ハッカーコミュニティは順調に物事を進めており、現在米国の重要な水道システムを攻撃中だ。だけど正直に言うと、攻撃のひとつは一部の操作設備のデフォルトの管理者パスワードによるものだった。 どうすればもっとうまくやれるのだろうか? こうした問題は今頃は解決されているはずなのに。
Slack、Google、Teamsなど、これらは新たな「パスワードが書かれた付箋」なのだろうか?もっとひどいものだと思う。少なくとも実際の付箋であれば、物理的に付箋と同じ部屋にいなければならない。とはいえ、それでもパスワードを保存するにしてはひどい方法だ。これらのチャット システムにはパスワードなどの機密情報が散乱しており、攻撃者はそれを知っているからだ。
なぜAPI(アプリケーション プログラミングインターフェイス)とWebアプリケーションを切り離そうとするのだろうか?以前にも述べたように、脆弱なAPI = 脆弱なソフトウェアだ。 それは全てソフトウェアであり、一般的に通信チャネルは同じであり、脆弱性も同じだ。 Akamaiの最近のレポートによると、昨年のWeb攻撃の3分の1はAPIを標的にしていたとのことだ。全てのソフトウェアにセキュリティが必要なのは明らかだ。ただ、それだけだ。皆さんはそれをどうやっているのだろうか?その方法について、ここで紹介している。