説明
このシステムで最も脆弱性になりやすいのは、ハードコードされた認証情報です。ハードコードされた認証情報とは、ユーザー名、パスワード、その他の機密情報をシステムやアプリケーションのソース コードまたは構成ファイルに埋め込んだり保存したりする方法です。ハードコードされた認証情報は、攻撃者によって認証情報が発見されたり漏洩されたりすると、システムやアプリケーションが不正アクセス、データ盗難、または侵害にさらされる可能性があるため、重大なセキュリティ リスクをもたらす可能性があります。また、ハードコードされた認証情報では、コードやファイルを変更してシステムやアプリケーションを再展開する必要があるため、必要に応じて認証情報を変更または更新することが困難になることもあります。

侵害の兆候 (IoC) は、システムまたはネットワークが攻撃者またはマルウェアによって侵害されたことを示すデータまたは証拠です。IoC には、IP アドレス、ドメイン名、URL、ファイル ハッシュ、レジストリ キー、ネットワーク トラフィック パターン、ユーザーの動作、またはシステム異常が含まれます。IoC は、セキュリティ インシデントの検出、分析、対応のほか、他の組織や当局との脅威インテリジェンスの共有に使用できます。IoC は、脅威のソース、性質、範囲、影響、および緩和策に関する情報を提供できるため、組織に対する潜在的な脅威に関する経営幹部への説明に必要なデータを生成できます。

自動化は、人間の介入なしにタスクやプロセスを実行するためのテクノロジの使用を反映しているため、この例を説明するのに最適な概念です。自動化は、アイデンティティとアクセス管理 (IAM) などのさまざまな操作の効率、精度、一貫性、およびスケーラビリティを向上させるのに役立ちます。IAM は、組織がさまざまなシステムやアプリケーションにわたってユーザーとデバイスのアイデンティティとアクセス権を管理できるようにするセキュリティ フレームワークです。IAM は、承認されたユーザーとデバイスのみが適切なタイミングで適切な目的で適切なリソースにアクセスできるようにするのに役立ちます。IAM には、認証、承認、プロビジョニング、プロビジョニング解除、監査、レポートなど、さまざまなタスクやプロセスが含まれます。
自動化は、特定のトリガーまたは条件に基づいて定義済みのアクションまたはワークフローを実行できるソフトウェア ツールまたはスクリプトを使用することで、これらのタスクまたはプロセスを簡素化および合理化するのに役立ちます。たとえば、自動化は、各アカウントを個別に手動で入力または変更するのではなく、ファイルまたはデータベースに基づいてユーザー アカウントを一括で作成、更新、または削除するのに役立ちます。質問の例は、ファイルから ID 管理システムに一括アクセス要求を挿入するために API が使用されていることを示しています。API (アプリケーション プログラミング インターフェイス) は、さまざまなソフトウェア コンポーネントまたはシステムが相互に通信してデータを交換する方法を定義する一連のルールまたは仕様です。API は、ソフトウェア コンポーネントまたはシステムのデータまたは機能にアクセスして操作するための標準化された一貫した方法を提供することで、自動化を可能にします。質問の例は、各要求を 1 つずつ手動で入力するのではなく、ファイルから ID 管理システムに一括アクセス要求を挿入するプロセスを自動化するために API が使用されていることを示しています。他のオプションは、異なる概念または手法を説明しているため、正しくありません。コマンド アンド コントロールとは、マルウェアやバックドアなどを使用して、攻撃者が侵害されたシステムまたはデバイスをリモートで制御する能力を指す用語です。コマンド アンド コントロールは、例で説明されている内容とは関係ありません。
データ エンリッチメントとは、顧客プロファイルに人口統計属性や行動属性を追加するなど、外部ソースからの追加情報を使用して既存のデータを強化または拡張するプロセスを指す用語です。
データ強化は、例で説明されている内容とは関係ありません。シングル サインオンとは、異なる Web サイトやサービスに単一のユーザー名とパスワードを使用するなど、ユーザーが 1 セットの資格情報を使用して複数のシステムやアプリケーションにアクセスできるようにする認証方法を指す用語です。シングル サインオンは、例で説明されている内容とは関係ありません。

スクリプトでは、コマンドレット、パラメーター、変数、コメントなどの PowerShell 構文を使用します。PowerShell は、タスクを自動化し、システムを管理するために使用できるスクリプト言語です。

このスニペットで示される攻撃を軽減するには、ユーザー作成を管理者のみに制限するのが最も効果的です。このスニペットは、ThemeREX Addons WordPress プラグインのゼロデイ脆弱性を悪用しようとする試みを示しています。この脆弱性により、REST-API エンドポイント /wp-json/trx_addons/V2/get/sc_layout を介して任意の PHP 関数を呼び出すことで、リモート コード実行が可能になります。この場合、攻撃者は wp_insert_user 関数を使用して、WordPress サイトに新しい管理者アカウントを作成しようとします12。ユーザー作成を管理者のみに制限すると、攻撃者は新しいユーザーを作成するために有効な管理者の資格情報を提供する必要があるため、攻撃者の成功を防ぐことができます。これは、ユーザー登録を管理者のみに制限するプラグインまたはコード スニペットを使用することで実現できます34。レイアウト作成を管理者のみに制限したり、ディレクトリ trx_addons を全ユーザーに対して読み取り専用に設定したり、ディレクトリ v2 を全ユーザーに対して読み取り専用に設定したりすることは、REST-API エンドポイントでの入力検証とサニタイズの欠如という脆弱性の核心に対処していないため、攻撃を軽減するための効果的な制御ではありません。さらに、ディレクトリを読み取り専用に設定すると、プラグインまたは WordPress サイト56 の機能に影響する可能性があります。参考資料: ThemeREX アドオンのゼロデイ脆弱性が修正されました - Wordfence、検出、防止によるゼロデイ攻撃の緩和 - Spiceworks、WordPress ユーザー登録を特定のメール アドレスに制限する方法...、WordPress ユーザー登録を特定のドメインに制限する方法、WordPress ファイル権限: ウェブサイトのセキュリティ保護ガイド、WordPress ファイル権限: 理想的な設定とは?