【ホワイトハッカーは増加中】e-messe金沢で喋ってきました

2023年5月26日（金）〜27日（土）でe-messe金沢という展示会に出展してきました。

e-messe kanazawa

そこでプレゼンテーションの時間をいただいたので、その内容を一部ご紹介したいと思います。

まずは世界の動静について。
簡単にまとめると、脆弱性診断の自動ツールが発達したり、AIが流行しているにも関わらず、HackerOneに登録しているホワイトハッカーの数は年々大幅に増加している。

なぜか？

それは、「自動ツールでは見つけられない脆弱性をホワイトハッカーは見つける事ができる」からです。

それを数字で示したレポートが次の２つの画像です。

ここでは、ホワイトハッカーの95%がWebサイトをターゲットとしています。また彼らが報告するバグレポートの数は151%増加しています。

そんなホワイトハッカーたちがなぜWebサイトをターゲットにしているか？
その理由が↑のスライドです。
それは、ホワイトハッカーの92%が、自動ツール（スキャン）で検出できない脆弱性を検出できるといってます。

結論としては、脆弱性を見つけるにはまだまだ自動ツールだけでは足りない、と言うことです。

では、その状況に対してどう対処していくべきか？

まずはNTTのバグバウンティの事例です。
自前でバグを探す、非常に合理的な気がします。
しかし、以下の点が気になるところです。

・NTTのような規模だからできそう？
・バグが見つかったときの認定と緩和策の導入可否の判断
・バグを検出できるのか？

NTTほどの大規模になれば出来るそうですが、他の企業が真似をできるかというとなかなかハードルが高い気がします。
HackerOneの他のレポートでもありますが、結局はトリアージが難しく企業によってはバグはいっぱい報告され、その再現や認定、バグ解消への対応が追いつかない、ということが考えられます。

次に現実的な対応策です。

今日現在で自分が考えられる脆弱性への対応策としては「人材育成」になると思います。
メリットとしては、、

・SIerだと開発のテスト段階から脆弱性診断を行うことで、バグへの対応に先手が打てる、またノウハウも蓄積されていく
・脆弱性診断が自前で出来るようになるとノウハウが溜まって、外部企業への提供も出来る
・脆弱性を理解でき、脆弱性が出にくいシステムの構築が出来る
・将来、もし脆弱性への対応が標準化された場合に先手をうてる

ただし課題もあって、、、

・新たな攻撃手法が次から次に生産されるので、日々のアップデートが必要
・脆弱性への対応するセキュリティエンジニアのスキルセットの策定
　OSCPやOSCE、OSEEなど多様な資格もいいですが本当に資格を取得すれ　ば充分なのか、資格以外のスキル判定やスキルアップのプロセスを考える　必要あり
・エンジニアのスキルを向上させる育成方法の検討が必須
・育成には時間が掛かるので、いかに効率的にできるか

ここまでで10分も時間が押してましたが（汗）、最後におまけとして。
脆弱性の事例を３つご紹介しました。

まず１つめはGoogle Hacking Databaseを活用した事例。
Google検索にとあるクエリーを入力して検索、その結果に怪しいものがあって。
検索結果上はとある教育機関が表示されているように見えて。
リンクをクリックすると、その機関とは全く関係のない不適切なページにリダイレクトされて。
結果的にはワードプレスのプラグインの脆弱性を利用したオープンリダイレクトでした。
ちなみに、現在はこのサイトはアップデートされたのかオープンリダイレクトの脆弱性は解消されていそうでした。

２つめは、脆弱なCookie値の例です。
これは見た通りの内容です。

3つめは、WAFのバイパスについて
世の中ではWAFの導入が増えているそうですが、WAFだけで満足しないでねー、多重化して守ることが大事ですよー、ということを話させてもらいました。

以上です。