【Scan Security Report】インターネットサービスの落とし穴〜Webアプリケーション・セキュリティの必要性〜 | ScanNetSecurity
2024.05.06(月)

【Scan Security Report】インターネットサービスの落とし穴〜Webアプリケーション・セキュリティの必要性〜

 もはや企業の必須条件ともいえる情報セキュリティマネジメント。
 しかし、こと「Webアプリケーション・セキュリティ」に関しては着手が遅れ、現在その「落とし穴」が相次いで狙われている。
 今回は、ハードおよびソフトウェアの販売、保守、教育、コンサルティング

特集 特集
facebookLINE
 もはや企業の必須条件ともいえる情報セキュリティマネジメント。
 しかし、こと「Webアプリケーション・セキュリティ」に関しては着手が遅れ、現在その「落とし穴」が相次いで狙われている。
 今回は、ハードおよびソフトウェアの販売、保守、教育、コンサルティングを事業の柱とするテクマトリックス株式会社に現在のWebアプリケーション・セキュリティの動向と必要性、同社サービスについて話を伺い、レポートする。
───────────────────────────────────

>> 増加するWebアプリケーションのハッキング

 現在、セキュリティ意識は一様に高まり、各企業もファイアウォールや侵入検知機能導入などの投資に踏み切る風潮になった。しかし、同社でWebアプリケーション脆弱性監査ソフトウェア「AppScan」を担当する斉藤大 氏はこう語る。

「現在、ハッキングされうる脆弱性として注目されているクロスサイトスクリプティングの問題を考えてみてください。悪意の第三者は、従来の分散型DoS攻撃のような"力技"を用いるとは限りません。ポート番号80、つまり正規のルートから標的となるWebサイトにアクセスし、Webアプリケーションを悪用してHTMLに任意のスクリプトを埋め込むことのほうが、より脅威的な攻撃になることもあります。結果、個人情報や機密情報が悪用されれば、企業は顧客からの信頼を失い訴訟問題に発展しかねません。従来のようなネットワークレベルの不正アクセスはファイアウォールが威力を発揮しましたが、近年急激に増え続けているWebアプリケーションレベルへの攻撃、"Web Perversion(Webの悪用)"の前では、別の策を講じる必要があります。」

 Webアプリケーションはインターネット上いたる所で稼働している、悪意の第三者は脆弱性を持つサイトでそれを利用し、機密情報の閲覧、情報や価格の改ざん、セッションハイジャック等の不正行為を行うこととなる。さらに都合が悪いのは、そのような脆弱性を持つサイトが非常に多い点だ。

「米国でWebアプリケーションレベルのセキュリティサービスを展開するSanctum,Inc.の調査によると、300社のサイト中97%がなんらかの脆弱性を持っていることが判明しました。さらに米ICSAの調査では、監視された5,000のハッカーによる攻撃の3分の2はアプリケーションレベルのものであると判明しています。」


>> 手作業によるWebアプリケーション監査の限界

 危惧され、対処されるべきWebアプリケーションセキュリティだが、今まで問題視される機会はあまりなかった。マネジメント層やシステム担当者自身が、前述のような米国でのリサーチを対岸の火事とみなし、"ファイアウォールがある""データを暗号化している"ゆえに大丈夫、と誤認しているケースも多いという。さらに斉藤 氏は「Webアプリケーションの開発、監査の段階においても、現在の手法では把握できない問題が多い」と続けた。

「開発においては、受託から納期までの期間の短さから細部のセキュリティまで手が回らない、という状況もあります。ご存じのように納品後、問題が見つかればパッチをリリースするといった対処が主流ですが、発覚が多頻度となると当然パッチを当てるクライアント側の担当者の従来作業を圧迫します。サービスを提供する側としては、出荷前にセキュリティホールを含むアプリケーションのバグを無くしておきたいが、チェックをかける時間がない、ということです。」

 現在、脆弱性の監査はどのように行っているのだろうか?

「ハッカーの攻撃パターンをひとつひとつ考え、それぞれ入力してゆく手作業をとっていますが、綿密な監査を行おうとすれば高度な知識も必要ですし、知識があったとしても、攻撃パターンは無数にありますから、莫大な時間がかかる。作業を手動で行っているかぎり、時間とコスト両面から見ても根本的に無理といわざるを得ないでしょう。」

 同社のWebアプリケーション脆弱性監査ソフトウェア「AppScan」は、自動で攻撃パターンを組、試し、結果をアウトプットする。実際に5ページ程のHTML、総リンク数17個のサイトでAppScanを使用すると、瞬時に1200あまりの攻撃パターンを考え、実行に移した。これを逐一、人の手で行うことは甚だ現実味がない。

 次回は、パラメータの改ざん、hiddenタグの不正操作など実際のWeb悪用事例を交えつつ、対策を講じていただきたい。
(なお、次回は「N+I NETWORK Guide」8月号に掲載予定)

監修/協力 N+I NETWORK Guide編集部
企画/制作 Scan Security Wire編集部

※本記事は、ソフトバンクパブリッシング発行の雑誌「N+I NETWORK Guide」との共同企画であり、6月18日発売の「N+I NETWORK Guide」に掲載されたものです。

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP