情報セキュリティの問題一覧

クラウドサービスへの社外直接接続 A社は従業員300名の商社で，在宅勤務を進めるため，グループウェアSaaSへ社外の自宅PCから直接ログインできるよう設定を変更した。ログインには利用者IDとパスワードだけを用いてい… 標準 / fe_b_v89_sec_001 SQLインジェクション A社のECサイトには商品検索機能があり，利用者が入力したキーワードを，プログラムが文字列連結によってそのままSQL文に埋め込んで実行している。脆弱性診断で，検索欄に特定の記号と条件… 標準 / fe_b_v89_sec_002 XSS A社が運営する掲示板サイトでは，利用者が投稿した本文を，加工せずそのままHTMLとして画面に出力している。脆弱性診断で，投稿本文にスクリプトを含めると，その投稿を閲覧した別の利用者… 標準 / fe_b_v89_sec_003 CSRF A社の会員向け通販サイトは，ログイン後はCookieのセッションIDだけで利用者を識別している。配送先住所の変更などの操作は，画面のボタン押下でサーバへ送信される。ある日，複数の会… 標準 / fe_b_v89_sec_004 SSRF A社のWebサービスには，利用者が指定したURLの画像を取り込んでプレビュー表示する機能がある。サーバが利用者の指定したURLへアクセスして画像を取得する仕組みである。脆弱性診断で… 標準 / fe_b_v89_sec_005 セッション固定 A社の会員サイトでは，利用者がサイトを最初に開いた時点でセッションIDを発行し，その後ログインに成功してもセッションIDを変更していない。診断で，攻撃者があらかじめ用意したセッショ… 標準 / fe_b_v89_sec_006 認可不備 A社の会員サイトでは，注文明細をURL末尾の注文番号（例：/order?no=1024）で表示する。ログインした会員Xが自分の注文番号を1だけ変えた番号でアクセスしたところ，他の会… 標準 / fe_b_v89_sec_007 パスワード保管 A社の会員サイトでは，会員のパスワードをデータベースに平文（そのままの文字列）で保存している。万一データベースの内容が漏えいした場合，全会員のパスワードがそのまま知られ，他サービス… 標準 / fe_b_v89_sec_008 ログの機密情報 A社のWebアプリは，障害調査をしやすくするため，利用者がフォームに入力した内容をすべてアプリケーションログに記録している。ログには，クレジットカード番号やパスワードといった機密情… 標準 / fe_b_v89_sec_009 ランサムウェア A社では，ファイルサーバのデータを毎晩，同じ建物内のバックアップ用サーバへ自動コピーしている。両サーバは常時ネットワークでつながっている。先日，ある社員のPCがランサムウェアに感染… 標準 / fe_b_v89_sec_010 標的型メール A社の経理担当者宛てに，取引先の担当者名をかたり「請求書を更新したので確認してほしい」という文面のメールが届いた。メールには取引先のロゴが使われ，文面も自然だったが，添付ファイルは… 標準 / fe_b_v89_sec_011 最小権限 A社の業務システムでは，全社員に管理者権限を含むすべての操作権限が付与されている。本来，給与データの参照は人事部だけ，システム設定の変更は情報システム部だけが行うべきだが，現状では… 標準 / fe_b_v89_sec_012 脆弱性管理 A社が運用するWebサーバには，外部から悪用可能な既知の脆弱性が存在し，修正版（セキュリティパッチ）が公開されていることが脆弱性診断で判明した。この脆弱性を悪用されると，サーバへ侵… 標準 / fe_b_v89_sec_013 WAF A社のWebアプリには，すぐには改修できない既知の脆弱性が複数残っている。アプリの全面改修には数か月かかるが，その間も外部からの攻撃が試みられている。Bさんは，アプリの改修と並行し… 標準 / fe_b_v89_sec_014 通信の盗聴 A社の会員サイトは，ログインや個人情報の入力を含むのに，通信が暗号化されていないHTTPで提供されている。公衆無線LANなど第三者が通信を傍受しやすい環境では，会員のIDやパスワー… 標準 / fe_b_v89_sec_015 ゼロトラスト A社は従来，社内ネットワークに接続していれば社内システムを信頼して利用させる方式をとってきた。しかし在宅勤務やクラウド利用が増え，社内・社外の境界が曖昧になり，社内ネットワークに侵… 標準 / fe_b_v89_sec_016 インシデント対応 A社のある社員が，自分のPCの動作が急に重くなり，見慣れない通信が外部へ発生していることに気付いた。マルウェア感染が疑われる状況である。社内には情報セキュリティの報告窓口がある。被… 標準 / fe_b_v89_sec_017 情報分類 A社では，社外秘の契約書から公開済みの製品カタログまで，あらゆる文書が一つの共有フォルダに，誰でも閲覧・編集できる状態で混在して保管されている。重要度に応じた扱い分けがないため，機… 標準 / fe_b_v89_sec_018 APIキー管理 A社の開発者が，外部サービスを呼び出すためのAPIキーを，ソースコードに直接書き込んだまま，誰でも閲覧できる公開リポジトリへ誤って公開してしまった。このAPIキーがあれば，第三者が… 標準 / fe_b_v89_sec_019 メールなりすまし A社のドメインをかたるなりすましメールが，A社の取引先に多数届いている。差出人欄はA社の正規アドレスのように見え，取引先はA社からの正規メールと信じてしまうおそれがある。A社は，自… 標準 / fe_b_v89_sec_020 クラウドサービスへの社外直接接続 B社は営業担当者が外出先のスマートフォンから，顧客管理SaaSへ直接接続して商談記録を入力できるようにした。各担当者は同じ初期パスワードを管理部門から渡され，変更は任意とされていた… 標準 / fe_b_v89_sec_021 SQLインジェクション B社の会員制サイトでは，ログイン処理で利用者が入力したIDとパスワードを，プログラムがそのまま連結して作ったSQL文で認証している。診断の結果，IDの入力欄に特定の文字列を入力する… 標準 / fe_b_v89_sec_022 XSS B社の問い合わせフォームでは，利用者が入力した氏名やコメントを，管理者が後から確認する管理画面にそのまま表示している。診断で，コメント欄に細工したスクリプトを入力して送信すると，管… 標準 / fe_b_v89_sec_023 CSRF B社の社内Webシステムでは，ログイン中の社員が「退会申請の承認」をボタン操作で実行できる。最近，ある管理者が業務中に受信したメール内のリンクを開いたところ，気付かないうちに複数の… 標準 / fe_b_v89_sec_024 SSRF B社の業務システムには，外部サービスのAPIを呼び出して為替レートを取得する機能があり，接続先のURLを管理画面から自由に設定できる。診断担当者から，この設定を悪用して接続先にクラ… 標準 / fe_b_v89_sec_025 セッション固定 B社のオンライン手続サイトでは，URLのパラメタにセッションIDを付けて受け渡しており，ログイン後もそのIDを使い続けている。利用者がメールで送られてきたリンクからサイトを開いて手… 標準 / fe_b_v89_sec_026 認可不備 B社の社内文書管理システムでは，一般社員が文書のダウンロードURLを直接入力すると，役職者だけが閲覧できるはずの人事評価文書もダウンロードできてしまうことが分かった。画面のメニュー… 標準 / fe_b_v89_sec_027 パスワード保管 B社の社内システムでは，利用者のパスワードを共通の方式で暗号化して保存しており，暗号化と復号に使う鍵をプログラムのソースコード中に直接書き込んでいる。レビューで，ソースコードが流出… 標準 / fe_b_v89_sec_028 ログの機密情報 B社のシステムでは，外部サービスとの通信内容をデバッグ用に詳細ログとして出力しており，その中に認証用のトークンやAPIキーがそのまま記録されていた。ログは開発・運用の関係者が共有の… 標準 / fe_b_v89_sec_029 ランサムウェア B社では，重要データを1台の外付けディスクに1日1回だけ上書きでバックアップしている。ある日，マルウェア感染によってデータが破壊されたが，感染に気付いたのはバックアップが上書きされ… 標準 / fe_b_v89_sec_030 標的型メール B社では，採用担当部署に「応募書類を送ります」という件名のメールが多数届く。ある日，応募者を装ったメールに添付された文書ファイルを担当者が開いたところ，PCがマルウェアに感染し，社… 標準 / fe_b_v89_sec_031 最小権限 B社では，臨時のデータ集計のために一時的に管理者権限を付与された担当者が複数いるが，集計作業が終わった後も権限が付与されたままになっている。あるとき，権限が残っていた担当者のアカウ… 標準 / fe_b_v89_sec_032 脆弱性管理 B社では，業務で利用している外部製のソフトウェア部品（ライブラリ）に重大な脆弱性が見つかり，提供元から更新版が公開された。B社のシステムは多数のサーバでこの部品を使っており，どのサ… 標準 / fe_b_v89_sec_033 WAF B社の公開Webサイトに対し，SQLインジェクションやXSSを狙うとみられる大量の不正なリクエストが届いている。アプリ側の対策も進めているが，攻撃の傾向は日々変化しており，新たなパ… 標準 / fe_b_v89_sec_034 通信の盗聴 B社では，社内システムと外部のデータ連携先との間で，APIを通じて顧客データをやり取りしている。この通信は暗号化されておらず，途中の経路で通信内容を傍受されると顧客データが漏れるお… 標準 / fe_b_v89_sec_035 ゼロトラスト B社では，VPNで社内ネットワークに入った端末は，その後は社内の各種サーバへ自由にアクセスできる設定になっていた。あるとき，VPN接続した私物端末がマルウェアに感染しており，社内の… 標準 / fe_b_v89_sec_036 インシデント対応 B社のWebサーバから，深夜に大量の顧客データが外部へ送信された痕跡が監視システムで検知された。情報漏えいインシデントの可能性がある。担当者は，被害の全容がまだ分からない段階で，何… 標準 / fe_b_v89_sec_037 情報分類 B社では，個人情報を含む顧客名簿と，社外公開用のプレスリリースが同じ場所に保存され，同じアクセス権で管理されている。担当者によっては個人情報を扱う必要がないのに名簿を閲覧できてしま… 標準 / fe_b_v89_sec_038 APIキー管理 B社では，複数の開発者が共通の設定ファイルにデータベース接続用のパスワードやAPIキーを平文で書き込み，そのファイルをチャットツールで配り合っていた。退職者も過去のチャット履歴から… 標準 / fe_b_v89_sec_039 メールなりすまし B社では，自社をかたるフィッシングメールが顧客に送られ，偽サイトへ誘導される被害が報告された。B社が送るメールと偽メールを顧客が区別できず，B社の信頼にも影響している。B社は，自社… 標準 / fe_b_v89_sec_040