Black Hat Japan 2006 Briefings、スピーカー紹介〜Alex Stamos(アレックス・スタモス)、Zane Lackey(ゼーン・ラッキー)〜

来月5日、6日に開催されるコンピュータ・セキュリティ・カンファレンス「Black Hat Japan 2006」では、Web2.0のセキュリティが重要なテーマの一つになっている。このテーマには特に、初日10月5日の3つのセッションが当てられている。Web2.0のセキュリティは、実際は、Ajax脆弱性、JavaScript脆弱性、クロス・サイト・スクリプティング（XSS）、ブラウザー脆弱性、データベースとSQLの扱いなど複数の問題が複合しているためだ。

ここでは、Black Hat Japan 2006で来日するWeb2.0セキュリティについて講演するスピーカーのうち、「AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性」というタイトルで話す予定のAlex Stamos(アレックス・スタモス)氏とZane Lackey(ゼーン・ラッキー)氏のチームを紹介しよう。Scan編集部では独自ルートにより、先月のBlack Hat USAでStamos氏と Lackey氏をキャッチ、インタビューすることができた。

Stamos氏とLackey氏は、ともにサンフランシスコにあるiSEC Partnersのアプリケーション・セキュリティを専門とするコンサルタントである。彼らがAjaxのセキュリティに興味を持ち、研究を始めたのは1年前のBlack Hat USAからで、それ以降に多数の企業がAjaxの使用を始めたため、仕事の量は増え続けているそうである。

─ Ajaxのセキュリティ問題とは?

Stamos + Lackey：
Ajaxセキュリティと言っても、実際には色々な問題が複合して起きる。WindowsLive.comやBlogLines.comなどを見ると、様々なウェブから情報を集めて来て一カ所のサイトに固めるわけで、このようなサイトをセキュアにするのは難しい。コンテンツはマッシュアップされるため、色々なサイトのコードも混じり合うが、それぞれのコードが互いに信頼しあうことを前提にしている。これは非常に興味深いセキュリティの問題を提示する。

─ 一般ユーザーからはサイトのバックエンド構造は見えないわけだが。

Stamos + Lackey：
そのとおり。ブラウザの上でファイアウォールを立てたりウィルススキャンしたりできないから、ユーザーはサイト運営者を信じるしかなく、問題があっても「サイトをセキュアに直せ」とメールを送るくらいしかできない。

─ Javaならばサンドボックスがあるが、JavaScriptにはサンドボックスがないことが問題か?

Stamos + Lackey：
OSから見ればJavaScriptはブラウザというサンドボックスの上で動くわけだ。このためJavaScriptがハードディスクを消去したりすることは起きない。しかし問題は最近はユーザーにとって重要な情報が、すでにウェブ上に置かれているということだ。例えば、メールを全部Gmailに保存していたり、Microsoft Moneyを使うなら銀行口座情報をウェブに置いていることになる。ということは、例えばMySpaceで使ったJavaScriptがあなたになりすまし、もしそれらのサイトにアクセスできるとしたら様々な危険なことが起きるわけだ。これを行うものをクロス・サイト・リクエスト捏造（Cross Site Request Forgery: XSRF)という。この場合は、ユーザーマシンのハードディスクが、JavaScriptによってフォーマットされるかどうかは主な問題ではなくなるわけだ。

─ あるいは、そのJavaScriptがもっと悪意のあるサイトへ誘導することもありうるということになる?

Stamos + Lackey：
そうだ。例えばMySpaceではお金は動かないが、その上であなたがに銀行サイトにいるように演技するJavaScriptが動き、MySpaceと銀行サイトのXSSを通してつないでしまうようなことが起きうるかもしれない。しかし本質的に問題なのは、何年もセキュリティについて考慮されてきたことよりも、アプリケーションのメカニズムが複雑になり過ぎていることだ。

─ いくつくらいの問題を発見したか?

Stamos + Lackey：
今までのクライアントの依頼で調査したサイトでは、少なくともどれにでも1つか2つは問題があった。言い換えれば、何らかの問題がほとんど100%の確率であったことになる。AjaxばかりでなくXSSの問題も含めてだが。

─ アプリケーション監査は一般化してきて、開発段階でのセキュリティ対策はウェブ開発者の間では理解されているのではないか?

Stamos + Lackey：
セキュリティは開発者から始まる。しかしAjaxが流行し始めてきてから、開発者がそれ自体をよく理解しないまま使用してしまうことが増えている。特に、サイトをAjaxぽく見せるAjaxフレームワークから、誰がどのように書いたか理解しないままコードを取ってきて、貼付けるような開発が行われている。それではセキュアなサイトは魔法のようには作れない。

─ 近い将来に起きうる攻撃はどのようなものだと思うか?

Stamos + Lackey：
やはりXSRFに関するものが大幅に増加するだろう。XML-HTMLリクエストを緩くするどのようなウェブ構築も、バックエンドのセキュリティを緩くしてしまい、ターゲットが軒を並べる状態にしてしまう。セキュリティ・コミュニティが押し返しているにもかかわらず、ウェブ開発コミュニティはブラウザー上の機能を使うことをユーザーに押し付けている。

─ Ajaxサイトを安全にする基本とは?

Stamos + Lackey：
まずは、インプット・フィルタリングを施して、入ってくるパケットをフィルターすること。以前から銀行サイトなどで行っていたように、改竄が難しいビジネスロジックを構築すること。なぜならAjaxであっても、例えば、銀行のサイトだと思って送金処理をしようとすると隠されたページが出てきて口座番号の入力などを求めるような、伝統的な攻撃も起きるからだ。そしてトラフィックを見張って、XSRFに脆弱でないかどうか検査することが必要だ。また、リクエストをセッションと関連づけすることが必要で、そのためにはリクエストをcookieに要求することに頼らず、何らかの暗号化を使って、メールを読んだり送金などの機能を保護することが必要だ。そうでなければ、セッション偽装を止めることはできない。

Stamos氏とLackey氏の話の続きは，Black Hat Japanでの詳細なプレゼンテーションに期待したい。「Black Hat Japan 2006 Briefings」は10月5、6日に東京・新宿の京王プラザホテルで開催される。9月15日までは早期割引73,500円で受け付けている。なおインターネット協会会員割引や、3名以上のグループ参加での割引も用意されている。また、ブリーフィングの前日2日間実施する「Black Hat Japan Training 2006」についても、早期割引29万8000円で受け付けている。

Black Hat Japan 2006 Briefings
http://shop.ns-research.jp/3/9/7481.html
Black Hat Japan Training 2006
http://shop.ns-research.jp/3/9/7503.html