【Webアプリケーションのセキュリティ　５】〜 Webシステムの脆さ〜

　10月5日、6日、ネットワークの攻防に関するイベント、A.D.2002[1]が行われた。筆者はイベントの主催団体A.D.200xのメンバーとしてこのイベントに参画し、最先端のネットワーク攻防技術についての発表やデモを目の当たりにすることができた。A.D.2002の発表には、この「Webアプリケーションのセキュリティ」の連載内容と関わりが深い話題もいくつかあったので、その中からいくつかを要約して紹介したい。

　前回記事で、「Web改竄」は何もWebサーバへの侵入によってのみ行われるのではなく、ドメインジャックなどによっても「Web改竄」が可能であることをお話した。片山氏の「ソーシャルによるWeb改竄」という発表は、まさにこの脅威について述べたものであった。その発表内容は、ソーシャルハッキングによって騙されたJPNIC(JPRS)が、如何に安易にドメイン所有者を（悪意ある）人物に変更してしまうかを述べたものである。

　近々その発表資料はA.D.200Xのサーバで公表される予定であるが、その資料に記述されている「ソーシャルハッキング実験」後に変更された、現状のJPNIC(JPRS)のシステムにおいても、ソーシャルハッキング可能であると、片山氏はA.D.2002会場にて述べていた。この発表から「ドメイン」の維持システムが如何に脆いものかを思い知らされ、「Webシステム」の防御の難しさがまた新たに明らかになった。

　「セキュリティホールmemo」[2]の作者として知られる小島肇氏の発表[3]は、Webやftpによるコンテンツ配信の信頼性に関しての問題提起であった。その内容は、ソフトウェアや重要情報の配布に関して、ユーザが信頼できる情報送信手法がとられていない現状を説明したものである。

　その発表では、SSL、MD5 digital signature、あるいはPGP/GPG 署名などにって配布する情報の信頼性、真正性が証明されていた場合でさえも、その配布されている情報を信頼できない理由あることがまず説明されていた。さらに、多くのサイトでSSL、MD5 digital signature、PGP/GPG 署名がとられていない状況を明らかにされた。

　小島氏のこの警笛に対して「ソフトウェアの配布ごときに、そんな神経質になる必要はないだろう」と思う人もいたかも知れない。しかし、この発表が行われていたその時まさに、インターネット関連の最重要ソフトウェアともいうべきsendmailの公式配布サイト[4]おいて、配布されているソフトが密かに書き換えられてトロイの木馬が混入されていたのだ。そしてそのことに、誰も気づいていないままであり、そしてそれを信頼しきって多くの人々がダウンロードして利用していたのだ[5]。小島氏の警報は、大げさでも誇張でもなく、真実だったのである。

　小島氏の発表に対して筆者が質問して確認したことであるが、SSLを使っていても安心できないその理由の一つに、ブラウザの信頼性の問題がある。ブラウザには、いくつかのPKIベンダの公開鍵が最初から含まれている。この鍵を信頼してSSL通信を行い、サーバの真正性を確認するわけであるが、ブラウザ入手の段階からユーザが騙されていて、本物ではない鍵を保有するブラウザを利用している場合などには、「SSL通信」だからといって信頼性はないことになる。

office
office@ukky.net
http://www.office.ac/

[1] http://www.ad200x.org
[2] http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
[3] http://www.st.ryukoku.ac.jp/%7Ekjm/security/20021005-ad2002/real-info.pdf
[4] http://www.sendmail.org/
[5] http://www.cert.org/advisories/CA-2002-28.html

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml