HASH コンサルティング徳丸浩氏に聞く Web アプリ脆弱性対策のこれから(2)

　HASHコンサルティングの徳丸浩氏は、前職の京セラコミュニケーションシステム（KCCS）では80名ほどの部下を抱える事業本部の副本部長まで務めながら、技術に携わり続ける道を選んで2008年4月に独立を果たした。そんな徳丸氏に、現在のWebアプリケーションが抱えるセキュリティ問題の解決方法と、独立についての話を編集部が聞いた。

─

■クロスサイトスクリプティングの脆弱性を甘く見ない方がいい

　ここ数年で、SQLインジェクションの脆弱性を狙った攻撃が急増しています。Webページにウイルスを埋め込まれたり、個人情報を奪取されたりと、目立った被害もいくつか見られます。しかし、今はSQLインジェクションに対する脆弱性を抱えたWebサイトはいくつもありますが、SQLインジェクションの対策自体はそれほど難しくないので、そのうち普及すると考えています。

　SQLインジェクション対策が普及した後に問題になるのは、クロスサイトスクリプティングだと考えています。

　2006年にYahoo!メールを狙った「Yamanner」と名付けられたウイルス事件がありました。このウイルスは、狙ったアカウントのメールフォルダからメールアドレスを収集して、あるサイトへHTTPで送信し、収集したアドレスの中にYahoo!メールのユーザーが入れば、更にYamannerを含むメールを送信して感染を広げるというものです。

　このウイルスの実体はJavaScriptで書かれていて、Yahoo!メールのクロスサイトスクリプティングの脆弱性を利用するものでした。

　このときはメールアドレスを収集するといった程度の被害で済みましたが、さらに大きな被害に発展する可能性は十分ありました。もし、こういったウイルスを使って、金銭に関係するようなものを盗んだりするなどの悪用方法が見つかったら大変なことになります。

■最近のクロスサイトスクリプティングの脆弱性を利用した攻撃

　最近注目されたものとしては、予告inという犯行予告の収集サイトにクロスサイトスクリプティングの脆弱性があり、アクセスしたユーザーが自動的に2chに犯行予告を書き込むという事件がありました。

　クロスサイトスクリプティングは、脆弱性の存在を外部から簡単に確認することができますが、その対策は十分に浸透していないと感じています。今後はクロスサイトスクリプティングの脆弱性を利用した自動攻撃などが次々に登場するでしょう。

■セキュリティの問題は品質問題なので解決可能

　私はセキュリティの問題は品質の問題だと考えています。つまり、セキュリティの問題は管理することができるということです。

　HASHコンサルティングの業務の1つとして、開発ガイドラインの策定があります。その会社の開発プロセスについてヒアリングを行い、セキュリティ以外の部分も含めた開発標準なども参考にすることで、顧客の現状の開発プロセスにどっぷりと浸かって、その会社の文化にあわせたセキュアWebアプリケーションの開発ガイドラインを策定することを目的としています。

　もう1つの業務として…

【執筆：株式会社トライコーダ上野宣 ( http://www.tricorder.jp/ )】

【関連記事】
HASH コンサルティング徳丸浩氏に聞く Web アプリ脆弱性対策のこれから(1)
https://www.netsecurity.ne.jp/3_12140.html

【関連リンク】
HASHコンサルティング株式会社
http://www.hash-c.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw