-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その7。
7つ目の気づきは「脆弱な初期設定に注意」です。
ちょうど一か月前に兵庫県三木市で発生したセキュリティインシデントに関して徳丸先生がつぶやいていましたのでご紹介します。
https://twitter.com/ockeghem/status/750234420779491328
https://www.sankei.com/west/news/160705/wst1607050010-n1.html
システムのIDとパスワードが初期設定のままだったようです。内部犯行だったとはいえ、初期設定のままとはあまりにダメダメな事例ですが、このようなダメダメな事例もたくさんあふれています。
Hardeningの競技環境に用意されたシステムは初期設定のままになっているものも用意しています。
初期設定のユーザ
初期設定のパスワード
初期設定のアクセス制御
初期設定の管理画面のURL
初期設定の管理パラメータ
どのような初期設定が問題を生むのかということが分かれば、その初期設定を修正、削除することも可能です。初期パスワードの変更についてはほとんどのチームが対応できるのですが、初期状態で存在する管理面やそのアクセス方法などの対策が漏れる傾向にあります。利用したいアプリケーションの機能ばかりに注目しているとそのアプリケーションに付随する管理機能が動いており、そこから不正アクセスを受けることがあるので要注意です。
次回は「安易な作業がトラブルを生む」を取り上げます。
- 得られた気づき その1 マルウェア感染にはなかなか気づかない
- 得られた気づき その2 意思決定のスピードが重要
- 得られた気づき その3 ビジネスは技術力だけではない
- 得られた気づき その4 ビジネス継続のために防御力と復旧力が重要
- 得られた気づき その5 サービス再開は判断が難しい
- 得られた気づき その6 トラブルは情報の不足と間違いから
- 得られた気づき その7 脆弱な初期設定に注意
- 得られた気づき その8 安易な作業がトラブルを生む
- 得られた気づき その9 事前準備と事後の振り返りが重要
- 得られた気づき その10 情報共有は共同オペレーションの体験から
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR