「SQAT®」は、株式会社ブロードバンドセキュリティがご提供する脆弱性診断サービスです。SQAT®.jpは、BBSec セキュリティサービス本部の管理・運営によるサイトです。
弊社の診断エンジニアによって報告された、LINEヤフー株式会社が提供するスマートフォンアプリ「Yahoo! JAPAN」の脆弱性がJVNに公開されました。
JVN#23528780
LINEヤフー株式会社が提供するスマートフォンアプリ「Yahoo! JAPAN」には、クロスサイトスクリプティングの脆弱性が存在します。
https://www.cve.org/CVERecord?id=CVE-2024-28895
志賀 拓馬
詳細はこちら。
https://jvn.jp/jp/JVN23528780/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000036.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社の診断エンジニアによって報告された、Android アプリ「ABEMA(アベマ)」の脆弱性がJVNに公開されました。
JVN#70640802
株式会社AbemaTV が提供する Android アプリ「ABEMA(アベマ)」には、アクセス制限不備の脆弱性
https://www.cve.org/CVERecord?id=CVE-2024-28745
詳細はこちら。
https://jvn.jp/jp/JVN70640802/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000031.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社の診断エンジニアによって報告された、スマートフォンアプリ「東横INN公式アプリ」の脆弱性がJVNに公開されました。
JVN#52919306
スマートフォンアプリ「東横INN公式アプリ」におけるサーバ証明書の検証不備の脆弱性
https://www.cve.org/CVERecord?id=CVE-2024-27440
詳細はこちら。
https://jvn.jp/jp/JVN52919306/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000029.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社の診断エンジニアによって報告された、Drupalの脆弱性がJVNに公開されました。
JVN#63383723
Drupalにおける特定の構造を持つ入力に対する不適切な取り扱いの脆弱性
https://www.cve.org/CVERecord?id=CVE-2024-22362
詳細はこちら。
https://jvn.jp/jp/JVN63383723/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000004.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社の診断エンジニアによって報告された、Android アプリ「Spoon (スプーン)」の脆弱性がJVNに公開されました。
JVN#96154238
Android アプリ「Spoon (スプーン)」に外部サービスの API キーがハードコードされている問題
https://www.cve.org/CVERecord?id=CVE-2024-23453
詳細はこちら。
https://jvn.jp/jp/JVN96154238/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000013.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社の診断エンジニアによって報告された、Android アプリ「メルカリ」の脆弱性がJVNに公開されました。
JVN#70818619
Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性
https://www.cve.org/CVERecord?id=CVE-2024-23388
詳細はこちら。
https://jvn.jp/jp/JVN70818619/
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000005.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
SQAT® Security Report 2023-2024年秋冬号
BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。
脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2023年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。
2023年上半期、当社では12業種延べ553企業・団体、3,396システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。
「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は17.5%で、6件に1件近い割合で危険な脆弱性が検出されたことになる。
一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.8%で、5件に1件以上の割合であった。
以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2023年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。
リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。
「Webアプリ編」について、1位、2位は前期同様「クロスサイトスクリプティング(以降:XSS)」と「HTMLタグインジェクション」となった。3位以下は、脆弱性項目は前期からあまり変化はないものの、「SQLインジェクション」が順位を上げた。
3位の「サポートが終了したバージョンのPHP使用の可能性」など、サポートが終了したバージョンのコンポーネント(プログラム言語、ライブラリ等)の使用がワースト10の4項目を占めている。サポート終了とはすなわち、新たに脆弱性が発見された場合でもコンポーネントの提供元は基本的に対処しないということであり、危殆化に対する利用者側での対策が困難となるため、継続利用は危険である。例えば、サポートが終了した製品についての脆弱性情報の公開が契機になり、攻撃コードが公開され、攻撃が活発化することも考えられる。最新バージョンへのアップデートを迅速に、定期的に実施すべきである。
ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。
「ネットワーク編」のワースト10については、ワースト4までが前期と変わらず、5位、6位は順入れ替えという結果で、あまり大きな変動は見られなかったが、8位の「アクセス制御が不適切な認証機構の検出」が前期圏外からランクインした。「アクセス制御が不適切な認証機構」には、特権アカウントやデフォルトアカウント等を使用してログインできる脆弱性も含まれる。特権アカウントがデフォルトのまま、もしくは推測されやすい認証情報で設定されていた場合はさらに危険である。デフォルトアカウントやデフォルトパスワードを使用せず、推測されにくい複雑なパスワードを設定することや、ログイン画面に対するアクセスを強固に制御すること、特権アカウントは必要最小限のユーザにのみ付与することなどが推奨される。
カテゴリ別の検出結果詳細についてはこちら
Security Report TOPに戻る
TOP-更新情報に戻る
SQAT® Security Report 2023-2024年秋冬号
診断結果にみる情報セキュリティの現状はこちら
脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合
診断結果にみる情報セキュリティの現状はこちら
Security Report TOPに戻る
TOP-更新情報に戻る
SQAT® Security Report 2023年 春夏号
診断結果にみる情報セキュリティの現状はこちら
脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合
診断結果にみる情報セキュリティの現状はこちら
Security Report TOPに戻る
TOP-更新情報に戻る
SQAT® Security Report 2023年 春夏号
BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。
脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期(7月~12月)実施結果より、セキュリティ対策の実情についてお伝えする。
2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。
「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は19.0%で、5件に 1件近い割合で危険な脆弱性が検出されたことになる。
一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。
以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。
リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。
Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。
「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10(2021)」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。
ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。
ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内 部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名に は、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これ を利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。
カテゴリ別の検出結果詳細についてはこちら
Security Report TOPに戻る
TOP-更新情報に戻る
