Category: RESEARCH

世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状 最も有名で資金豊富なフィンテック新興企業100社のうち98社は、フィッシング、ウェブ、モバイルアプリケーションのセキュリティ攻撃に対して脆弱です。 CB Insightsは最近、「The Fintech 250:The Top Fintech Startups Of 2018」というタイトルのレポートをまとめました。レポートによると、250社が947件の取引で合計約530億ドルの資金を調達しました。このレポートには、初期段階(シード/シリーズA)から資金の豊富なユニコーン企業まで、さまざまな開発段階にある企業が含まれています。 今日、私たちはデジタルの変革と、従来の銀行モデルに対する新興のフィンテック企業の影響の増加を観察しています。ゲームを一変させるユニコーンの顕著な例であるRevolutについては、誰もが聞いたことがあるでしょう。都市化、ブロックチェーン、AIテクノロジーの急速な普及は、世界の金融業界を混乱に陥れ、動揺させています。 「S&Pグローバルワールド100大銀行のアプリケーションセキュリティの現状」という調査について肯定的なフィードバックをいただいたため、上記のCB Insightsレポートから上位100のフィンテック新興企業を対象に同様の調査を実施することにしました。 この研究の目的は、フィンテック企業のウェブおよびアプリケーションセキュリティの全体的な状況を明らかにし、従来の銀行の結果と比較することです。   主な研究結果 セキュリティ 100%の企業が、放置または忘れられたウェブアプリケーション、API、およびサブドメインに関連するセキュリティ、プライバシー、およびコンプライアンスの問題を抱えています。 250のフィンテック企業のうち8つのメインウェブサイトと64のサブドメインに、中リスクまたは高リスクの、公開されていて悪用可能なセキュリティ脆弱性が少なくとも1つ発見されました。 最も一般的なウェブサイトの脆弱性は、XSS(クロスサイト・スクリプティング、OWASP A7)、機密データの露出(OWASP A3)、不適切なセキュリティ設定(OWASP A6)でした。 パッチが適用されていない最も古いセキュリティ脆弱性はCVE-2012-6708で、2012年以降に公開されているjQuery 1.7.2に影響を及ぼします。 モバイルアプリケーションのうち100%において、中リスクのセキュリティ脆弱性を少なくとも1つ含んでおり、97%は、少なくとも2つの中リスクまたは高リスクの脆弱性を含んでいます。 モバイルアプリケーションのバックエンド(REST/SOAP API)の56%には、SSL/TLSの設定に関する重大な設定ミスやプライバシーの問題があり、 ウェブサーバーのセキュリティ強化が不十分です。 コンプライアンス 62%の企業は、自社のメインウェブサイトでもPCI DSSコンプライアンステストに合格しませんでした。 同様に、64%の企業が自社のメインウェブサイトでGDPRコンプライアンステストに合格しませんでした。   目次   方法論とデータソース ウェブサイトセキュリティ SSL/TLS暗号化セキュリティ PCI DSSおよびGDPR ウェブサイトコンプライアンス ウェブアプリケーションファイアウォール(WAF)の使用 モバイルアプリケーションとバックエンドAPI 商標権侵害とブランド乱用 S&P Global 100大銀行とのベンチマーク 推奨事項と結論     1. 方法論とデータソース S&P Globalの格付けによって世界の大手銀行100行のウェブおよびモバイルアプリケーションのセキュリティをカバーした、以前の銀行調査から拡張された方法論を活用しました。 OSINT および非侵入テスト技術を使用して、6つの地域と17カ国からの企業を網羅した前述のCB Insightsレポートから、企業の外部のウェブアプリケーション、API、モバイルアプリを調査しました。 調査期間中、以下の企業の外部資産およびアプリケーションをテストしました。 さまざまな非侵入型のセキュリティ、プライバシー、コンプライアンスのチェックを実施しました。すべてのテストツールはオンラインで利用可能であり、調査結果の再現や、記述されたセキュリティ上の欠陥の修正後の改善の検証に自由に使用できます。 SSLセキュリティテスト  ウェブサイトセキュリティテスト モバイルアプリセキュリティテスト  フィッシングテスト  PCI DSSコンプライアンステストは、この規格の最新バージョン3.2.1の要件2.3、4.1、6.2、6.5、および6.6を対象としています。(ウェブサイトが『カードホルダーデータ環境』内にあると仮定) GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としました。(ウェブサイトがEU居住者のPIIを扱ったり保管していると仮定) オープンソースの非侵入型ソフトウェア構成分析(SCA)および独自のWebソフトウェアは、OWASP Top10リストから公開された脆弱性について、フィンガープリントされたソフトウェアバージョンを検証しました。 さらに、コンテンツセキュリティポリシー(CSP)やその他のセキュリティおよびプライバシー関連のHTTPヘッダーも検査しました。   2. ウェブサイトセキュリティ (1) SSL暗号化と (2) 適用されるPCI DSSおよびGDPRコンプライアンス要件を完全に満たすウェブサイトセキュリティの両方にて、最高の評価「A+」を受けた主要Webサイトは2つだけでした。 Brex Inc(www.brex.com)A + N26 GmbH(N26 Inc)(www.n26.com)A + 残りのメインウェブサイトでは、古いウェブソフトウェアまたはそのコンポーネントに関連する64件のセキュリティ問題を特定しました。あるウェブサイトには、17個もの古いJSライブラリや他の外部ソフトウェアコンポーネントがありました。 平均すると、各ウェブサイトには、JSライブラリ、ウェブフレームワーク、その他のサードパーティコードなど、少なくとも1つのサードパーティコンポーネントが含まれていました。以下は、メインウェブサイトのセキュリティ評価です。 メインウェブサイトの重要性を考えると、評価「F」を検出した6件はただちに改善の必要があります。 しかし、サブドメインの場合、状況はかなり悪くなります。テストしたサブドメイン全体で、合計2,474以上の古いソフトウェアコンポーネントを特定しました。サブドメインのセキュリティに関する情報を次に示します。 サブドメインのうち1,074個には、少なくとも1つの古いソフトウェアコンポーネントがありました 64個のサブドメインに、悪用可能な脆弱性を持つ古いソフトウェアコンポーネントが少なくとも1つありました 最も古い脆弱なCMSはWordPress4.7.1で、これまでに26件の既知のセキュリティ問題があります 以下は、サブドメインのウェブサイトセキュリティ評価です。   3. SSL/TLS暗号化セキュリティ HTTPS SSL/TLS暗号化の実装と設定は非常にうまく行われています。評価「B」を受けたメインウェブサイトは1つだけでしたが、他のすべてのウェブサイトは賞賛に値する評価「A」か、最高の評価「A+」を受け取りました。 上記で説明したウェブサイトのセキュリティの問題と同様に、サブドメインでのHTTPS暗号化の状況には注意が必要です。93個ものサブドメインに失敗した評価「F」があり、537個は信頼できない、または期限切れのSSL証明書を持っていました。   4. PCI DSSおよびGDPR ウェブサイトコンプライアンス 以下は、メインウェブサイトのPCI […]

Read more

S&PグローバルTop100の世界大手銀行のアプリケーションセキュリティの現状 大手銀行100行のうち97行が、ハッカーが機密データを盗むためのWeb攻撃およびモバイル攻撃に対して脆弱です。 業界アナリストやセキュリティ専門家の間では、アプリケーションのセキュリティが重要だという意見で一致しています。 Forresterの最近の調査によると、アプリケーションセキュリティ市場は2023年までに70億米ドルを超えると予測されています。 一方、Gartnerによると、世界のサイバーセキュリティにおける支出では銀行部門がリードしていす。 この調査では、S&P Global list for 2019 に掲載されている世界最大の金融機関のアプリケーションセキュリティ、プライバシー、コンプライアンスについて報告しています。 主な調査結果 コンプライアンス: 85個のe-banking WebアプリケーションがGDPR準拠テストに失格しました。 49個のe-banking WebアプリケーションがPCI DSS準拠テストに失格しました。 25個のe-banking Webアプリケーションは、Webアプリケーションファイアウォールによって保護されていません。 セキュリティの脆弱性: 7つの E-banking Webアプリケーションには、既知の脆弱性と悪用可能な脆弱性が含まれています。 パッチが適用されていない脆弱性のうち、最も古いものは2011年以降に公開された既知のものだ。 モバイルバンキング用アプリケーションの92%に、中リスクのセキュリティの脆弱性が少なくとも1つ含まれています。 全ての銀行は、セキュリティ上の脆弱性や、管理されないまま放置されたサブドメインに関する問題を抱えています。 目次   データソースと方法論 ウェブサイトのセキュリティ SSL / TLS暗号化セキュリティ PCI DSSおよびGDPR Webサイトコンプライアンス 旧式で脆弱なWebソフトウェア Webアプリケーションファイアウォールの使用 モバイルバンキングアプリケーション フィッシング詐欺 商標権侵害とドメイン・スクワッティング 推奨事項   1.データソースと方法論 FT500リストの世界最大の企業のWebおよびモバイルアプリケーションセキュリティを対象とした以前の調査から、強化された手法を活用しました。この調査の目的のために、22カ国の世界最大の金融機関を含むS&Pグローバルリストの外部Webアプリケーション、API、およびモバイルアプリを慎重に調査しました。 次の外部資産およびアプリケーションをテストしました: ImmuniWebがサイバーセキュリティコミュニティに無料で提供している非侵入的セキュリティ、プライバシー、コンプライアンスのテストを実施しました: SSL Security Test Website Security Test Mobile App Security Test Phishing Test PCI DSSコンプライアンステストは、標準の最新バージョン(v.3.2.1)の要件2.3、4.1、6.2、6.5、および6.6を対象としています。 GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としています。 オープンソースソフトウェア(OSS)の非侵入型ソフトウェア構成分析(SCA)は、OWASP Top10リストで公開されているフィンガープリントの脆弱性があるソフトウェアバージョンについて検証しています。 2.ウェブサイトのセキュリティ SSL暗号化とWebサイトのセキュリティの両方で最高グレードの評価「A+」を獲得した主要Webサイトは、100サイト中3サイトのみでした。 www.credit-suisse.com (Switzerland) A+ www.danskebank.com (Denmark) A+ www.handelsbanken.se (Sweden) A+ 以下は、主要なWebサイトのWebサイトセキュリティグレードです。: 以下は、サブドメインのWebサイトセキュリティグレードです。: 以下は、e-banking WebアプリケーションのWebサイトセキュリティグレードです。: 3.SSL / TLS暗号化セキュリティ 以下は、主要WebサイトのSSL / TLS暗号化セキュリティグレードです。: 以下は、サブドメインのSSL / TLS暗号化セキュリティグレードです。: 以下は、e-banking WebアプリケーションのSSL / TLS暗号化セキュリティグレードです。: 4.PCI DSSおよびGDPR Webサイトコンプライアンス 以下は、主要WebサイトのPCI DSSコンプライアンステストです。: 以下は、サブドメインのPCI DSSコンプライアンステストです。: 以下は、e-banking WebアプリケーションのPCI DSSコンプライアンステストです。: 以下は、メインWebサイトのGDPRコンプライアンステストです。: 以下は、サブドメインのGDPRコンプライアンステストです。: 以下は、e-banking WebアプリケーションのGDPRコンプライアンステストです。: 5.旧式で脆弱なWebソフトウェア […]

Read more

放置されたWebアプリケーション:FT500企業のアキレス腱 昨今、最大規模のグローバル企業でのセキュリティへの支出が増大している状況にもかかわらず、シャドウアプリケーションおよびレガシーアプリケーションが放置されているケースが多く、それらによってサイバーセキュリティとコンプライアンスが低下しています。 主な調査結果 FT500の企業のうち70%は、Dark Webで情報が販売されています。 外部Webアプリケーションの92%に、悪用可能なセキュリティ上の欠陥または脆弱性があります。 19%の企業が、保護されていない外部クラウドストレージを使用しています。 GDPRに準拠していない外部ウェブアプリケーションの2%がWAFで適切に保護されています。 研究の概要 目次   前文   研究データ 研究統計 3.1 外部アプリケーション3.2 SSL / TLS暗号化3.3 PCI DSSおよびTLS3.4 SSL証明書とドメイン名3.5 Webサーバーセキュリティ3.6 コンテンツセキュリティポリシー3.7 脆弱なWebソフトウェア3.8 デフォルトのWordPressインストール3.9 Webアプリケーションファイアウォール3.10 ISC / SCADAおよびIoT3.11 GDPRコンプライアンス3.12 プライバシーポリシー3.13 保護されていないクラウドストレージ3.14 オープンバグバウンティレポート3.15 ダークウェブで販売されたデータ 結論と解決策     1.前文 米国第21代国防長官ドナルド・ラムズフェルドは次のように述べています。 「既知の既知のものがあります(認識していて[原因or理由or対策]がわかっていること)。また、既知の未知のものがあることも知っています(認識しているが[原因or理由or対策]がわからないこと)。しかし、未知の未知(存在を認識すらしていないこと)の要素もあります。そして、我が国や他の自由諸国の歴史を振り返ってみると、後者のカテゴリーが難しいものになる傾向にあります。」 現在では、彼の英知は特にテクノロジーとサイバーセキュリティーの分野に適用されます。シャドウ、レガシー、および放棄されたIT資産は、通常、既知の未知または未知の未知のカテゴリに分類され、現代の企業や組織にとって大きなリスクとなっています。メンテナンスも保護もないまま放置された場合、セキュリティへの取り組みの有無やサイバーセキュリティへの支出の増加有無に関係なく、悪循環が発生し、 企業は簡単に侵害されてしまいます。 2017年11月、High-Tech BridgeはImmuniWeb®Discoveryの開始を発表しました。これは、特定の企業または組織に関連するすべての外部アプリケーションと関連IT資産を検索する、非侵入型のOpen Source Intelligence(OSINT)サービスです。つまり、ImmuniWeb Discoveryは、Webベースの攻撃可能な表面の包括的なスナップショットを迅速に構築します。会社名とメインWebサイトを入力するだけで、すべての外部Webサイト、Webシステム、ドメイン名、SSL証明書、WebベースのAPIおよびマイクロサービス、および保護されていないクラウドストレージの非侵入型調査を開始します。 私たちは最近、ImmuniWeb Discovery ユーザーの企業や政府に簡単なアンケートを送り、私たちのサービスでの彼らの経験を調査しました。調査の結果、発見されたアプリケーションのうち最大80%がサイバーセキュリティチームに知られていなかったことが明らかになり、この過小評価されがちな問題の規模と広がりには、大きな驚きがありました。 2.研究データ 既知の未知、未知の未知、関連するリスク、脅威に光を当てるために、Financial Times:グローバル企業上位1,000社 (FT US500、FT Europe500) を採用し、非侵入的評価を実施した結果、 その外部Webアプリケーション、モバイルアプリケーション、SSL証明書、Webソフトウェア、および保護されていないクラウドストレージを大規模に検出しました。 この調査では、次の用語を使用します(各用語の説明は記事特有の表現となる場合があります): シャドウIT:正当なビジネスの目的のために組織内で作成されたIT資産は、組織の中央管理者およびIT/セキュリティ担当者との適切な調整なしに構築されます。そのため、多くの場合、メンテナンスされておらず、適切に保護されていません。例:営業チームが独自に使用しているクラウドベースのファイル共有サービスで、現在の取引や契約情報を管理している。 レガシーIT:正当な(および既存の)ビジネスの目的に対応するために古くから構築されてきたIT資産ですが、複雑さ、人的要因、コードや知識の適切な伝達が行われないままエンジニアの退職、リソースの不足などの理由で適切なメンテナンスが行われていない場合があります。そういったことから、古いシステムのままであることから様々な脆弱性が潜んでいます。例:クライアントデータの整合性を備えた core e-banking システムのモジュール部分。 放置されたIT:正当なビジネスの目的のために構築されたIT資産ですが、ビジネスの過程で自然に忘れられたり、放置されたり、失われたりする場合があります。そういったことから、古いシステムのままであることから様々な脆弱性が潜んでいます。例:実際の顧客データを使用したERPシステムの本番稼働前のテストバージョン。 この調査では、あらゆる規模の組織にとって最大の外部脅威の1つであるアプリケーションおよび関連するITインフラストラクチャに焦点を当てています。 この調査では、下記の無料で公開されているものを使用しました。 ImmuniWeb® Discovery SSL Security Test Website Security Test Mobile App Security Test この調査は、Shodanのようなネットワーク・インフラストラクチャではなく、アプリケーションITインフラストラクチャ(HTTP/Sプロトコルを介してアクセス可能な外部システム)に重点を置いています。 3.研究統計 3.1 外部アプリケーション 米国の大手企業500社は、インターネットからアクセス可能な293,512の外部システムを保有しています。そのうちの42,549の外部システムは、動的なコンテンツと機能を備えたライブWebアプリケーションを持っています。EUの大手企業500社は、インターネットからアクセス可能な112,750の外部システムを保有しています。そのうちの22,162の外部システムは、動的なコンテンツと機能を備えたライブWebアプリケーションを持っています。 これは、米国の企業が平均85.1個のアプリケーションを持っていることを意味します。これらは、外部から簡単に発見でき、2FA、強力な認証、および信頼できない関係者へのアプリケーションアクセシビリティを低減することを目的とした、その他のセキュリティコントロールによって保護されていません。EU企業については、企業ごとに44.3件のアプリケーションがあります。 すべての種類のリダイレクト、デフォルトのインストールページ(例:Apache)またはHTTPエラー(例:404または500)を無視して、一意のライブWebアプリケーションのみをカウントしました。: 3.2 SSL / TLS暗号化 SSL/TLS暗号化のグレードについては、米国企業に属するWebサーバの48.81%が「A」ですが、32.21%が「F」となっています。7.82%は非推奨のSSLv3プロトコルがまだ有効になっているため脆弱性があります。 EU企業に属するウェブサーバーの62.4%が「A」、16.02%が「F」となっていますが、それでも欧州企業は米国企業に比べてはるかに優秀な状態にあると言えるでしょう。SSLv3プロトコルが有効となっているシステムが5.15%と米国より低い数値となっているためです。 「F」グレードのサーバを少なくとも2台所有している企業は、米国企業では43.2%であるのに対し、EU企業では29.6%となっています。 「A」グレードの単一サーバを保有していない企業は、米国企業では14%、EU企業では10%となります。 悪用可能なSSL/TLS脆弱性(少なくとも傍受されたHTTPSトラフィックの暗号化を解読することが可能)を持つサーバを少なくとも2台所有している企業は、米国企業では35.2%に対し、EU企業では24%になります。 3.3 PCI DSSおよびTLS 米国の企業では、PCI DSS 3.2 .1の最新バージョン(要件2.3および4.1)に準拠したSSL/TLS設定が使用されているWebサーバは、検出されたサーバのわずか16.4%です。EU企業は、準拠しているWebサーバが14.7%と、さらに悪化しています。 ただし、必ずしも、PCI DSSに準拠していない構成が「暗号化が不十分」であることを意味するわけではありません。しかし、多くの場合では不十分なのが現状です。 3.4 SSL証明書とドメイン名 米国企業では、信頼されていない認証局(CA)、有効期限、または別のドメイン名に対する発行が原因で、45.1%のSSL証明書が無効になっています。信頼されていない認証局には、信頼されていないSymantec KPIのレガシー証明書が含まれます。 […]

Read more