覚後、現地警察およびシステム会社など関係諸機関への報告を行うとともに、被害拡大を防ぐため、加賀タイにおいてはサーバーとPC端末の停止、ならびに外部ネットワークとのアクセスを遮断するなどの対策を直ちに実施いたしました。

翌3日より、システム会社および当社グループの他EMS拠点とも連携して、各地エッジ端末に保存するデータをもとにシステムの復旧作業を進めるとともに、これと併行して、加賀タイのお客様に対して、順次、個別にご報告を行いました。これまでのところ、本件に係るお客様の機密情報の不正利用等は確認されておりません。

本日（12日）時点において、加賀タイにおける社内サーバー、ネットワークシステムは概ね復旧済みであり、生産活動も再開いたしました。また、再度の不正アクセスに備えて、当社グループの他の拠点を含めて対策を実施しておりますが、今後はネットワークアクセスの監視体制や認証方法を一層強化し、当社グループ全体での再発防止を徹底してまいります。

なお、今般のシステム障害が今年度の当社業績に対して大きな影響は与えないものと考えておりますが、新たにお知らせすべき重要事項が判明した場合は、速やかに開示いたします。

本件により、お客様はじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

海上自衛隊の女性海曹が不正アクセスにより自身の人事データを入手して処分される

海上自衛隊は、５０代の隊員が自身の人事に関するデータを不正に入手したなどとして、２０２２年１２月１２日、この隊員を懲戒免職の処分にしました。

懲戒免職となったのは、海上自衛隊の佐世保地方総監部に勤務する５０代女性の海曹です。

佐世保地方総監部によりますと、海曹は去年８月ごろ、職場の共有サーバーに保存されていた自身の人事評価に関するデータにパスワードを不正に解いてアクセスし、印刷して自宅に持ち帰りました。

そして、確認した人事評価を基に「上司からパワハラを受けている」などのうその事実を記した文書を人事担当部署に送付したということです。

この海曹は、数百回にわたって予測してパスワードを入力しファイルにアクセスしたということで、調べに対して「自分の評価に対する不満があり、知りたい欲求を抑えきれなかった」と話しているということです。

海上自衛隊は、情報保全に関する違反や私的な理由の非行の程度が重いとして、１２日、この海曹を懲戒免職の処分にしました。

佐世保地方総監部は「隊員が自分の利益のために極めて重大な事案を起こし、非常に重く受け止めています。指導を徹底し、再発防止に努めていきたい」とコメントしています。

出典：自身の人事データを不正に入手 海上自衛隊の隊員を懲戒免職

46歳の非国民男性がＮＴＴ施設を物理攻撃し、通信を妨害する

ＮＴＴ東日本の通信設備に何らかの方法で放火し、インターネット回線などに通信障害を起こしたとして、警視庁捜査１課は、建造物等以外放火と威力業務妨害などの容疑で、千葉県船橋市三山、無職、釜付敦史容疑者（４６）を逮捕した。調べに対し、「覚えていません」と容疑を否認しているという。

逮捕容疑は、２０２２年１１月２０日午後３時１０分から約２５分間、東京都中央区日本橋の路上で、ＮＴＴ東日本のハンドホールと呼ばれる通信ケーブルなどが入った縦穴（縦６０センチ、横１２０センチ、深さ１３５センチ）内に、何らかの方法で放火し、ケーブル６本（被害総額約４０万円相当）を燃やして、通信障害を起こしたとしている。

捜査１課によると、ハンドホール内でカセットボンベ１本と固形燃料の残りかすが見つかったほか、約１００キロのフタが吹き飛んでいたことから、内部を爆破したとみられるという。

周辺では、約１７時間にわたって、１８０回線で固定電話が利用できなくなるなどの通信障害が起きた。

出典：ＮＴＴ設備爆破か　無職男逮捕　周辺で一時通信障害

実録・ウォーキングアプリのJAL WELLNESS&TRAVELでもらえるマイル

 

月額500円で歩くとマイルがもらえるJAL WELLNESS&TRAVEL。

最近徒歩通勤をしていて1日1万歩は行く感じなので、トータルでどれくらい貰えるのか確認してみた。

JAL WELLNESS&TRAVELは獲得後48時間以内にアプリから受け取りの処理が必要。

つまり、実質毎日アプリにログインして受け取りの処理が必要で、これがちょい面倒。

ちなみに、受け取りの都度、マイルが登録がされる。

ちなみにマイルの獲得だが、6000歩歩くと1マイルと抽選権が1枚、8000歩歩くと更に1マイルと抽選権がもう1枚、10000歩歩くと更にもう1マイルと1枚抽選券がもらえ、抽選権獲得後48時間以内に抽選してマイルをもらう。

つまり、6000歩くと最低1マイル+αで数マイルがもらえるため、最終的に何マイル貰えるかは抽選してみないと分からない。

そこで、毎日ほぼ1万歩歩いて、ほぼ毎日抽選した結果、どれくらいマイルをもらえたのかを振り返ってみることにする。

尚、集計期間は2021年12月～2022年10月。12ヵ月になっていないのはご容赦を。

【2021年12月】
ログイン日数：12日
獲得マイル数：302マイル
（平均25マイル/日）

【2022年1月】
ログイン日数：18日
獲得マイル数：291マイル
（平均16マイル/日）

【2022年2月】
ログイン日数：24日
獲得マイル数：312マイル
（平均13マイル/日）

【2022年3月】
ログイン日数：29日
獲得マイル数：502マイル
（平均17マイル/日）

【2022年4月】
ログイン日数：29日
獲得マイル数：451マイル
（平均15マイル/日）

【2022年5月】
ログイン日数：24日
獲得マイル数：377マイル
（平均15マイル/日）

【2022年6月】
ログイン日数：27日
獲得マイル数：487マイル
（平均18マイル/日）

【2022年7月】
ログイン日数：30日
獲得マイル数：414マイル
（平均13マイル/日）

【2022年8月】
ログイン日数：29日
獲得マイル数：426マイル
（平均14マイル/日）

【2022年9月】
ログイン日数：25日
獲得マイル数：391マイル
（平均15マイル/日）

【2022年10月】
ログイン日数：28日
獲得マイル数：440マイル
（平均15マイル/日）

月額500円なので、年6000円。

もらえるマイルは四捨五入で6000マイルくらい。

金額だけで見ると1マイル1円強で購入する感じ。

でもウォーキングで健康も手に入るので、そこまで加味すれば価値のあるサービスだと思う。

Webアプリケーション診断ツール（DAST）の選び方

 

今日のWebアプリケーションの大半は、危険な脆弱性を含んでいます。そのセキュリティを分析するためには、動的なスキャナなしにはできません。DAST (Dynamic Application Security Testing) ツールを使えば、セキュリティの問題を迅速に検出し、評価することができます。このようなツールを選択する際に、何を重視すべきでしょうか？

様々な調査によると、脆弱性の70%は、コードのエラーと関係があります。Webアプリケーションのコードの脆弱性を利用して、ハッカーはマルウェアを配布したり、クリプトジャッキング攻撃を仕掛けたり、フィッシングを採用してユーザーを悪意のあるサイトにリダイレクトしたり、電話をリモートでハッキングしたり、ソーシャルエンジニアリングの手法を使って個人データを盗んだりすることができるのです。

しかし、脆弱性の数を減らし、製品のセキュリティレベルを向上させることは十分可能です。そのためには、DevSecOps（開発とセキュリティを連携させ、ソフトウェア作成の各段階で脆弱性をチェック・テストするプロセス）に頼ることができます。

DevSecOpsのプロセスは非常に膨大であり、数多くの情報セキュリティ・ツールを含むこともあります。この記事では、DASTと、動的アプリケーション解析のための正しいスキャナの選び方についてお話したいと思います。どのようなツールの特性やパラメータに注意を払う必要があるのか、また現在どのような種類の製品が市場に出回っているのか、一緒に考えていきましょう。

DASTとは？

DAST (Dynamic Application Security Testing)は、配備され機能しているアプリケーションの自動分析を行う、安全な開発手法の1つです。ダイナミックスキャナーは、HTTP経由のすべてのアクセスポイントをチェックし、一般的な脆弱性を利用した外部からの攻撃をシミュレートし、様々なユーザーのアクションをシミュレートします。このツールは、サービスが持つAPIを判断し、検証リクエストを送信し、可能であれば不正なデータ（引用符、区切り文字、特殊文字など）を使用します。

ダイナミックスキャナーは、大量のリクエストを送信し、分析します。送信されたリクエストと受信したレスポンスの分析、および通常のリクエストとの比較により、さまざまなセキュリティ問題を発見することができます。

ほとんどのスキャナーは、同様の機能と手口を持っています。その主な構成要素は、クローラーとアナライザーです。

クローラーは、到達可能なすべてのページのすべてのリンクを走査し、ファイルの内容を調べ、ボタンを押し、ページ名の候補の辞書を調べます。このプロセスにより、攻撃対象領域の大きさと、アプリケーションとの既存の相互作用の方法を考慮した、可能な攻撃ベクターを推定することができます。

アナライザは、アプリケーションを直接チェックします。受動的または能動的なモードで動作させることができます。最初のケースでは、クローラが送信する情報のみを調査します。2 番目のケースでは、クローラが見つけたポイントや、現在ページ上に存在しないがアプリケーションで使用可能な他の場所に、 不正なデータでリクエストを送ります。そして、サーバーからの応答に基づいて、脆弱性の存在を推測します。

DASTツールを選ぶ際に注意すべき点

■脆弱性スキャンの品質

これは、発見された脆弱性と見逃された脆弱性の比率です。スキャナの解析結果をすぐに理解することは不可能です。そのためには、少なくともどのような脆弱性があり得るかをおおよそ理解し、その推定値とスキャン結果を比較する必要があります。ツールを評価する方法はいくつかあります。

1. アプリケーションを持っていて、バグバウンティプログラムやペネトレーションテストですでに脆弱性をチェックしている場合、その結果とスキャナーの結果を比較することができます。
   
   
2. アプリケーションがまだない場合は、原則としてトレーニング用に作成された他のプリベイラブルソフトウェアを使用することができます。技術スタックの点で、開発環境に近いアプリケーションを見つける必要があります。

スキャンの品質を評価する際には、誤検出の数が決定的な役割を果たします。誤検出が多すぎると、結果に支障をきたします。また、実際のエラーを見逃してしまうこともある。ツールのスキャン品質を判断するには、レポートを分析し、レスポンスを解析し、偽陽性の数と割合を計算する必要がある。

■クローリング

アプリケーションに関する情報がなく、ゼロから分析する必要がある場合、収集できるパスと遷移の数、つまりクロールの精度を把握することが重要です。これを行うには、DASTの製品設定を見ることができます。フロントエンドからバックエンドへのリクエストを監視できるかどうか、例えばSwaggerやWSDLアプリケーションを解析できるかどうか、HTMLやJSのリンクを見つけられるかどうか、などを調べる必要があります。また、アプリケーションに関する情報を取得するプロセスも調べる価値があります。

スキャンする前に、例えば、どのAPIが使用されているかを調べることができます。これにより、プログラムの完全なスキャンを実行するために、ツールが何を必要としているかを理解することができます。スキャナを選ぶ際には、各ツールが取り込めるものをリストアップし、開発プロセスに組み込めるかどうかを確認するのが有効です。

■脆弱性スキャンの速度

このパラメータも、特に開発プロセスにチェックを組み込んでいる場合には重要です。スキャンはプロセスを遅くし、結果的に時間とお金の無駄遣いにつながります。スキャンの速度は、アプリケーションがリクエストに応答する速度、同時接続数、その他いくつかの要因に大きく依存します。したがって、異なる DAST ツールの速度を比較するためには、ほぼ同じ条件下で同じソフトウェアを実行する必要があります。

■拡張設定

自動解析ツールには詳細な設定が必要です。それらを使えば、不要なリクエストを削除したり、スキャン範囲を限定したりすることができます。これにより、プロセスの品質と解析のスピードが向上します。ツールのタスクを適切に設定するには、利用可能なすべてのオプションと設定を用意する必要があります。

アプリケーションに適応する「スマート」なスキャナーもあります。しかし、このようなツールでも、チェックの目的が異なるため、手動で設定する必要があります。例えば、フルスキャンから始まり、表面的な分析で終わるなど、いくつかの方法でアプリケーションをスキャンする必要がある場合があります。この場合、手動モードは間違いなく便利です。

ツールを選ぶ際には、設定可能なパラメーターの総数やその設定のしやすさに注意する必要がある。異なるツールの作業を比較するために、それぞれのツールでいくつかのスキャンプロファイルを作成することができます。初期分析には高速で浅く、本格的なものには時間がかかっても深くです。

■統合

動的解析をできるだけ効果的に行うには、この方法を開発プロセスに統合し、ビルド中に定期的にスキャナを実行することが有効である。CI/CDプロセスで使用されるもののリストを事前に作成し、ツールを起動するためのおおよその計画を立てる必要がある。

そうすることで、開発プロセスに組み込むことが容易かどうか、APIを使用することが便利かどうかを理解することができる。

■技術

スキャナを選択する際には、自社が開発で使用している技術を考慮する必要がある。これを行うには、アプリケーションを分析し、使用されている技術、言語、フレームワークのリストを作成する。特に会社が大きい場合、リストはかなり広範囲になる可能性がある。したがって、スキャナを評価する基準として、いくつかの重要なパラメータのみを選択することが適切である。

1. そのツールがカバーしている技術やフレームワークの数。
2. 企業が重要なサービスで使用している主要な技術をサポートする能力

■ログインシーケンスの記録

アプリケーションに入るためには認証が必要なため、ログインシーケンスを記録することはダイナミックスキャナにとって非常に重要である。このプロセスには、パスワードを送信する前にハッシュ化したり、フロントエンドで共有キーで暗号化したりなど、多くの落とし穴がある。したがって、ツールがそのようなニュアンスにすべて対応できるかどうか、事前に確認する必要があります。そのためには、できるだけ多くの異なるアプリケーションを選択し、それぞれのアプリケーションでスキャナーがログイン段階を通過できるかどうかを確認する必要があります。

また、ログアウトしたときのツールの動作も確認しておくとよい。スキャナーは、分析プロセス中に多くのリクエストを送信します。そのうちのいくつかに応答して、サーバーはユーザーをシステムから「放り出す」ことができる。ツールはこのことに気づき、アプリケーションに再入力するはずです。

■ツールのアップデート

技術は常に進化しているため、ツールを選択する際には、そのアップデートやシグネチャ・パターン・分析ルールの新バージョンがどれくらいの頻度でリリースされるかを考慮することが重要です。この情報は、製品のWebサイトで確認するか、ベンダーに問い合わせるのがよいでしょう。これにより、開発元がトレンドに従っているかどうか、また、チェックのデータベースがどれだけ最新に保たれているかが分かる。

製品の開発に影響を与えられるかどうか、開発者が新機能のリクエストにどのように対応しているかを確認することも望ましい。これにより、必要な機能がどれだけ早く製品に搭載されるか、また、オプションの更新の一環としてベンダーとのコミュニケーションがどのように手配されるかがわかる。

どのツールを選ぶか？

Netsparker、Acunetix、Nessus、Rapid7、AppScan、VEXなど多くのツールが市場に出回っています。ここでは2つのツールについて簡単に触れます。

■BurpSuite Enterprise

このツールはPortSwiggerによって開発されました。この製品は、スキャンの対話と管理、レポートの送信など、本格的なREST APIを備えています。スキャンエージェントは、古典的なBurpSuiteです。「ヘッドレスモード」で起動しますが、制限があります。例えば、ヘッドポータルからの制御コマンドでしか対話できず、プラグインを読み込むことができなくなります。一般的に、このツールが正しく設定されていれば、優れた結果を得ることができます。

■OWASP ZAP (Zed Attack Proxy)

この人気のあるツールは、OWASPコミュニティによって作成されたため、完全に無料です。異なるプログラミング言語用のSDKとAPIを備えている。OWASPのオプションや独自のプラグインを使用することができる。

この製品には、様々なCI/CDツール用の拡張機能があります。異なるモードで実行し、プログラム的に制御することができる。開発プロセスにツールを簡単に挿入することができます。同時に、このスキャナには欠点もあります。オープンソースのソリューションであるため、スキャンの品質はエンタープライズソリューションよりも低くなります。また、ツールの機能はそれほど広くはなく、深くもありませんが、拡張や改良が可能です。

まとめ

DASTツールを選ぶ際には、この記事で指摘した基準を使うことができるか、確認する必要がある。各企業はそれぞれ独自のニュアンスと特徴を持っている。これらすべての選択基準と合わせて考慮しなければならない。また、事前にニーズを定義し、ツールからどのような結果を得たいかを理解しておくとよいでしょう。間違いのないように、様々な選択肢の本格的なテストを行い、互いに比較し、最適なソリューションを選択することをお勧めします。

出典：Choosing a DAST solution: What to pay attention to?