世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状 最も有名で資金豊富なフィンテック新興企業100社のうち98社は、フィッシング、ウェブ、モバイルアプリケーションのセキュリティ攻撃に対して脆弱です。 CB Insightsは最近、「The Fintech 250：The Top Fintech Startups Of 2018」というタイトルのレポートをまとめました。レポートによると、250社が947件の取引で合計約530億ドルの資金を調達しました。このレポートには、初期段階(シード/シリーズA)から資金の豊富なユニコーン企業まで、さまざまな開発段階にある企業が含まれています。 今日、私たちはデジタルの変革と、従来の銀行モデルに対する新興のフィンテック企業の影響の増加を観察しています。ゲームを一変させるユニコーンの顕著な例であるRevolutについては、誰もが聞いたことがあるでしょう。都市化、ブロックチェーン、AIテクノロジーの急速な普及は、世界の金融業界を混乱に陥れ、動揺させています。 「S&Pグローバルワールド100大銀行のアプリケーションセキュリティの現状」という調査について肯定的なフィードバックをいただいたため、上記のCB Insightsレポートから上位100のフィンテック新興企業を対象に同様の調査を実施することにしました。 この研究の目的は、フィンテック企業のウェブおよびアプリケーションセキュリティの全体的な状況を明らかにし、従来の銀行の結果と比較することです。   主な研究結果 セキュリティ 100%の企業が、放置または忘れられたウェブアプリケーション、API、およびサブドメインに関連するセキュリティ、プライバシー、およびコンプライアンスの問題を抱えています。 250のフィンテック企業のうち8つのメインウェブサイトと64のサブドメインに、中リスクまたは高リスクの、公開されていて悪用可能なセキュリティ脆弱性が少なくとも1つ発見されました。 最も一般的なウェブサイトの脆弱性は、XSS(クロスサイト・スクリプティング、OWASP A7)、機密データの露出(OWASP A3)、不適切なセキュリティ設定(OWASP A6)でした。 パッチが適用されていない最も古いセキュリティ脆弱性はCVE-2012-6708で、2012年以降に公開されているjQuery 1.7.2に影響を及ぼします。 モバイルアプリケーションのうち100%において、中リスクのセキュリティ脆弱性を少なくとも1つ含んでおり、97%は、少なくとも2つの中リスクまたは高リスクの脆弱性を含んでいます。 モバイルアプリケーションのバックエンド(REST/SOAP API)の56%には、SSL/TLSの設定に関する重大な設定ミスやプライバシーの問題があり、 ウェブサーバーのセキュリティ強化が不十分です。 コンプライアンス 62%の企業は、自社のメインウェブサイトでもPCI DSSコンプライアンステストに合格しませんでした。 同様に、64%の企業が自社のメインウェブサイトでGDPRコンプライアンステストに合格しませんでした。   目次   方法論とデータソース ウェブサイトセキュリティ SSL/TLS暗号化セキュリティ PCI DSSおよびGDPR ウェブサイトコンプライアンス ウェブアプリケーションファイアウォール（WAF）の使用 モバイルアプリケーションとバックエンドAPI 商標権侵害とブランド乱用 S&P Global 100大銀行とのベンチマーク 推奨事項と結論     1. 方法論とデータソース S&P Globalの格付けによって世界の大手銀行100行のウェブおよびモバイルアプリケーションのセキュリティをカバーした、以前の銀行調査から拡張された方法論を活用しました。 OSINT および非侵入テスト技術を使用して、6つの地域と17カ国からの企業を網羅した前述のCB Insightsレポートから、企業の外部のウェブアプリケーション、API、モバイルアプリを調査しました。 調査期間中、以下の企業の外部資産およびアプリケーションをテストしました。 さまざまな非侵入型のセキュリティ、プライバシー、コンプライアンスのチェックを実施しました。すべてのテストツールはオンラインで利用可能であり、調査結果の再現や、記述されたセキュリティ上の欠陥の修正後の改善の検証に自由に使用できます。 SSLセキュリティテスト  ウェブサイトセキュリティテスト モバイルアプリセキュリティテスト  フィッシングテスト  PCI DSSコンプライアンステストは、この規格の最新バージョン3.2.1の要件2.3、4.1、6.2、6.5、および6.6を対象としています。(ウェブサイトが『カードホルダーデータ環境』内にあると仮定) GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としました。(ウェブサイトがEU居住者のPIIを扱ったり保管していると仮定) オープンソースの非侵入型ソフトウェア構成分析（SCA）および独自のWebソフトウェアは、OWASP Top10リストから公開された脆弱性について、フィンガープリントされたソフトウェアバージョンを検証しました。 さらに、コンテンツセキュリティポリシー(CSP)やその他のセキュリティおよびプライバシー関連のHTTPヘッダーも検査しました。   2. ウェブサイトセキュリティ (1) SSL暗号化と (2) 適用されるPCI DSSおよびGDPRコンプライアンス要件を完全に満たすウェブサイトセキュリティの両方にて、最高の評価「A+」を受けた主要Webサイトは2つだけでした。 Brex Inc（www.brex.com）A + N26 GmbH（N26 Inc）（www.n26.com）A + 残りのメインウェブサイトでは、古いウェブソフトウェアまたはそのコンポーネントに関連する64件のセキュリティ問題を特定しました。あるウェブサイトには、17個もの古いJSライブラリや他の外部ソフトウェアコンポーネントがありました。 平均すると、各ウェブサイトには、JSライブラリ、ウェブフレームワーク、その他のサードパーティコードなど、少なくとも1つのサードパーティコンポーネントが含まれていました。以下は、メインウェブサイトのセキュリティ評価です。 メインウェブサイトの重要性を考えると、評価「F」を検出した6件はただちに改善の必要があります。 しかし、サブドメインの場合、状況はかなり悪くなります。テストしたサブドメイン全体で、合計2,474以上の古いソフトウェアコンポーネントを特定しました。サブドメインのセキュリティに関する情報を次に示します。 サブドメインのうち1,074個には、少なくとも1つの古いソフトウェアコンポーネントがありました 64個のサブドメインに、悪用可能な脆弱性を持つ古いソフトウェアコンポーネントが少なくとも1つありました 最も古い脆弱なCMSはWordPress4.7.1で、これまでに26件の既知のセキュリティ問題があります 以下は、サブドメインのウェブサイトセキュリティ評価です。   3. SSL/TLS暗号化セキュリティ HTTPS SSL/TLS暗号化の実装と設定は非常にうまく行われています。評価「B」を受けたメインウェブサイトは1つだけでしたが、他のすべてのウェブサイトは賞賛に値する評価「A」か、最高の評価「A+」を受け取りました。 上記で説明したウェブサイトのセキュリティの問題と同様に、サブドメインでのHTTPS暗号化の状況には注意が必要です。93個ものサブドメインに失敗した評価「F」があり、537個は信頼できない、または期限切れのSSL証明書を持っていました。   4. PCI DSSおよびGDPR ウェブサイトコンプライアンス 以下は、メインウェブサイトのPCI … Continue reading 世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状