Webサイトを構築・運営する企業は、不正アクセスの回避技術を知るとともに、セキュリティ対策を継続的に維持しなければならない。
セキュリティ診断分析
NRIセキュアテクノロジーズでは、Webサイトの安全性を確認する診断サービスを提供している。
セキュリティ診断は顧客から依頼を受けて実施している。167サイトを診断した結果(2005年度)、約5割に重要情報が不正に取得できる致命的な欠陥があった。この重要情報とは、個人情報、他人の口座情報、住所、注文履歴などである。また、複数の条件が重なったり、ユーザーがだまされたときに重要情報が抜かれたりする可能性がある脆弱性を孕んでいるものを含めると、約8割のサイトが何らかの問題を抱えていた。
なりすましと権限昇格による不正アクセス
発生頻度が高い脆弱性は以下の3つである。
・関連チェック不足によるなりすまし
・権限昇格による管理者機能へのアクセス
・SQLインジェクションによるデータベースの不正操作
「なりすまし」は約3割のWebサイトに見られた。例えばショッピングサイトの履歴IDなどをデクリメントしてアクセスすると、ログインユーザーとは無関係のユーザーのデータが見えてしまう場合がある。この手法で大量のデータが取得できるサイトも存在した。ログインしたユーザーの関連チェックが行われず、そのままデータを出してしまうために発生する問題である。
管理者権限への不正アクセス問題は約2割のサイトにあった。管理者機能はユーザー一覧、購買履歴一覧の表示・検索機能などが実装されているため、大量のデータが一瞬で不正取得されることもある。
SQLインジェクション
SQLインジェクションは調査対象の3.5割にあった。通常、ログイン時に入力されたIDとパスワードがWebアプリケーションに渡されるが、そこでは不正を判断できないのでデータベースに問い合わせ、IDやパスワードが正しいかを確認する仕組みだ。その際にアプリケーションはSQL文を組み立て、データベースに問い合わせる。
しかし、不正なSQLを入れた場合、データベース操作が行われログインが成功してしまう可能性がある。さらに、データベース内容の表示、改ざんや削除に発展することもある。
セキュリティ対策
例えば認証機能への総当たり攻撃を防ぐため、アカウントをロックする仕組みがある。何回か連続して失敗するとエラーが出る仕組みだ。SQLインジェクションの脆弱性はデータベースの問い合わせを行う全個所に対策を施さなければならない。これは複数の機関から対策方法も示されている。
運営側が責任を持ってWebサイトをコントロールしていない、暗黙に委託先の能力に委ねていることも問題に挙げられる。責任所在が曖昧な状態で運営されているシステムも数多く存在した。
セキュリティ診断は、全システムに対して一斉に診断しなくてもいい。まずはどれか1つ重要なシステムをピックアップして、セキュリティ診断を受けてもらいたい。問題が判明したらガイドラインを作成し、横展開して対策を進める。新規システムは決められたルールを遵守して実装する。
なおセキュリティ診断は定期的に実施することを検討してほしい。複数のシステムがあれば、システム構築時期、セキュリティ診断実施日、どこまで対策したか、ガイドラインのどのバージョンを利用して実装したか、どの開発ベンダーが実装したか等の情報を管理しなければならない。
2006/12/24 00:00:00