Alex Drugobitski
/
Senior Sales Engineer
2.12.26

2つの設定ミスがトータルバックエンドアクセスに: 保険会社のエクスポージャ事例

2つのセキュリティギャップを見過ごしたことによって、たった1回のアラートも発出せずに数百万件の顧客記録、財務データ、内部の通信記録が流出してしまうとしたら?

あるグローバルな保険会社にとってこれは仮定の話ではありませんでした。

「十分なセキュリティ」のはずが、まったくセキュアな状態ではなかった

あるグローバルな大手保険会社では800万件以上の顧客記録、医療データ、財務情報、保険証券の詳細を扱っていました。同社のサイバーセキュリティ部門はファイアウォール、暗号化、コンプライアンスチェックボックスなどの基本的な作業を行っていました。すべてがセキュアな状態に見えました。

しかし外部のルーチンアセスメントでULTRA REDは気になる点を発見しました。一見するとマイナーな設定ミスがありましたが、それらを組み合わせると同社にとって最も機密性の高いバックエンドシステムに即座にアクセスできる状態だったのです。

Silent Breach(静かな侵害)の詳細分析

きっかけは驚くほどシンプルな脆弱性でした。ハードコーディングされたAWS Cognitoクレデンシャル(クライアントIDとシークレット)が公開されているJavaScriptファイルに残っていたのです。基本的な技術的知識があれば誰でも抽出できる状態でした。

2つ目の問題は内部に関わるものでした。バックエンドAPIはユーザーの役割、権限、リクエストの正当性を確認せずに、提示されたあらゆるOAuthトークンを信頼しました。

この2つの問題を組み合わせることで大規模な攻撃が発生しました。そのために高度なハッキングツールや何か月もの偵察は不要でした。以下だけでよかったのです。

  1. 開示されているクレデンシャルをJavaScriptファイルから抽出する
  2. 抽出したクレデンシャルを使って有効なOAuthトークンを生成する
  3. 生成したトークンを提示して内部APIにアクセスする

マルチファクター認証に阻まれることもなく、たったこれだけの手間で攻撃者は侵入することができました。

どのようなリスクがあったのか?

付与されたアクセス権は巨大なものでした。たった2つの設定ミスだけで攻撃者は以下が可能になったのです。

●   メッセージの内容や顧客とのやり取りを読む

●   チャットログと過去の会話内容にアクセスする

●   機密性の高い顧客/社員データを表示する

●   個人を特定可能な情報や保険証券の詳細を抽出する

●   保険請求フローを混乱させる

●   内部システムやサポートポータルの偽装

GDPRやHIPAAに順守している保険会社にとって、このレベルのエクスポージャは企業の存続自体を脅かすものでした。

従来のセキュリティ対策では防げなかった理由

今回のケースが特に深刻なのは従来の脆弱性スキャナーではこの問題が完全に見過ごされた可能性があるという点です。脆弱性だけ見ると壊滅的ではないからです。ハードコーディングされたクレデンシャルはよくあるので、優先順位が低く設定されていることも多いのです。弱い承認チェックの場合はコンテキストを考慮せずにCritical(重大)として判断しない可能性もあります。

しかしこれらを組み合わせることで、完全なバックエンドアクセスが可能になったのです。

これが最新の攻撃サーフェスの現実です。他の多くの業界と同様に、保険業界でもデジタルトランスフォーメーションが急速に進んでいます。企業は子会社や仲介業者の断片化されたネットワーク、サードパーティ統合、レガシーシステム、新たなクラウドアプリケーションの管理に同時に取り組んでいます。それぞれ個別ではセキュリティが確保されているように見えても、相互に接続することで目に見えない道筋が生まれ、壊滅的な効率を誇る攻撃者にエクスプロイトされてしまいます。

検出から検証まで:新たなパラダイム

今回得られた教訓は保険業界だけでなく、どの業界にも共通のものです。エクスポージャ管理に対する企業や組織の基本的な考え方を改めるべき時が来ました。

従来のセキュリティツールは「どのような脆弱性があるのか」という問いに答えてくれます。

しかし本当に重要なのは「実際に武器化できるのはどのエクスポージなのか」という問いなのです。

サーフェスレベルのスキャニングでは膨大な数の理論的なリスクがリストアップされます。検証を最優先したCTEM(ContinuousThreat Exposure Management)では実際に機能する攻撃チェーンを立証します。攻撃者の視点でクレデンシャル抽出、トークン生成、APIアクセス、データエクスポージャの方法を正確に示す証拠を提示することができるのです。

これによって理論的なリスクアセスメントからアクションに結び付くインテリジェンスへのセキュリティトランスフォーメーションが実現します。その結果、担当チーム内による修復作業がスムーズになり、幹部へのリソース要請も正当化できます。

詳細な技術情報の入手

詳しい技術情報、具体的な修復手順による自社の保護方法、現代のエンタープライズに検証を最優先したCTEM(Continuous Threat ExposureManagement)が不可欠な理由を紹介したケーススタディ全文をダウンロードしてください。

Insurance Exposure Study(保険会社のエクスポージャ事例)のダウンロード。

 

request a demo
view plans

Platform

Platform OverviewDiscoveryVectorsVITA AITechnology

Use cases

Energy
Automotive
IT & Technology
Telecommunications
Government
Finance & Banking

Company

aboutnewsイベントAchievementscareers

Library

ResourcesSuccess Storiesblog

Partners

Become a partnerpartners portal
LinkedInX/Twitter
Privacy Policy
お問い合わせ
プラン

プラットホーム

製品DiscoveryVectorsVITA AIテクノロジー

ユースケース

ITとテクノロジー
通信
行政機関
金融とバンキング
自動車
エネルギー

企業情報

UltraRedについてニュースイベント実績採用情報

ライブラリ

リソース導入事例ブログ

パートナー

パートナーになるパートナー
LinkedInX/Twitter
プライバシーポリシー