【Scan Security Report-テクマトリックス】事例に見るWebアプリケーション・セキュリティ〜Webの悪用パターンと、脆弱性の発端〜

　ファイアウォールや侵入検知機能をものともせず、増加を続けるWebアプリケーションへのハッキング。にもかかわらず現在では、ベンダリリースの修正パッチを適用する等の受動的対処が大半を占め、本来は相当量の時間と知識を要するWebアプリケーション監査は、手作業で不十分なまま行われている状況である。今回は、Webの悪用をパターン別に記し、起因と影響を辿る。前号に続きテクマトリックス株式会社、斉藤大氏に話を聞いた。
───────────────────────────────────

>> ハッカーは開発者の挙動を予測

　Webアプリケーション・ハッキングが行われる際、悪意の第三者は開発者の心理を巧みに読みとって脆弱性を見つけだす。同社のWebアプリケーション脆弱性監査ソフトウェア「AppScan」担当、斉藤大氏は、脆弱性の発生要因についてこう語る。

「ひとつは、開発側の利便性がそのまま脆弱性に発展するケースです。バグの発見とフィックスに利用するために"デバッグオプション"をコードに放置していたり、"バックドア"を残しておいた場合、ハッカーがコマンドを予測して侵入し、開発者と同じ権限を持ってしまう可能性もあります。また、利便故頻繁に使われている"hiddenタグを不正に操作"されたり、セッション管理に利用されがちな"cookieを濫用"するなどして、Web表記が改ざんされてしまう可能性も否めません」

　信用失墜に繋がる企業Webの改ざん。さらに実質的な金銭的被害を受け、致命傷を負いかねないのが、電子商取引を行なう小売業者だ。

「URLフィールド内の"パラメータの改ざん"等により、価格を書き換えられたサイトもあります。問題は"発覚しにくい"こと。販売以降のフローをカード会社に委託している場合、売上監査の段階になるまで判明しないこともあるでしょう。サイトの回覧や流通上でのチェックなど、改ざん事実を発見する方法もありますが、攻撃される前の対処、つまり脆弱性の監査を効率よく自動で行うことが、一番効果的であると思います」

>> 発見しにくい、人為的なミス

　"バッファオーバーフロー"の脆弱性はじめ、市販製品のバグを利用するハッキングは後を絶たない。

「多くのサイトで使われている市販製品は、多くのハッカーにより脆弱性を探し出されている、そして一度発見されると同じコンポーネントを使うサイトも同様に、"既知の脆弱性"を攻撃される可能性があります」

　加えて、脆弱性を持たない市販製品であっても、インストールする際に"落とし穴"が生じる場合もあるという。

「"他社製品の設定ミス"、つまりユーザがWebアプリをインストールする際にデフォルトのパスワードや"sample"とあるディレクトリ名を変えずにそのまま使用していると、ハッカーは"あたり"をつけやすくなります。まさか、と思われるかもしれませんが、実際にこういった単純なミスが発端となっている場合が多いようです」

　"クロスサイトスクリプティング"の脆弱性も、プログラマの不注意に端を発している。この脆弱性を突かれた場合、Webサーバ側、ユーザ側の両面で、プログラムやスクリプトが正常に実行される上で悪意が介在するため、発見しにくいことが問題となっている。

「人の手による単純ミスをなくすことは不可能。いかにして単純ミスを見つけだして修正するか、です」
「AppScan」は、本文中に""で括ったパターンや"強制ブラウジング、"ステルスコマンド"など、それらを受ける脆弱性の有無を自動監査する。考えられる攻撃手法をハッカーの視点で全て自動で作り上げ、脆弱性を洗い出す同ツールは、既存のセキュアプロダクトと同列に位置付けられるようになるだろう。

テクマトリックス： http://www.techmatrix.co.jp/
AppScan： http://www.techmatrix.co.jp/sanctum/

│監修/協力 N+I NETWORK Guide編集部
│企画/制作 Scan Security Wire編集部