Q&A
> 普通に使用して攻撃が成り立つ類のものではない
脆弱性診断以前の問題ですね。
--> 特殊な事をしなくても攻撃が成り立つ。
最近、7payに「パスワード再登録のメールを、電話番号とメールアドレスが分かれば、任意のメルアドに送付できる」脆弱性がありました。
これは脆弱性診断で見つけるべき問題なのでしょうか?
ネット上では意見が割れているので気になってしまいました。
まず定義として、今回見つかった脆弱性は「改ざん等の攻撃を行わず、仕様書通りの普通の操作を行って成り立つ攻撃」と認識しています。
そこで調査としてIPAが規定する「ウェブ健康診断仕様」を参照してみました。
https://www.ipa.go.jp/security/vuln/websecurity.html
仕様書の中で、今回の攻撃に最も近い脆弱性として「 認可制御の不備、欠落 」が当てはまるかと思います。
ただ、この観点もあくまで改ざんや、設計者の意図しない動作を行った際の攻撃であり、今回の様に普通に使用して攻撃が成り立つ類のものではない気もします。
このような「普通の操作を行って成り立つ攻撃」は脆弱性診断の対象でしょうか?
仮に対象であるなら、診断する人はそのシステム全ての要求仕様を理解し、あらゆる可能性を想像する難易度の高い(責任の広すぎる)業務になる気もします。
追記:
契約としては、上記の「ウェブ健康診断仕様」を観点とする場合が多いと思います。
> 脆弱性診断の対象でしょうか?
対象かどうかは、診断サービスレベルに準ずるでしょう。
脆弱性診断以前の問題です。
今回のケースは、会員の情報を扱う際にシステムとして必ず満たさなければならない要件(非機能要件)を満たしていない設計になっていたことが原因です。
テストという観点で考えたとき、必要だったのは要件定義でのレビューです。
非機能要件に関しては、IPAの公開している非機能要求グレードにまとめられています。
回答2件
0
私も詳しい事は分かりませんし、情報は、セキュリティホールメモ 07.04 の記述とそのリンクが主ですが、(正直、このサイトの記述だけでおなか一杯(呆れた)です)
「ウェブ健康診断仕様」を観点
今回の問題は、ちょっと違う気がします。Webサイトに侵入された訳でもないです。確かに顧客データが不正にアクセスされたとも言えますが、銀行の口座から、勝手にお金を引き出されたという感じですね。ウェブサイトの設計が悪いというより、7payのシステム設計が悪いという問題では無いかと思います。
既に指摘のあるように、非機能要求グレード 「E.1.1.1 セキュリティ」に該当するかと思います。
投稿2019/07/06 02:11
総合スコア6385
確かに非機能要件レベルでの問題ですね。
システム設計時の監査(そのようなサービスがあるのは知りませんが)or レビューが足りていなかった感じですか...。
レビューが足りない、と言うか、システム(Webじゃない)の設計者/責任者に当事者意識が無かったのじゃないと思ってます。悪意を持った立場を想定するとこんな便利なのは無いです。その程度の想像力は無いのか?
今、Twitterみたら、コーナンpayがヤバい? 使ってもいないので、深追いするつもりはありませんが。(固定コードらしい)
0
7pay を使用しておらず、記者会見も確認していないので、雑な回答ですが。。。
本質問の内容は、基本的に契約内容で決定されるべき内容なので、第三者の判断は内部仕様/契約内容が開示されない限り意味がないです。
また、yuikura さんの意図する「脆弱性診断」の指す範囲も不明です。
その前提でかつ状況が「7Payの失態で露呈した本当は怖いIDの話-楠 正憲さんのnote」の背景だったとして、以下のように思いました。(要はただの感想です)
・事前に行ったセキュリティ審査が仕様にも踏み込んだ内容であったのなら、その審査は問題。セキュリティコンサルみたいなモン含んでたらアウトだわw
・事前に行ったセキュリティ審査にペネトレーションテストがあったのであれば、診断士が「手動で検査する際に」気がついても良かったんじゃないかなぁ。。。(レポート時に契約範囲外として握りつぶされたんじゃね?)
・実は内部でもだれかレポート上げてて、握りつぶしたんじゃね?(パスワードリセット時に他のメールアドレスを設定できるとか雑すぎ^^;)
ネット上の意見をまともに見てませんが、同じような感想になっているのではないかと思います。
投稿2019/07/06 00:03
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
