Internet Week 2013 セキュリティセッション紹介第8回「再考・安全なWebアプリの作り方~最近の動向をふまえて~」 | ScanNetSecurity
2024.03.28(木)

Internet Week 2013 セキュリティセッション紹介第8回「再考・安全なWebアプリの作り方~最近の動向をふまえて~」

8回目となる今回は、2日目の11月27日午後に行われるプログラム「再考・安全なWebアプリの作り方‐最近の動向をふまえて-」である。インターネットセキュリティ専門家の佐藤友治氏と、講師を務めるHASHコンサルティング株式会社の徳丸浩氏に語っていただいた。

研修・セミナー・カンファレンス セミナー・イベント
「昨年から、標的となるユーザーがよくアクセスするWebサイトを改竄して待ち受ける水飲み場攻撃も登場しています」HASHコンサルティング株式会社 徳丸 浩 氏
「昨年から、標的となるユーザーがよくアクセスするWebサイトを改竄して待ち受ける水飲み場攻撃も登場しています」HASHコンサルティング株式会社 徳丸 浩 氏 全 2 枚 拡大写真
11月26日から11月29日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2013 ~荒ぶるインターネットを乗りこなす~」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、インターネットに関わる主にエンジニアを対象に、最新動向セッションとチュートリアルを織り交ぜ、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。

今回のテーマは「荒ぶるインターネットを乗りこなす」。「荒ぶる」とは何やら穏やかではないが、インターネットが、今までに増して利用され、パワフルとなる一方で、「セキュリティ」についてもかつてないほどに叫ばれるようになっている。こうした荒ぶるインターネットを乗りこなすことで、さらなる進化を許容し、価値の高いインターネットを実現していこうと、このテーマとしたということだ。

本連載では、このInternet Week 2013のセッションのうち、情報セキュリティに関する10セッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

8回目となる今回は、2日目の11月27日午後に行われるプログラム「再考・安全なWebアプリの作り方‐最近の動向をふまえて-」である。インターネットセキュリティ専門家の佐藤友治氏と、講師を務めるHASHコンサルティング株式会社の徳丸浩氏に語っていただいた。

――「Webサイトの安全性」というこのテーマが、ここまで注目を集めている背景にはどのようなことがあるのでしょうか?

徳丸:2013年の第2四半期中には、Webサイトを改竄される事件が多発し、IPAやJPCERTCCをはじめ、複数のセキュリティ機関から注意が呼びかけられました。IPAが発表した「2013年6月の呼びかけ」によると、Webサイト改ざんの原因は「脆弱性悪用」の割合が高く、その中でもCMS (サイトを簡易に構築・管理するためのソフトウェアの総称:Contents ManagementSystem)の脆弱性が悪用される事例が示されています。

また、とあるセキュリティ対策サービス会社の報告でも、ドライブ・バイ・ダウンロード攻撃と呼ばれる攻撃の総数が、2012年下半期の956件から、2013年上半期には4.2倍となる3,972件に達して急増したそうです。

今年前半に掛けて、Facebook、Twitter、Dropbox、Apple、Microsoft、Evernoteなど、そして米国の著名な企業のサイトへの侵入に使われたと思われる「水飲み場攻撃」もありました。

――現在、行われているこうしたWebサイトの攻撃の手口には、どのようなものがあるのでしょうか?

徳丸:現在活発に悪用されている手口は、SQLインジェクションやApacheStruts2の脆弱性、予め入手しておいたパスワードを試して不正なログインを試行するパスワードリスト攻撃が目立ちます。また昨年からは、標的となるユーザーがよくアクセスするWebサイトを改竄して待ち受ける水飲み場攻撃も登場しています。中には無差別ではなく、IPアドレスなどで判断した特定のユーザーだけを狙い撃ちにするという巧妙な攻撃もありました。

ちなみに、先ほど述べたドライブ・バイ・ダウンロード攻撃は、改竄されたWebサイトを閲覧させることでマルウェアに感染させる攻撃手法です。ユーザーが改竄されたWebサイトを閲覧すると、自動的に攻撃用サーバに接続され、クライアントPCの脆弱性を悪用して、マルウェアに感染させられます。

さまざまな攻撃手法があるように見えますが、Webサイトに対する侵入には基本的には二つの入口しかありません。不正なログインを可能にしてしまうログインの箇所と、サーバーやクライアントにおけるプログラムの脆弱性です。これらを利用する攻撃のバリエーションがさまざまであり、時代とともに変わってきています。

――どのように変わってきているのでしょうか?

徳丸:2004年までの攻撃は、telnet、ssh、ftp等の管理用のネットワークツールにおける認証や、ApacheやSendmailといった基本的なサーバープログラム脆弱性が悪用されていたと考えられます。しかし、2005年以降はSQLインジェクションの悪用が目立ちます。これは、それまでの侵入経路における対策が進んだことと「SQL注入工具」と呼ばれるSQLインジェクション攻撃ツールが進化し、使いやすく、入手しやすくなったためと考えられます。

SQLインジェクションは2008年頃にピークを迎えますが、その後減少していきます。その理由は、SQLインジェクション脆弱性の対策が進んだからと考えられます。SQLインジェクションは対策の「ラストアンサー」が分かっており、比較的対処しやすい脆弱性になりました。

2009年になり、ガンブラー(Gumblar)と呼ばれる手口が猛威をふるいます。これは、マルウェアによりFTPのパスワードを盗むものです。SQLインジェクションでは、攻撃者の期待ほどには「成果」が上がらなくなったために、別の手法が考案、実施されたものと考えられます。また、この頃からパスワードリスト攻撃がネットゲームを中心に現れ始めます。これも、SQLインジェクション攻撃による成果を使い果たした攻撃者が、そこで得たパスワード情報を、SQLインジェクションには脆弱でないサイトに適用してみたところ、予想外に高い成果を得たからだと考えられます。そのためか、ネットゲーム以外のサイトでも多発しています。

この流れに見られるように、攻撃者は、少ない手間で大きな成果を得られるものを求めて攻撃手法を変化させていますが、根本原理が変わっているわけではありません。あくまでも侵入経路は、ユーザー認証を行う箇所、いわゆる認証窓口か、プログラムの脆弱性です。

――なるほど。今後も攻撃手法は変化していくと予想できそうですね。

徳丸:はい。歴史的な流れを見ると、次に攻撃される標的が見えてきます。従来、利用者のブラウザに対する受動的攻撃、すなわちXSSやCSRFの攻撃例はあまり見られませんでした。その理由は、攻撃に手間が掛かる割に、得られる成果が少ないからであると考えられます。しかし、「その他の手口」が対策されていくにつれて、「残る大物」がこれら受動的攻撃であることも事実です。特に、JavaScriptの不備によるXSSは、きちんとした技術資料が少ない段階で、急速に普及が進んだため、「脆弱性の宝庫」と言って差し支えない状況です。

このため、現在は攻撃が少ないとしても、近い将来、攻撃対象となる確率が高いと言えます。しかも、XSSの一種である「DOM Based XSS」は、従来の防御製品であるWAFや、ブラウザのXSSフィルタによる防御の効果が低いという問題があります。HTML5になると、DOM Based XSSその他の脅威はさらに増大します。対策としては、アプリケーション自体を安全に書くしかありませんが、対象箇所が膨大になるため、いざ攻撃が起き始めてから対策するのでは間に合いません。

という背景から「まだ攻撃が始まっていない今こそHTML5のセキュリティ対策をしておこう」と主張しています。

――このセッション「再考・安全なWebアプリの作り方~最近の動向をふまえて~」はどのようなセッションになるでしょうか?

徳丸:本セッションでは、HTML5の技術を悪用した現実的な「悪いこと」をデモを交えて紹介し、その攻撃を防ぐ安全で現実的な書き方を紹介します。その前提となるHTML5の防御機能についても基礎から説明します。

HTML5やJavaScriptの仕様を正しく理解することはもちろんですが、仕様に沿っているから、安全なアプリケーションがかけるわけではないことは理解してもらいたいと思っています。

またWebサイトの侵入の手法として挙げられるのは、

(1)Webサイトの利用者
フィッシングやパスワードリスト攻撃といったWebサイトの利用者側を利用する手法

(2)Webサーバーやコンテンツにおける脆弱性
SQLインジェクションやミドルウェア、Webアプリケーションフレームワークなどにある脆弱性をつく手法

(3)管理用インターフェース
Webサーバーの管理のために使われているsshなどを利用する手法

(4)利用者が使用するWebブラウザ
XSS、CSRFなどの受動的脆弱性をつく手法

(5)Webサイト管理者
Webサーバーやコンテンツを管理している人に対する攻撃で、ソーシャルエンジニアリングでパスワードを聞き出すといった手法

(6)Webサイト管理者が用いる端末
標的型攻撃や水飲み場攻撃を通じて、Webサイトの管理用の端末をマルウェアに感染させ、そこから侵入する手法

ですが、これらのうち、(1)(2)(3)の概要を説明し、そして(4)を解説します。(1)(2)は活発に悪用されている手法です。

――特にどのような方に、聴きにきていただきたいですか

徳丸:HTML5を活用したアプリケーション、特にJavaScriptを書いている方で、セキュリティに危機感を持っている方や、そういう方を指導する方に聴いていただきたいです。

HTML5の基礎的な話はしますが、技術的な難易度は比較的高いです。また、JavaScriptについても一通りの知識があった方が理解しやすいかもしれません。たくさんの方のご来場をお待ちしております。

●プログラム詳細

「T8 再考・安全なWebアプリの作り方‐最近の動向をふまえて-」

- 開催日時2013年11月27日(水) 13:00~15:30
- 会場富士ソフト アキバプラザ
- 料金事前料金 5,000円/当日料金 7,000円
- https://internetweek.jp/program/t8/

13:00~15:30
1)再考・安全なWebアプリの作り方 ‐最近の動向をふまえて徳丸 浩(HASHコンサルティング株式会社)

Webサイトへの侵入経路のおさらい
パスワードの守り方・古典的な脆弱性のおさらい
クリックジャッキング
HTML5セキュリティ入門
DOM Based XSS
JSON Hijack
AjaxによるCSRF
postMessageによる情報漏えい
まとめ


※特典このセッションに申し込まれた方には、「Scan Tech Report (年間
購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジン
Scan(年間購読定価10,080円)」の無料プレゼントがあります。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があり
ます。

Internet Week 2013
https://internetweek.jp/

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る