近年のセキュリティインシデントインターネットにおける事件が多様化ウェブサイトにおけるセキュリティ事件も多発時期報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20

Size: px

Start display at page:

Download "近年のセキュリティインシデントインターネットにおける事件が多様化ウェブサイトにおけるセキュリティ事件も多発時期報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20"

めぐのはやしもと
5 years ago
Views:

2 近年のセキュリティインシデントインターネットにおける事件が多様化ウェブサイトにおけるセキュリティ事件も多発時期報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 2013/5 ヤフーに不正アクセス ID2200 万人分流出の恐れ ( 朝日新聞 ) 2013/5 大分空港 HP ウイルス感染させるよう改ざん( 読売新聞 ) 2013/5 三越サイトで不正アクセス 8300 人分の情報流出も ( 産経新聞 ) 2013/5 阪急阪神百貨店通販サイトで会員情報流出か ( 読売新聞 ) 2013/6 ニッセン通販サイトに不正ログイン個人情報漏洩の恐れ ( 読売新聞 ) 2013/6 札幌市の観光 HP 不正アクセス受け閉鎖( 読売新聞 ) 2013/7 企業の監視強化迫られる任天堂不正アクセス手口巧妙に ( 日経新聞 ) 2013/8 ロリポップ! でWordPressを利用しているサイトが改ざん被害約 4,800 件が対象 ( 朝日新聞 ) 2013/10 セブン通販サイトに不正アクセス 15 万人の情報流出か ( 朝日新聞 2014/1 角川サイト改ざん閲覧でウイルス感染の恐れ ( 朝日新聞 ) 2014/3 西日本新聞のサイト改ざんされる無関係なページに誘導 ( 朝日新聞 ) Copyright 2014 独立行政法人情報処理推進機構 2

国内外で発生したウェブサイトの改ざん件数は 7,409 件 1 日平均 :20 件もの被害が発生していることになる JPCERT/CC

3 ウェブサイトへの攻撃ウェブサイトへの攻撃と被害水飲み場攻撃 : ウイルス感染サイト化他攻撃への踏み台 : フィッシングメール送信情報漏えい : 個人情報や機密情報ウェブサイトの改ざん多数 JPCERT/CC が2013 年に受け付けた国内外で発生したウェブサイトの改ざん件数は 7,409 件 1 日平均 :20 件もの被害が発生していることになる JPCERT/CC インシデント報告対応レポート (2013 年 1 月 1 日 ~ 2013 年 12 月 31 日集計 ) Copyright 2014 独立行政法人情報処理推進機構 3

5 セキュアなウェブサイト構築基準 PCI DSS(Payment Card Industry Data Security Standard) クレジット業界におけるグローバルセキュリティ国際基準カード会員データを保護するために基本設計概念設計手続き管理運用などの基準を 12 の要件として規定している安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持 PCI データセキュリティ基準 v3.0 概要 1. カード会員データを保護するためにファイアウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する 5. マルウェアにしてすべてのシステムを保護しウィルス対策ソフトウェアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し保守する 7. カード会員データへのアクセスを業務上必要な範囲内に制限する強力なアクセス制御手法の導入 8. システムコンポーネントへのアクセスを識別認証する 9. カード会員データへの物理アクセスを制限するネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポリシーを維持する Copyright 2014 独立行政法人情報処理推進機構 5

7 ウェブサイトのソフトウェア構成とその対策ソフトウェアのセキュリティ対策脆弱性が解消された最新バージョンの利用ウェブサイトを構成するソフトウェア Copyright 2014 独立行政法人情報処理推進機構ウェブアプリケーション独自開発するケース既製品を使用するケース WordPress, EC-CUBE, ミドルウェアプログラム実行環境ウェブサーバ Apache, IIS, nginx アプリケーションサーバ言語 Tomcat, PHP, Perl, ColdFusion, データベース Oracle, PostgreSQL, MySQL, OS( オペレーティングシステム ) Windows, Linux(CentOS, Ubuntu, ), Mac OS, BSD, 7

ウェブアプリケーションの脆弱性主な脆弱性の種類 1 SQL インジェクション 2 OS コマンドインジェクション高い危険性外部から直接データベースを不正操作内部データの漏えい改ざん破壊に繋がる 3 パス名パラメータの未チェック / ディレクトリトラバーサル 4 セッション管理の不備 5 クロスサイト

8 ウェブアプリケーションの脆弱性主な脆弱性の種類 1 SQL インジェクション 2 OS コマンドインジェクション高い危険性外部から直接データベースを不正操作内部データの漏えい改ざん破壊に繋がる 3 パス名パラメータの未チェック / ディレクトリトラバーサル 4 セッション管理の不備 5 クロスサイトスクリプティング 6 CSRF( クロスサイトリクエストフォージェリ ) 7 HTTP ヘッダインジェクション 8 メールヘッダインジェクション 9 アクセス制御や認可制御の欠落見つかりやすい利用者が誘導される事でニセ情報が表示され情報漏えいに繋がる Copyright 2014 独立行政法人情報処理推進機構 8

9 公開へウェブアプリケーションの対策セキュリティ面から見た開発工程ウェブアプリケーションの利用形態既製品を使用するケース独自開発するケース受入れ ~ 公開準備発注者受注者要件設計 ~ 開発 ~ テスト機セキュリティ要件キュアシステム設トセサポートが続く最新のソフトウェア製品を導入能非機キ能ュリシテスィテテムステストセ計ウセキュアコーディング発注者ェブアプリのェ精ブの密健診康断診断ウ安全なウェブサイトの作り方の利用ウェブ健康診断の利用 Copyright 2014 独立行政法人情報処理推進機構 9

安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.

10 安全なウェブサイトの作り方脆弱性対策を盛込んだ設計を! 失敗例から学ぶ IPA に届出られた脆弱性関連情報をもとに対策をまとめたガイド脆弱性ごとに解説と根本的解決や保険的対策を記載 (9 種類 ) ウェブサイトの安全性向上のための取り組みを記載 (7 項目 ) 失敗例として解説と修正例について記載 (8 種類 ) ウェブセキュリティの実装状況のチェックリストつき Copyright 2014 独立行政法人情報処理推進機構 10

安全なウェブサイトの作り方構成 1 脆弱性とその解消 1 章では届出が多かった種類の脆弱性を中心に深刻なものから順に記載脆弱性が生じる仕組みを図解し本質に迫る解決策を提示各脆弱性における深刻度 (CVSS 基本値 ) の例個別の製品等によって深刻度は異なります SQL インジェクション OS コマンドインジェクション

11 安全なウェブサイトの作り方構成 1 脆弱性とその解消 1 章では届出が多かった種類の脆弱性を中心に深刻なものから順に記載脆弱性が生じる仕組みを図解し本質に迫る解決策を提示各脆弱性における深刻度 (CVSS 基本値 ) の例個別の製品等によって深刻度は異なります SQL インジェクション OS コマンドインジェクションパス名パラメータの未チェック / ディセッション管理の不備クロスサイトスクリプティング CSRF( クロスサイトリクエストフォー HTTP ヘッダインジェクションメールの第三者中継アクセス制御や認可制御の欠落 Copyright 2014 独立行政法人情報処理推進機構 11

13 安全なウェブサイトの作り方構成 3 チェックリストで安全性を確認! 網羅性巻末にはチェックリストを記載対策の網羅性確保のために使用できる Excel 版も公開設計指針として設計段階からの考慮を要する点を一望できるのでアプリケーション設計時の指針として使用可能発注要件として発注者がウェブアプリケーション発注時の要件として本チェックリストを使用すればセキュリティ上の注意点を明確化して契約できる Copyright 2014 独立行政法人情報処理推進機構 13

15 ウェブアプリケーションを診断してみるウェブ健康診断仕様とはウェブアプリケーションにおける基本的な脆弱性対策ができているかを確認する方法を解説した資料実績地方公共団体 1,200 団体の診断に活用 (LASDEC) された実績あり仕様検討有識者 10 名による検討委員会で作成された仕様徳丸浩氏 HASHコンサルティング株式会社 Copyright 2014 独立行政法人情報処理推進機構高木浩光氏独立行政法人産業技術総合研究所高倉弘喜氏名古屋大学など 15

パス名パラメータの未チェック / ディレクトリトラバーサル 8 意図しないリダイレクト 9 HTTP ヘッダインジェクション 10 認証 11

16 ウェブ健康診断仕様の診断内容診断項目 1 SQL インジェクション 2 クロスサイトスクリプティング 3 CSRF( クロスサイトリクエストフォージェリ ) 4 OS コマンドインジェクション 5 ディレクトリリスティング 6 メールヘッダインジェクション 7 パス名パラメータの未チェック / ディレクトリトラバーサル 8 意図しないリダイレクト 9 HTTP ヘッダインジェクション 10 認証 11 セッション管理の不備 12 認可制御の不備欠落 13 クローラへの耐性検出パターン判定基準 Copyright 2014 独立行政法人情報処理推進機構 16

18 診断例 (SQL インジェクション ) 検出結果正常脆弱性ありウェブサイト ' の検索結果は 3 件です xxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxx xx xxxx xx 機能が正常に稼働していれば正常と判定データベースエラーが発生しました! データベース関連のエラーが発生していれば脆弱性ありと判定 Copyright 2014 独立行政法人情報処理推進機構 18

19 ウェブ健康診断仕様利用タイミング例システムテスト納品受入れテスト検収公開準備公開テスト公開受注側で十分な検査受注者は要件に則りウェブアプリケーションに関する十分なテストを行う必要があるセキュリティベンダー等の専門家に実施を委ねるのも良策ウェブ健康診断の利用納品から検収までの短期間で可能な検査を実施基本的な脆弱性対策に対する検査このレベルで問題が発生するのでは精密検査をするレベルではない改めて見直しを要望するべき精密検査の実施セキュリティベンダー等の専門家に精密検査を依頼し実施するリスクと判断した脆弱性等の問題を取り除く問題が解消した時点で公開 Copyright 2014 独立行政法人情報処理推進機構 19

20 ウェブ健康診断仕様できること / できないことできることコストや時間をかけない診断基本的な対策ができていない所を発見できないこと網羅的な漏れのない診断例 : 入力項目ではないパラメータは健康診断の対象外脆弱性の存在箇所を特定ソースコードを確認する必要があるウェブサイト全体の安全性を評価健康診断ではなく別途精密検査で行う脆弱性の修正安全なウェブサイトの作り方を参考に Copyright 2014 独立行政法人情報処理推進機構 20

21 ウェブ健康診断仕様使用上の注意 1. ウェブ健康診断仕様検査パターンを絞り込んだ診断であり安全宣言には繋がりません 2. できるだけ低いコストで診断が実施できるように必要かつ最小限の診断項目検査パターンを採用した診断です 3. 健康診断の結果脆弱性が検出された場合は詳細な診断を行う又は改修を検討してください 4. 健康診断の結果脆弱性が検出されなかった場合でも検査パターンを絞り込んだ診断であることから脆弱性が存在する可能性は残ります 5. 健康診断の結果脆弱性が検出された場合でも実際には脆弱性ではない可能性があります 6. 健康診断を行うことにより診断対象のウェブサイトが停止したりウェブサイトに意図しないデータが登録される可能性があります 7. ウェブサイトが停止する際は診断対象のウェブサイトだけにとどまらずインフラを共有している別のウェブサイトにも影響が及ぶ可能性があります診断を行う際は必ずサーバやデータセンター等インフラ管理者の許可を事前に得てください Copyright 2014 独立行政法人情報処理推進機構 21

22 まとめウェブアプリケーションには SQL インジェクションやクロスサイトスクリプティングなどの脆弱性が作り込まれることがある脆弱性を狙った攻撃をされるとデータの漏洩改竄破壊その他被害に繋がる安全なウェブサイトの作り方を発注時要件に盛り込むことで対策を実施できるウェブ健康診断によって基本的な脆弱性対策ができていない部分を見つけられる検収時時間がない中でも健康診断ならできるでも公開前にはより精密な診断を Copyright 2014 独立行政法人情報処理推進機構 22

IPA からのお願い Windows XP のサポートが 2014 年 4 月 9

安全なウェブサイトの作り方 7 版の内容と資料活用例 2

安全なウェブサイトの作り方 7 版の内容と資料活用例 2 安全なウェブサイトの作り方と届出られたウェブサイトの脆弱性の実情独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター安全なウェブサイトの作り方 7 版の内容と資料活用例 2 2016 年のウェブサイトにまつわる事件時期報道 2016/1 セキュリティー会社不覚顧客情報が流出金銭要求届く ( 朝日新聞 ) 2016/1 厚労省サイト再び閲覧不能サイバー攻撃か ( 日経新聞