OSS×クラウド最新TOPICS 2016年4月19日 10:03
パナマ文書の流出から、企業のIT部門が学ぶべき教訓に焦点を当て考察している。
【「Mossack Fonseca」法律事務所のITシステム】
■WordPress 4.1(2014年12月18日リリース)
・公式ブログは「WordPress 4.1」を使用していたとみられる
・このバージョンは緊急度の高い脆弱性を数多く抱えていた
■Drupal 7.23(2013年8月8日リリース)
・クライアント用ポータルを「Drupal 7.23」で運用していた
・Apache 2.2.15(2010年3月6日リリース)上で稼働
・さらに、このApacheはOracle版
・既定でディレクトリ構造を閲覧できる状態
・すべてのユーザーがファイルのソースをプレーンテキストとして表示できる状態
・そのファイルが格納されているディレクトリも閲覧できる状態
【パナマ文書の正体とは?】
・「Mossack Fonseca」が運用していた旧バージョンのDrupal自体が、同プロジェクト史上最悪の脆弱性を抱えていた
・匿名ユーザーによる権限昇格、任意のPHPコード実行が可能
・Unicorn Riotは、『脆弱性を悪用した攻撃者に不正アクセスされた「ポートフォリオ」モジュールのデータこそが、パナマ文書の正体ではないか』と推測している
(出所:http://japan.zdnet.com/article/35081262/)
「Regula」とは Regulaは、AWS環境において、展開前に「セキュリティ構成ミス」や「コンプライアンス違反の可能性」について、インフラストラクチャ定義ツール「Terraform」を使用して評価できるツール。 CI/CDパイプラインに統合することで、セキュリティおよびコンプライアンスの慣行に違反する可能性のあ...
OSS×Cloud ACCESS RANKING