増加する脅威! 待ってはくれないウェブサイトへの...
TRANSCRIPT
増加する脅威!待ってはくれないウェブサイトへの攻撃~ 安全なウェブサイト構築のために ~
2017年 5月 10~12日独立行政法人情報処理推進機構 (IPA)
技術本部 セキュリティセンター脆弱性分析エンジニア 熊谷 悠平
Copyright © 2017 独立行政法人情報処理推進機構
2017年の大きな事件(1)~ウェブページ改ざんの被害~
• 世界中のウェブページに改ざんの被害
– 2月時点で6万件以上
– 4月には150万件とも
– 2月1日に報告され、2月4日には国内で被害が発生
• WordPressに脆弱性
– きわめて攻撃が容易
– 被害が拡大する前に修正済みの脆弱性
改ざんされたページに掲載された画像
2
Copyright © 2017 独立行政法人情報処理推進機構
2017年の大きな事件(2)~ウェブサイトからの情報漏洩~
• 情報漏洩の被害報告
– 3月6日に脆弱性の報告
– 3月7日から国内で攻撃が急増
– 3月10日には被害が発覚
• Apache Struts2に脆弱性の報告
– ウェブアプリケーションで広く使用されている
– 企業や政府機関等で使用され影響範囲が広い
3
Copyright © 2017 独立行政法人情報処理推進機構
2016~2017年のウェブサイトにまつわる報道事例時期 報道
2016/6 JAバンク岩手のサイトが改ざん - 閲覧でマルウェア感染のおそれ(Security NEXT)
2016/7 都動物園サイト改ざん被害 メアド2万件流出 (日経新聞)
2016/7 個人情報11万件流出か エフエム愛知のメール会員 不正アクセスで(産経新聞)
2016/8 高松空港HP改竄され閉鎖 不正アクセスか(産経新聞)
2016/12 資生堂子会社、カード情報5万6000件流出(産経新聞)
2017/1 全国18大学、サイト改ざん被害 12月から1月に集中(朝日新聞)
2017/2 WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害(ITmedia)
2017/3 GMO-PG、Struts2脆弱性によるクレジットカード情報流出が確定(日経コンピュータ)
ウェブサイトは24時間365日、常に脅威に晒されている!
4
Copyright © 2017 独立行政法人情報処理推進機構
IPAへのウェブサイトの脆弱性届出件数
5
56%
15%
11%
3%2%
2%11% クロスサイト・スクリプティング
DNS情報の設定不備
SQLインジェクション
ディレクトリ・トラバーサル
ファイルの誤った公開
HTTPSの不適切な利用
その他
2017年3月末時点の9,304の内訳
• 届出の過半数はクロスサイト・スクリプティング
• 影響の大きいSQLインジェクションが全体の一割も!
• 2004年7月からウェブサイトの脆弱性情報の受付を開始• 2017年3月までに累計で9504件の届出、1年間で341件
→ 約毎日1件ペースの届出
未だ多くのウェブサイトが潜在的に脆弱性を抱えている可能性
Copyright © 2017 独立行政法人情報処理推進機構
脆弱性の原因ケース1
ウェブアプリケーションに脆弱性がある
• 独自開発のウェブアプリケーションに脆弱性が存在
• 脆弱性対策を考慮しない開発例:脆弱性の検査を行っていない、等
開発元に修正を依頼する必要があり、修正に時間がかかることがある。
6
Copyright © 2017 独立行政法人情報処理推進機構
脆弱性の原因ケース2
脆弱性が存在する製品を利用
• 脆弱性が存在する製品を利用していることが原因
- 脆弱性が報告されても、利用者が放置することがある
- 有名な製品の脆弱性が報告されると、攻撃が急増することも
脆弱性があるソフトウェアの例
・ アンケートプログラム
・ 日記プログラム
・ ウェブフレームワーク
・ コンテンツ管理システム 等
存在していた脆弱性
・ クロスサイトスクリプティング
・ ディレクトリトラバーサル
・ SQLインジェクション 等
7
Copyright © 2017 独立行政法人情報処理推進機構
脆弱性の原因ケース3
誤った設定で運用していた
• 管理者用のページがインターネットに公開されていた
• 適切なアクセス制限が行われていなかった
• 不必要なファイルを削除していなかった
個人情報が記載されたファイルが公開されていた場合も
通常は公開されない画面
8
Copyright © 2017 独立行政法人情報処理推進機構
安全なウェブサイトの作り方とは(1/5)
安全なウェブサイトの作り方の概要
ウェブサイトの運営に関わる全ての人に向けた内容
“11種類の脆弱性”の説明とその対策を説明
運用面からのウェブサイト全体の安全性を向上させるための方策を説明
7版から“パスワードの運用方法”の内容を拡充
ウェブセキュリティの対策状況を把握ができるチェックリストつき
9
IPA 安全なウェブ
Copyright © 2017 独立行政法人情報処理推進機構
1 SQLインジェクション
2 OSコマンド・インジェクション
3パス名パラメータの未チェック/ディレクトリ・トラバーサル
4 セッション管理の不備
5 クロスサイト・スクリプティング
6 CSRF(クロスサイト・リクエスト・フォージェリ)
7 HTTPヘッダ・インジェクション
8 メールヘッダ・インジェクション
9 クリックジャッキング
10 バッファオーバーフロー
11 アクセス制御や認可制御の欠落
高い危険性・データベースやウェブサーバを不正操作・内部データの 漏えい・改ざん・破壊
安全なウェブサイトの作り方とは(2/5)
11種類の脆弱性
10
数多く見つかる脆弱性・偽の情報が表示されたりする・まれに、より深刻な脅威に繋がる
数多く見つかる脆弱性・偽の情報が表示されたりする・まれに、より深刻な脅威に繋がる
設定の改ざんに繋がる脆弱性・利用者に意図しない操作をさせる・登録情報の改変、設定の変更
Copyright © 2017 独立行政法人情報処理推進機構
安全なウェブサイトの作り方とは(3/5)
具体的な対策例
脆弱性を作りこまない実装を実現する手法
根本的解決
保険的対策 攻撃による影響を軽減する対策(原因そのものを無くすわけではない)
失敗例
11
適切な対策を把握することが重要
対策方法の検討に活用
Copyright © 2017 独立行政法人情報処理推進機構
安全なウェブサイトの作り方とは(4/5)
チェックリストでの確認
対策に漏れが無いか確認することが重要
セキュリティ対策の状況の確認に活用
12
Copyright © 2017 独立行政法人情報処理推進機構
安全なウェブサイトの作り方とは(5/5)
セキュリティ要件の参考に
今やセキュリティ要件を考慮する事が重要
RFPに盛り込む際の参考に活用
IPA からの入札公告(RFP)における使用例
13
Copyright © 2017 独立行政法人情報処理推進機構
まとめ
ウェブサイトを構築する際に、セキュリティ要件を考慮することが重要です。
ウェブサイト運営者はセキュリティ対策を理解する必要があります。
14
「安全なウェブサイトの作り方」を活用いただき、ウェブサイトのセキュリティ問題を発見・解消してください。
■実際の対策の一例1. 脆弱性等の脅威について教育を行う2. ウェブアプリケーション開発の際に脆弱性検査を実施する3. ウェブサーバに設定不備が無いか調査する
また、上記対策以外にも、ウェブサーバで運用しているソフトウェアに脆弱性が見つかっていないか継続的に情報を収集することが重要。
Copyright © 2017 独立行政法人情報処理推進機構
脆弱性対策情報の収集に
脆弱性対策情報を蓄積するデータベースMyJVNの情報源。日本語版対策情報の登録件数は67,485件(2017年3月)
公開される製品例・Apache・Tomcat・MySQL・SQL Server ・・・etc
脆弱性情報収集のために
脆弱性対策情報データベース JVN iPedia
15
ipedia
Copyright © 2017 独立行政法人情報処理推進機構
情報セキュリティマネジメント試験
◆試験実施⽇◆
・個⼈情報を扱う全ての⽅・業務部⾨・管理部⾨で情報管理を担当する全ての⽅
◆受験をお勧めする⽅◆
IT利⽤部⾨の情報セキュリティ管理の向上に役⽴つ国家試験あらゆる部⾨で必要な、情報セキュリティ管理の知識を体系的に習得できます。
年2回実施(春期・秋期)春期: 4⽉第三⽇曜⽇秋期:10⽉第三⽇曜⽇
16
17