Attack Surface Assessment

Attack Surface調査サービス

attack-surface-fig01
攻撃者の目線で組織における
潜在的なサイバー攻撃の脅威を調査・報告

COVID-19以降、働き方が大きく変化し、リモートワーク環境整備促進され、オンラインサービスの利用が拡大しています。一方で、リモートワーク環境を狙う攻撃の増加とランサムウェアの脅威が浮き彫りとなっており、業務環境の急激な変化に対応しきれない管理不十分なサーバやネットワーク機器が攻撃者にとって、真っ先に狙うべき侵入経路の一つとなっています。
本サービスでは、弊社コンサルタントがお客様を狙う「脅威アクター(攻撃者)」の視点で、お客様のドメインに関連するサブドメインやWebサイトを洗い出し、機微情報や侵害データ収集します。さらに、収集した情報から「Attack Surface(攻撃可能な領域)」を調査し、対策案とともにご報告します。お客様は自組織を取り巻く脅威の把握と早期対策が可能となります。

無料で相談する

こんな課題ありませんか?

全社的な課題として、自社における現在進行形のリアルな脅威を客観的に把握したい

近年では自社のサイバー攻撃に対する対応力(防御・検知・回復)における課題を明確化するためにTLPTやペネトレーションテストの実施をご検討されるお客様が数多くいらっしゃいます。
本サービスでは、現実のインターネット上の情報を調査・分析するため、攻撃者がどのような情報を入手して内部侵入を試みるか、現実的に起こりえるリアルな侵入シナリオをご報告いたします。その結果をもって、お客様固有の非常に効果の高い脅威シナリオをTLPTおよびペネトレーションテストで実施いただくことが可能です。

外部公開サーバにおける既知脆弱性の対応が後手後手にならないか不安

ビジネスの変化に伴い、システムや情報資産がパブリッククラウドに移行する一方、常に外部の脅威に晒され、Attack Surface(攻撃可能領域)が増えています。この現状に比例して、管理不十分なサーバやデバイスの脆弱性や設定不備を突いて、社内ネットワークへ侵入を試みる傾向も増加しています。
本サービスでは、お客様が管理運用されていると思われるサーバやデバイスを調査・分析することで、管理が十分に行き届いているか、調査ドメインに基づくサーバの棚卸を行い、効果的な脆弱性管理を支援します。

クラウドサービスにおける設定不備や運用不備がないか不安

クラウドネイティブの時代になり、多くの企業でクラウドサービスを導入しています。一方で、導入のしやすさから管理が煩雑になったり、管理ルールが定まらないまま運用を続けてしまい、思わぬ設定不備や運用不備による情報漏えいが発生するケースが後を絶たちません。
本サービスでは、クラウドサービスのインシデントケース (Github上に残存する重要情報の漏えい、AWSをはじめとした主要クラウドサービスの設定不備、サブドメインテイクオーバーなど)を想定した外部調査を実施することで、ご利用のクラウドサービスに不備がないか、ご確認いただくことが可能です。

ユービーセキュアの「Attack Surface調査サービス」でお客様の課題を解決します!

弊社コンサルタントがお客様を狙う「脅威アクター(攻撃者)」の視点で、
お客様のドメインに関連するインターネット上に存在するデジタル資産を洗い出し、機微情報や侵害データを収集します。
さらに、収集した情報から攻撃の足掛かりとなる「Attack Surface(攻撃可能な領域)」を調査し、対策案とともにご報告します。
お客様は自組織を取り巻く脅威の把握と早期対策が可能となります。

attack-surface-fig02

サービスの特⻑

OSINT(オープン・ソース・インテリジェンス)手法を用いて、インターネットからお客様に関連する公開情報を収集・整理・分析をすることで有益な情報(脅威インテリジェンス)へ変換し、"現在進⾏形の"脅威=サイバー攻撃リスクを可視化した調査結果をご提供します。組織における、より効率的かつ効果的なセキュリティリスク管理や対策の意思決定に活用できます。

attack-surface-fig03

※OSINT:⼀般に公開され利用可能な情報を情報源に、機密情報等を収集する手法
※脅威インテリジェンス:攻撃者の動機、標的、攻撃パターンを理解するために組織によって収集、分析されたデータのこと

背景

デジタル技術の進展、クラウドサービスやリモートワークの普及に伴い企業のITシステムやネットワークが多様化しています。例えば、パブリッククラウドはオンプレミスやプライベートクラウド環境と比較して、導入コストや運用リソースも低く、利便性や拡張性が高いため、多くの企業ではシステムや情報資産の中⼼をパブリッククラウドへ移行する動きが加速しています。

attack-surface-fig04

パブリッククラウドに移行することで、あらゆるシステムがネットワークに繋がり、これまで以上にサイバーセキュリティの確保が重要となります。それに伴い、外部の攻撃から守るべき内部と外部の接点が増えることで管理負荷が高まり、セキュリティ施策が追い付かなくなっている現状が考えられます。
また、クラウドサービスにおける設定値の適切な管理が求められる中で、サーバ資産管理が⼀元管理から各部門管理に変更されたという背景から、各部門で設定値がバラバラとなってしまっているケースがあります。
その結果、システム全体での統合されたセキュリティコントロールが漏れてしまい、既知の脆弱性が放置され情報漏えいにつながった事例もあります。

 

attack-surface-fig05

そのため、攻撃を受ける前に侵入の糸口となる「攻撃可能な領域(Attack Surface)」を把握し、対策を早期に講じることが重要になっています。

実施項⽬

主要パブリッククラウドサービスの探索、設定不備調査
主要なクラウドサービスからお客様に関連するクラウドアセットを探索、設定不備の有無を簡易的に調査します。

外部公開サーバにおける既知脆弱性やプロダクトのチェック(認証前)
外部公開サーバを探索し、侵入の糸口となりえるサーバの有無を調査します。

メールアドレス・資格情報の漏えい調査
リークサイトなどに漏えいしたメールアドレスや資格情報を収集します。

ドキュメントの
メタデータチェック
公開ドキュメントに機微情報が残っていないか調査します。

フィッシングサイト、
ドメイン調査
お客様になりすましたフィッシングサイトの有無やDNSの更新不備などによる乗っ取りの有無を調査します。

ダークウェブ調査
ハッカーフォーラムやリークサイトにお客様に関連した重大な情報が漏えいしていないか調査します。

類似コンテンツ(スマホアプリ、Webサービス)の調査
お客様が提供しているアプリやWebサービスに類似した不正なアプリやWebサービスが存在しないか調査します。

脅威アクター動向の
情報提供
調査結果から得られた情報をもとに、攻撃が想定される脅威アクターや、最近の脅威アクターの攻撃⼿法を提供します。

Attack Surface調査サービスの内容について詳しく知りたい方はお気軽にご相談ください。

無料で相談する

サービスの流れ

本サービス実施において、お客様側での事前準備は⼀切必要ありません。
実施前に、サービス提供および調査に関するヒアリングをさせていただきます。

Step1

ヒアリング

ヒアリング

・調査対象ドメインなど

Step2

収集

・生データの収集
・棚卸実施

Step3

分析

分析

・収集した情報の整理
・攻撃対象選定

Step4

レポート

・結果提示
・(顧客)対策実施

注意事項

  • 本サービスは、インターネット上に公開されている情報を整理・分析することで、サイバー攻撃リスクを可視化することを⽬的としているため、すべての脆弱性や潜在的な脅威を保証するものではありません
  • 通常アクセスで確認可能な範囲での情報収集となるため、脆弱性診断やペネトレーションテストで実施する疑似的な攻撃は実施いたしません
  • 取得したメールアドレスおよび資格情報についての有効性や漏えいしたすべてのアカウントとパスワードの突合チェック(アカウントリストの作成)は実施いたしません
  • 本サービスの基本構成ではTwitterやFacebookなどをはじめとするソーシャルネットワークサービス調査は対象外としております
  • 調査期間中に取得したすべての情報は、サポート期間終了後、速やかに破棄いたします

ご提供価格

【提供価格】
1 domainあたり2,500,000円(税込 2,750,000円)~
※複数ドメインの場合は個別お見積り

【調査期間】
調査開始から報告書ご提出まで約4週間程度
※複数ドメインの場合は個別調整

【成果】
・調査レポート1部
・別紙資料(以下、⼀例)
  - 発⾒できたドメイン情報⼀覧
  - 侵害データ⼀覧

【サポート】
内容︓報告書内容に関するお問い合わせ
期間︓報告書提⽰から60⽇間

【調査員のスキル】
GIAC認定資格保有者をはじめ、ペネトレーションテストに精通した弊社コンサルタントが調査します。

関連ソリューションサービス

・自社内に対する脅威シナリオベースで対策・運用の状況を把握したい
ペネトレーションテスト/TLPT
※本サービス実施後にTLPTを実施する場合、一部の工程が短縮可能なため、コストカットが可能です

・自社システムに該当する脆弱性に絞った情報を定期的に知りたい
⇒脆弱性情報提供サービス

・公開システムに対して脆弱性が存在するか確認したい
Webアプリケーション診断 / プラットフォーム診断 / ペネトレーションテスト など各種セキュリティ診断サービス

・自社管理の公開システムに対して効率的に脆弱性管理を行いたい
Tenable.ioクイックスタートサービス

・自社管理の外部公開Webサイトに対して棚卸を実施したい
⇒Webサイト探索棚卸サービス