お客様のシステムを守ってきた代表的な
事例をご紹介します。
トリプルAは、情報漏えいの調査から各種脆弱性診断、内製化の支援までを一貫して手がけています。手動診断 × ツール診断のハイブリッドでリスクを顕在化し、お客様の環境に合わせて調査・診断・改善・体制づくりを支援してきた代表的な事例をご紹介します。
不正アクセスの疑いが検知され、「どこから侵入され、どの情報がどこまで漏えいした可能性があるか」を早急に確定する必要がありました。当局・利用者への報告も控え、初動のスピードと正確さが求められる状況でした。
緊急対応として、サーバ・アプリケーション・通信のログを横断的に解析。侵入経路の特定、設置された不正プログラムの確認、アクセスされたデータ範囲の精査を行い、事実関係を時系列で整理しました。
- ◆既知の脆弱性を悪用した外部からの侵入経路
- ◆侵入の永続化を目的とした不正プログラム(Webシェル)の設置痕跡
- ◆個人情報を含むテーブルへの不正アクセスの痕跡
漏えいの可能性がある範囲を確定し、報告に必要な事実関係を整理。侵入経路を塞ぎ、再発防止策と監視強化までご提案しました。
大型セールを控え、個人情報・クレジットカード情報を扱う基幹サイトの安全性を公開前に担保したいというご要望。認証・認可・決済まわりを重点的に確認したいとのことでした。
認証情報を用いたグレーボックス形式で、手動診断 × ツール診断のハイブリッド診断を実施。OWASP Top 10 を基準に、入力値処理・アクセス制御・セッション管理を中心に網羅的に検証しました。
- CRITICALSQLインジェクション ― 商品検索パラメータを経由してデータベースへ不正クエリが到達
- HIGHアクセス制御の不備(IDOR)― 他会員の注文情報を参照可能
- HIGH格納型クロスサイトスクリプティング(XSS)
- MEDIUMセッション固定 / Cookie属性の不備
重大な脆弱性をセール公開前にすべて修正。修正後の再診断で解消を確認し、決済・個人情報経路のリスクを大幅に低減しました。
インターネットから隔離された閉域網のため外部からの診断が難しく、内部不正や端末のマルウェア感染を想定した「内部からの」リスクを評価したいとのご要望でした。
エンジニアが客先に出向くオンサイト形式で、一般利用者権限を起点に内部Webシステムを診断。手動診断を中心に、権限管理・認証・入力処理を検証しました。
- HIGH権限昇格 ― 一般職員アカウントから管理機能へアクセス可能
- HIGH認可不備 ― 他部署の機微情報(患者情報を含む)を閲覧可能
- MEDIUM古いミドルウェア・既知脆弱性の残存
- MEDIUMセッション管理・パスワードポリシーの不備
内部からの権限昇格・情報閲覧の経路を解消。閉域網であっても侵害起点になり得るリスクを可視化し、優先度をつけた改修計画の策定を支援しました。
規制対応の一環として、基幹システムを構成するプラットフォーム全体の堅牢性を、内部接続を前提に網羅的に点検したいとのご要望でした。
オンサイトで内部ネットワークに接続し、OS・ミドルウェア・DBの設定、パッチ適用状況、アカウント・権限設定を診断。ベンチマークに沿って設定の妥当性を検証しました。
- HIGH重要パッチが未適用のミドルウェア
- HIGH過剰な権限を持つサービスアカウント
- MEDIUM不要なサービス・ポートの稼働
- MEDIUMログ・監査設定の不足
優先度の高い設定不備・パッチ未適用を是正し、内部からの侵害拡大リスクを低減。標準構成(ハードニング基準)の整備もあわせて支援しました。
新機能のリリースを前に、金融データを扱うアプリとして業界ガイドライン(OWASP MASVS 等)への準拠状況を確認したいとのご要望でした。
静的解析(機密情報のハードコード・リバースエンジニアリング耐性)と動的解析(通信・端末内保存データ)を実施。あわせてAPI診断で認可制御を検証しました。
- HIGH端末内への機密情報の平文保存
- HIGH証明書ピンニング未実装による中間者攻撃リスク
- HIGHAPIの認可不備 ― 権限を越えたデータ参照が可能
- MEDIUMログへの機密情報出力
機密情報の保存方式と通信保護を改善し、OWASP MASVS L1 相当の要件を充足。リリース前に主要なリスクを解消しました。
事業拡大に伴って構成が属人化し、設定ミスによる情報漏えいを防ぎたいものの、社内に専任のクラウドセキュリティ担当がいないという課題がありました。
CISベンチマークを基準としたクラウド構成診断と、IAMポリシーの権限レビューを実施。公開設定・暗号化・監査ログ・最小権限の観点で点検しました。
- CRITICAL一般公開状態のS3バケット ― 機密ファイルが外部から参照可能
- HIGH過剰なIAM権限 ― 管理者権限の常用
- HIGH全開放のセキュリティグループ(0.0.0.0/0)
- MEDIUM未暗号化のストレージ / データベース
公開バケットを即時是正し、IAMを最小権限へ再設計。暗号化と監査ログを有効化して重大リスクを解消し、再発防止のチェックリストも提供しました。
個別の脆弱性診断は実施済みでしたが、「実際に攻撃者が侵入できるか」という観点での実戦的な耐性評価が未実施でした。
攻撃者視点のシナリオ型ペネトレーションテストを実施。外部からの初期侵入〜権限昇格〜内部到達までの一連の攻撃経路を、検知・対応体制への影響も含めて評価しました。
- CRITICAL軽微な不備を連鎖させた認証バイパス ― 単体では見逃される脆弱性の組み合わせで侵入に成功
- HIGH侵入後の権限昇格の経路
- HIGH内部ネットワークへの到達性
単体では見逃されがちな脆弱性の連鎖を実証して攻撃経路を遮断。検知ルールとインシデント対応フローの改善提言まで実施し、実戦的な防御力を強化しました。
リリース頻度が高く、毎回の外部診断を待つと開発スピードが落ちる。簡易な一次診断を自社で回せる体制を作りたいが、ノウハウと判断基準がないという課題がありました。
- ✓診断手順・チェックリストの整備(OWASPベース)
- ✓診断ツールの選定・導入と CI/CD への組み込み
- ✓実機を用いたハンズオン研修
- ✓報告書テンプレート・トリアージ基準の策定
- ✓内製診断の品質レビュー(伴走支援)
開発チームがリリース前の一次診断を内製化。外部診断は重要リリース時に絞ることでコストを最適化し、診断のリードタイムを短縮。継続的に相談できる体制を構築しました。
