情報セキュリティの問題一覧

クラウドサービスへの社外直接接続 A社は従業員300名の商社で，在宅勤務を進めるため，グループウェアSaaSへ社外の自宅PCから直接ログインできるよう設定を変更した。ログインには利用者IDとパスワードだけを用いてい… 標準 / fe_b_v89_sec_001 SQLインジェクション A社の管理画面では，担当者IDと期間を入力して売上明細を検索する。担当者IDだけは数値チェックしているが，期間の条件は入力文字列を連結してSQLのWHERE句に埋め込んでいる。診断… 難しい / fe_b_v89_sec_002 XSS A社のFAQサイトでは，管理者が回答本文を登録し，利用者画面に表示している。本文には一部HTMLタグを許可しているが，属性値やURLの検査が不十分で，リンク属性にスクリプトを仕込む… 難しい / fe_b_v89_sec_003 CSRF A社の経費精算システムでは，ログイン済み利用者が承認ボタンを押すと承認IDを含むリクエストが送信される。CookieにはSameSite属性を設定しているが，古いブラウザや連携画面… 難しい / fe_b_v89_sec_004 SSRF A社の画像取得APIでは，利用者が指定したURLをサーバが取得する。プライベートIPアドレスを拒否していたが，外部ドメインからリダイレクトさせることで，最終的にクラウド基盤のメタデ… 難しい / fe_b_v89_sec_005 セッション固定 A社の会員サイトでは，未ログイン状態で発行したセッションIDをログイン後も使い続けている。さらにURL中のパラメタでセッションIDを受け取る旧仕様も残っていた。攻撃者は，被害者に特… 難しい / fe_b_v89_sec_006 認可不備 A社の文書管理システムでは，文書IDを指定するとPDFをダウンロードできる。ログイン済みかどうかは確認しているが，その文書を閲覧できる部署・役職かどうかは画面のメニュー表示だけで制… 難しい / fe_b_v89_sec_007 パスワード保管 A社の会員サイトでは，会員のパスワードをデータベースに平文（そのままの文字列）で保存している。万一データベースの内容が漏えいした場合，全会員のパスワードがそのまま知られ，他サービス… 標準 / fe_b_v89_sec_008 ログの機密情報 A社のWebアプリは，障害調査をしやすくするため，利用者がフォームに入力した内容をすべてアプリケーションログに記録している。ログには，クレジットカード番号やパスワードといった機密情… 標準 / fe_b_v89_sec_009 ランサムウェア A社はファイルサーバを毎晩バックアップしているが，バックアップ領域は常時ネットワーク共有として接続されている。ランサムウェア感染時，最新バックアップだけでなく複数世代のバックアップ… 難しい / fe_b_v89_sec_010 標的型メール A社の経理担当者宛てに，取引先の担当者名をかたり「請求書を更新したので確認してほしい」という文面のメールが届いた。メールには取引先のロゴが使われ，文面も自然だったが，添付ファイルは… 標準 / fe_b_v89_sec_011 最小権限 A社の業務システムでは，全社員に管理者権限を含むすべての操作権限が付与されている。本来，給与データの参照は人事部だけ，システム設定の変更は情報システム部だけが行うべきだが，現状では… 標準 / fe_b_v89_sec_012 脆弱性管理 A社が運用するWebサーバには，外部から悪用可能な既知の脆弱性が存在し，修正版（セキュリティパッチ）が公開されていることが脆弱性診断で判明した。この脆弱性を悪用されると，サーバへ侵… 標準 / fe_b_v89_sec_013 WAF A社のWebアプリには，すぐには改修できない既知の脆弱性が複数残っている。アプリの全面改修には数か月かかるが，その間も外部からの攻撃が試みられている。Bさんは，アプリの改修と並行し… 標準 / fe_b_v89_sec_014 通信の盗聴 A社の会員サイトは，ログインや個人情報の入力を含むのに，通信が暗号化されていないHTTPで提供されている。公衆無線LANなど第三者が通信を傍受しやすい環境では，会員のIDやパスワー… 標準 / fe_b_v89_sec_015 ゼロトラスト A社では，社内LANに接続した端末からのアクセスは基本的に信頼していた。しかし委託先端末の侵害をきっかけに，社内LAN上の複数システムへ横展開された。今後は，社内外の境界ではなく，… 難しい / fe_b_v89_sec_016 インシデント対応 A社の端末で，EDRが不審な外部通信と認証情報窃取の疑いを検知した。端末内には原因調査に必要なログやメモリ上の情報が残っている可能性がある。情報システム部門は，被害拡大の抑止と証拠… 難しい / fe_b_v89_sec_017 情報分類 A社では，社外秘の契約書から公開済みの製品カタログまで，あらゆる文書が一つの共有フォルダに，誰でも閲覧・編集できる状態で混在して保管されている。重要度に応じた扱い分けがないため，機… 標準 / fe_b_v89_sec_018 APIキー管理 A社の開発者が，外部決済サービスのAPIキーを含む設定ファイルを公開リポジトリにpushした。数時間後に気付き，該当ファイルだけを削除して再pushしたが，履歴にはAPIキーが残っ… 難しい / fe_b_v89_sec_019 メールなりすまし A社のドメインをかたるなりすましメールが，A社の取引先に多数届いている。差出人欄はA社の正規アドレスのように見え，取引先はA社からの正規メールと信じてしまうおそれがある。A社は，自… 標準 / fe_b_v89_sec_020 クラウドサービスへの社外直接接続 B社は営業担当者が外出先のスマートフォンから，顧客管理SaaSへ直接接続して商談記録を入力できるようにした。各担当者は同じ初期パスワードを管理部門から渡され，変更は任意とされていた… 標準 / fe_b_v89_sec_021 SQLインジェクション B社の会員制サイトでは，ログイン処理で利用者が入力したIDとパスワードを，プログラムがそのまま連結して作ったSQL文で認証している。診断の結果，IDの入力欄に特定の文字列を入力する… 標準 / fe_b_v89_sec_022 XSS B社の問い合わせフォームでは，利用者が入力した氏名やコメントを，管理者が後から確認する管理画面にそのまま表示している。診断で，コメント欄に細工したスクリプトを入力して送信すると，管… 標準 / fe_b_v89_sec_023 CSRF B社の社内Webシステムでは，ログイン中の社員が「退会申請の承認」をボタン操作で実行できる。最近，ある管理者が業務中に受信したメール内のリンクを開いたところ，気付かないうちに複数の… 標準 / fe_b_v89_sec_024 SSRF B社の業務システムには，外部サービスのAPIを呼び出して為替レートを取得する機能があり，接続先のURLを管理画面から自由に設定できる。診断担当者から，この設定を悪用して接続先にクラ… 標準 / fe_b_v89_sec_025 セッション固定 B社のオンライン手続サイトでは，URLのパラメタにセッションIDを付けて受け渡しており，ログイン後もそのIDを使い続けている。利用者がメールで送られてきたリンクからサイトを開いて手… 標準 / fe_b_v89_sec_026 認可不備 B社の社内文書管理システムでは，一般社員が文書のダウンロードURLを直接入力すると，役職者だけが閲覧できるはずの人事評価文書もダウンロードできてしまうことが分かった。画面のメニュー… 標準 / fe_b_v89_sec_027 パスワード保管 B社の社内システムでは，利用者のパスワードを共通の方式で暗号化して保存しており，暗号化と復号に使う鍵をプログラムのソースコード中に直接書き込んでいる。レビューで，ソースコードが流出… 標準 / fe_b_v89_sec_028 ログの機密情報 B社のシステムでは，外部サービスとの通信内容をデバッグ用に詳細ログとして出力しており，その中に認証用のトークンやAPIキーがそのまま記録されていた。ログは開発・運用の関係者が共有の… 標準 / fe_b_v89_sec_029 ランサムウェア B社では，重要データを1台の外付けディスクに1日1回だけ上書きでバックアップしている。ある日，マルウェア感染によってデータが破壊されたが，感染に気付いたのはバックアップが上書きされ… 標準 / fe_b_v89_sec_030 標的型メール B社では，採用担当部署に「応募書類を送ります」という件名のメールが多数届く。ある日，応募者を装ったメールに添付された文書ファイルを担当者が開いたところ，PCがマルウェアに感染し，社… 標準 / fe_b_v89_sec_031 最小権限 B社では，臨時のデータ集計のために一時的に管理者権限を付与された担当者が複数いるが，集計作業が終わった後も権限が付与されたままになっている。あるとき，権限が残っていた担当者のアカウ… 標準 / fe_b_v89_sec_032 脆弱性管理 B社では，業務で利用している外部製のソフトウェア部品（ライブラリ）に重大な脆弱性が見つかり，提供元から更新版が公開された。B社のシステムは多数のサーバでこの部品を使っており，どのサ… 標準 / fe_b_v89_sec_033 WAF B社の公開Webサイトに対し，SQLインジェクションやXSSを狙うとみられる大量の不正なリクエストが届いている。アプリ側の対策も進めているが，攻撃の傾向は日々変化しており，新たなパ… 標準 / fe_b_v89_sec_034 通信の盗聴 B社では，社内システムと外部のデータ連携先との間で，APIを通じて顧客データをやり取りしている。この通信は暗号化されておらず，途中の経路で通信内容を傍受されると顧客データが漏れるお… 標準 / fe_b_v89_sec_035 ゼロトラスト B社では，VPNで社内ネットワークに入った端末は，その後は社内の各種サーバへ自由にアクセスできる設定になっていた。あるとき，VPN接続した私物端末がマルウェアに感染しており，社内の… 標準 / fe_b_v89_sec_036 インシデント対応 B社のWebサーバから，深夜に大量の顧客データが外部へ送信された痕跡が監視システムで検知された。情報漏えいインシデントの可能性がある。担当者は，被害の全容がまだ分からない段階で，何… 標準 / fe_b_v89_sec_037 情報分類 B社では，個人情報を含む顧客名簿と，社外公開用のプレスリリースが同じ場所に保存され，同じアクセス権で管理されている。担当者によっては個人情報を扱う必要がないのに名簿を閲覧できてしま… 標準 / fe_b_v89_sec_038 APIキー管理 B社では，複数の開発者が共通の設定ファイルにデータベース接続用のパスワードやAPIキーを平文で書き込み，そのファイルをチャットツールで配り合っていた。退職者も過去のチャット履歴から… 標準 / fe_b_v89_sec_039 メールなりすまし B社では，自社をかたるフィッシングメールが顧客に送られ，偽サイトへ誘導される被害が報告された。B社が送るメールと偽メールを顧客が区別できず，B社の信頼にも影響している。B社は，自社… 標準 / fe_b_v89_sec_040