安全なウェブサイトの作り方　改訂第3版

Transcription

1 安 全 な ウェブサイトの 作 り 方 改 訂 第 3 版 ウェブアプリケーションのセキュリティ 実 装 と ウェブサイトの 安 全 性 向 上 のための 取 り 組 み 2008 年 3 月

2 本 書 は 以 下 の URL からダウンロードできます 安 全 なウェブサイトの 作 り 方

3 目 次 目 次... 2 はじめに... 2 本 書 の 内 容 および 位 置 付 け... 3 対 象 読 者... 3 第 3 版 の 主 な 改 訂 内 容... 3 脆 弱 性 対 策 について - 根 本 的 解 決 と 保 険 的 対 策 ウェブアプリケーションのセキュリティ 実 装 SQL インジェクション OS コマンド インジェクション パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル セッション 管 理 の 不 備 クロスサイト スクリプティング CSRF(クロスサイト リクエスト フォージェリ) HTTP ヘッダ インジェクション メールの 第 三 者 中 継 アクセス 制 御 や 認 可 制 御 の 欠 落 ウェブサイトの 安 全 性 向 上 のための 取 り 組 み ウェブサーバのセキュリティ 対 策 DNS 情 報 の 設 定 不 備 ネットワーク 盗 聴 への 対 策 パスワードの 不 備 フィッシング 詐 欺 を 助 長 しないための 対 策 失 敗 例 SQL インジェクションを 考 慮 できていない 実 装 クロスサイト スクリプティングを 考 慮 できていない 実 装 おわりに 参 考 資 料 用 語 集 チェックリスト... 70

4 はじめに はじめに インターネット 上 では 多 くのウェブサイトがそれぞれサービスを 提 供 しています 情 報 通 信 白 書 1 によ ると 2007 年 現 在 日 本 におけるインターネットの 利 用 者 数 は 8700 万 人 を 超 えると 推 定 され ウェブを 通 じた 情 報 のやり 取 りは 今 後 も 増 え 続 けることが 予 想 されます 一 方 ウェブサイトの 安 全 上 の 欠 陥 ( 脆 弱 性 )が 狙 われる 事 件 も 後 を 絶 ちません 最 近 は 営 利 目 的 の 犯 行 も 目 立 ち 悪 質 化 が 進 む 傾 向 にあります 独 立 行 政 法 人 情 報 処 理 推 進 機 構 ( 以 降 IPA)が 届 出 2 を 受 けたウェブサイトの 脆 弱 性 関 連 情 報 は 届 出 受 付 開 始 から 3 年 余 りで 累 計 1000 件 を 超 えました 届 出 の 多 くを 占 める SQL インジェクション と 呼 ばれる 脆 弱 性 は ウェブサイトから 個 人 情 報 を 不 正 に 盗 まれたり ウェブページにウイルスを 埋 め 込 まれたりするといった 事 件 における 原 因 の 一 つと 考 えられて います ウェブサイトの 安 全 を 維 持 するためには ウェブサイトを 構 成 する 要 素 に 対 して それぞれに 適 した 対 策 を 実 施 する 必 要 があります たとえば サーバ OS やソフトウェアに 対 しては 各 ベンダが 提 供 する 情 報 を 元 に 脆 弱 性 修 正 パッチの 適 用 や 安 全 な 設 定 方 法 など 利 用 者 が 共 通 した 対 応 を 実 施 することが できます しかし ウェブアプリケーション については それぞれのウェブサイトで 独 自 に 開 発 される 場 合 が 多 く セキュリティ 対 策 はそれぞれのウェブアプリケーションに 対 して 個 別 に 実 施 する 必 要 がありま す すでに 運 用 を 開 始 しているウェブアプリケーションにセキュリティ 上 の 問 題 が 発 覚 した 場 合 設 計 レ ベルから 修 正 することは 難 しい 場 合 が 少 なくなく 場 あたり 的 な 対 策 で 済 まさざるをえないこともあります 対 策 は 可 能 な 限 り 根 本 的 な 解 決 策 を 開 発 段 階 で 実 装 することが 望 まれます 本 書 は IPA が 届 出 を 受 けたソフトウェア 製 品 およびウェブアプリケーションの 脆 弱 性 関 連 情 報 に 基 づ いて 特 にウェブサイトやウェブアプリケーションについて 届 出 件 数 の 多 かった 脆 弱 性 や 攻 撃 による 影 響 度 が 大 きい 脆 弱 性 を 取 り 上 げ その 根 本 的 な 解 決 策 と 保 険 的 な 対 策 を 示 しています また ウェブ サイト 全 体 の 安 全 性 を 向 上 するための 取 り 組 みや ウェブアプリケーション 開 発 者 が 陥 りやすい 失 敗 例 を 紹 介 しています 本 書 が ウェブサイトのセキュリティ 問 題 を 解 決 する 一 助 となれば 幸 いです 1 総 務 省 情 報 通 信 白 書 平 成 19 年 版 2 IPA セキュリティセンターでは 経 済 産 業 省 の 告 示 に 基 づき 脆 弱 性 情 報 に 関 する 届 出 を 受 け 付 けています 脆 弱 性 関 連 情 報 に 関 する 届 出 について 2

5 本 書 の 内 容 および 位 置 付 け はじめに 本 書 は 脆 弱 性 関 連 情 報 流 通 の 基 本 枠 組 みである 情 報 セキュリティ 早 期 警 戒 パートナーシップ の 受 付 分 析 機 関 である IPA において 実 際 に 脆 弱 性 と 判 断 している 脆 弱 性 を 主 に 取 り 上 げています 本 書 は 3 章 で 構 成 しています 第 1 章 では ウェブアプリケーションのセキュリティ 実 装 として SQL インジェクション OS コマンド インジェクションやクロスサイト スクリプティングなど 9 つの 項 目 を 取 り 上 げ それぞれの 脆 弱 性 で 発 生 し うる 脅 威 や 特 に 注 意 が 必 要 なウェブサイトなどを し 主 に 開 発 面 から 脆 弱 性 の 原 因 そのものをなく す 根 本 的 な 解 決 策 攻 撃 による 影 響 の 低 減 を 期 待 できる 保 険 的 な 対 策 を 示 しています 第 2 章 では ウェブサイトの 安 全 性 向 上 のための 取 り 組 み として ウェブサーバのセキュリティ 対 策 やフィッシング 詐 欺 を 助 長 しないための 対 策 など 5 つの 項 目 を 取 り 上 げ 主 に 運 用 面 からウェブサイト 全 体 の 安 全 性 を 向 上 させる 対 策 を 示 しています 第 3 章 では 失 敗 例 として SQL インジェクションとクロスサイト スクリプティングの 脆 弱 性 を 取 り 上 げ 問 題 のあったウェブアプリケーションの 実 装 具 体 的 な 問 題 のコード 修 正 例 を 示 しています 巻 末 には ウェブアプリケーションのセキュリティ 実 装 の 実 施 状 況 を 確 認 するためのチェックリストも 付 与 しています 本 書 に 示 す 内 容 は あくまで 解 決 策 の 一 例 であり 必 ずしもこれらの 実 施 を 強 要 するものではありま せん また 具 体 的 に 修 正 例 として 紹 介 しているソースコードは 簡 易 検 証 によりその 有 効 性 を 確 認 して いますが 副 作 用 等 が 無 いことを 保 証 するものではありません ウェブサイトのセキュリティ 問 題 の 解 決 の 参 考 にしていただければ 幸 いです 対 象 読 者 対 象 読 者 は 企 業 や 個 人 を 問 わず ウェブアプリケーション 開 発 者 やサーバ 管 理 者 など ウェブサイト の 運 営 に 関 わる 方 の 全 てとしています 第 3 版 の 主 な 改 訂 内 容 改 訂 第 3 版 では 実 践 的 な 脆 弱 性 対 策 の 普 及 促 進 のため ウェブサイトに 関 する 届 出 の 約 7 割 を 占 め ている SQL インジェクションとクロスサイト スクリプティングの 脆 弱 性 に 関 して 具 体 的 な 8 つの 失 敗 例 を 第 3 章 として 追 加 しました また 第 1 章 に アクセス 制 御 や 認 可 制 御 の 欠 落 に 関 する 根 本 的 解 決 策 を 新 たな 節 として 追 加 しました 下 記 は 第 3 版 の 主 な 改 訂 内 容 です 1 章 ウェブアプリケーションのセキュリティ 実 装 に 届 出 状 況 を 追 記 1.5 クロスサイト スクリプティング に 3.すべてのウェブアプリケーションに 共 通 の 対 策 を 追 記 1.9 アクセス 制 御 や 認 可 制 御 の 欠 落 を 追 記 2.5 フィッシング 詐 欺 を 助 長 しないための 対 策 に 3) を 追 記 3 章 失 敗 事 例 を 追 記 3

6 脆 弱 性 対 策 について - 根 本 的 解 決 と 保 険 的 対 策 - はじめに 脆 弱 性 への 対 策 は その 対 策 内 容 や 取 り 組 みの 視 点 によって 期 待 できる 効 果 や 影 響 が 異 なります ある 対 策 は 脆 弱 性 の 原 因 そのものを 取 り 除 く 根 本 からの 解 決 を 期 待 できる 内 容 かもしれません ま た ある 対 策 は 外 因 である 攻 撃 手 法 に 注 目 し 特 定 の 攻 撃 による 影 響 のみを 低 減 する 効 果 を 期 待 でき る 内 容 かもしれません ここで 大 切 なことは 自 分 が 選 択 する 対 策 が どのような 性 質 を 持 っているのか 期 待 する 効 果 を 得 られるものなのか ということを 正 しく 理 解 把 握 することです 本 書 では 特 にウェブアプリケーションにおけるセキュリティ 対 策 について その 性 質 を 基 に 根 本 的 解 決 と 保 険 的 対 策 の2つに 分 類 しています 根 本 的 解 決 本 書 における 根 本 的 解 決 は 脆 弱 性 の 原 因 を 作 らない 実 装 を 実 現 する 内 容 です 根 本 的 解 決 を 実 施 することにより その 脆 弱 性 を 狙 った 攻 撃 は 完 全 に 無 効 化 することを 期 待 できます 3 従 来 ウェブアプリケーションにおける 脆 弱 性 対 策 は 後 述 の 保 険 的 対 策 に 分 類 される 攻 撃 を 回 避 する 機 能 を 付 加 的 に 実 装 する 傾 向 がありましたが この 状 態 では 脆 弱 性 の 原 因 そのものは 依 然 として 残 り 続 けています ウェブアプリケーション 開 発 の 際 には 可 能 な 限 り 根 本 的 解 決 を 実 施 すること が 望 まれます 保 険 的 対 策 本 書 における 保 険 的 対 策 は 攻 撃 による 影 響 を 低 減 する 対 策 です これは 根 本 的 解 決 と 異 な り 脆 弱 性 の 原 因 そのものを 無 くす 対 策 ではありません したがって 保 険 的 対 策 のみに 頼 る 取 り 組 みは 推 奨 できません しかし 時 間 的 制 約 や 運 用 の 事 情 などにより 根 本 的 解 決 をすぐに 実 施 でき ない 場 合 や 根 本 的 対 策 に 漏 れが 生 じていた 場 合 保 険 的 対 策 はいわば セーフティネット として 機 能 します 根 本 的 解 決 と 併 用 することにより より 高 い 安 全 性 の 確 保 を 期 待 できますが 対 策 の 内 容 によっては 特 定 の 文 字 の 取 り 扱 いや 本 来 の 機 能 を 制 限 する 場 合 があります 保 険 的 対 策 を 採 用 する 際 には このような 副 作 用 の 影 響 も 考 慮 する 必 要 があります ウェブアプリケーションにおける 脆 弱 性 や 安 全 なプログラミングに 関 する 資 料 として IPA のウェブサイ トでは 下 記 コンテンツを 公 開 しています 本 書 と 併 せて 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) IPA: セキュア プログラミング 講 座 Web アプリケーション 編 ( 新 版 ) 3 新 しい 攻 撃 手 法 が 発 見 された 場 合 には この 限 りではありません 4

7 1.1 SQL インジェクション 1. ウェブアプリケーションのセキュリティ 実 装 本 章 では ウェブアプリケーションのセキュリティ 実 装 として 下 記 の 脆 弱 性 を 取 り 上 げ 4 発 生 しうる 脅 威 注 意 が 必 要 なサイト 根 本 的 解 決 および 保 険 的 対 策 を 示 します 1) SQL インジェクション 2) OS コマンド インジェクション 3) パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル 4) セッション 管 理 の 不 備 5) クロスサイト スクリプティング 6) CSRF(クロスサイト リクエスト フォージェリ) 7) HTTP ヘッダ インジェクション 8) メールの 第 三 者 中 継 9) アクセス 制 御 や 認 可 制 御 の 欠 落 1.1 SQL インジェクション データベースと 連 携 したウェブアプリケーションの 多 くは 利 用 者 からの 入 力 情 報 を 基 にデータベース への 命 令 文 を 組 み 立 てています ここで 命 令 文 の 組 み 立 て 方 法 に 問 題 がある 場 合 攻 撃 によってデー タベースの 不 正 利 用 をまねく 可 能 性 があります この 問 題 を 悪 用 した 攻 撃 手 法 は SQL インジェクション と 呼 ばれています SQL インジェクション SQL インジェクションの 脆 弱 性 がある 場 合 悪 意 あるリクエストにより データベースの 不 正 利 用 をまねく 可 能 性 があります 悪 意 のある 人 ウェブサイト データベースへの 命 令 文 を 構 成 する 入 力 値 を 送 信 データベースへ 命 令 を 送 信 消 去 情 報 漏 えい SQLインジェクションの 脆 弱 性 があるウェブアプリケーション データ ベース 改 ざん 4 資 料 の 構 成 上 脆 弱 性 の 深 刻 度 や 攻 撃 による 影 響 を 考 慮 して 項 番 を 割 り 当 てていますが これは 対 策 の 優 先 順 位 を 示 すものではありません 優 先 順 位 は 運 営 するウェブサイトの 状 況 に 合 わせてご 検 討 ください 5

8 1.1 SQL インジェクション 発 生 しうる 脅 威 SQL インジェクション 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - データベースに 蓄 積 された 非 公 開 情 報 の 閲 覧 個 人 情 報 の 漏 えい など - データベースに 蓄 積 された 情 報 の 改 ざん 消 去 ウェブページの 改 ざん パスワード 変 更 システム 停 止 など - 認 証 回 避 による 不 正 ログイン 5 ログインした 利 用 者 に 許 可 されている 全 ての 操 作 を 不 正 に 行 われる - ストアドプロシージャなどを 利 用 した OS コマンドの 実 行 システムの 乗 っ 取 り 他 への 攻 撃 の 踏 み 台 としての 悪 用 など 注 意 が 必 要 なウェブサイトの 特 徴 運 営 主 体 やウェブサイトの 性 質 を 問 わず データベース 6 を 利 用 するウェブアプリケーションを 設 置 し ているウェブサイトに 存 在 しうる 問 題 です 個 人 情 報 などの 重 要 情 報 をデータベースに 格 納 しているウェ ブサイトは 特 に 注 意 が 必 要 です 7 届 出 状 況 SQL インジェクションの 届 出 件 数 は 他 の 脆 弱 性 に 比 べて 多 く 届 出 受 付 開 始 から 2007 年 12 月 末 まで に ウェブサイトの 届 出 件 数 の 約 3 割 に 相 当 する 届 出 を 受 けています また ソフトウェア 製 品 の 届 出 も ウェブサイトの 届 出 件 数 ほど 多 くはありませんが 少 なからずあります 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です Owl における SQL インジェクションの 脆 弱 性 ACollab における SQL インジェクションの 脆 弱 性 ebaseweb における SQL インジェクションの 脆 弱 性 5 後 述 1.3 セッション 管 理 の 不 備 で する 発 生 しうる 脅 威 と 同 じ 内 容 です 6 代 表 的 なデータベースエンジンには MySQL, PostgreSQL, Oracle, Microsoft SQL Server, DB2 などが 挙 げられます 7 最 新 情 報 は 下 記 URL を 参 照 してください 脆 弱 性 関 連 情 報 に 関 する 届 出 状 況 : 6

9 1.1 SQL インジェクション 根 本 的 解 決 1)-1 SQL 文 の 組 み 立 てにバインド 機 構 を 使 用 する これは SQL 文 が 注 入 される 原 因 を 作 らない 実 装 です バインド 機 構 とは 実 際 の 値 がまだ 割 り 当 てられていない 記 号 文 字 (プレースホルダ) を 使 用 してあらかじめ SQL 文 の 雛 形 を 用 意 し 後 に 実 際 の 値 (バインド 値 )を 割 り 当 てて SQL 文 を 完 成 させる データベースの 機 能 です バインド 値 はエスケープ 処 理 されてプレ ースホルダにはめ 込 まれるため 利 用 者 に 入 力 された 悪 意 ある SQL 文 の 実 行 を 防 ぐこと ができます SQL 文 の 実 行 方 式 として SQL のプリペアドステートメント( 準 備 された 文 )を 使 用 する 場 合 には 結 果 的 にバインド 機 構 を 利 用 することになるので この 脆 弱 性 を 防 止 できます また 何 らかの 理 由 でプリペアドステートメントを 使 用 しない 場 合 でも プレー スホルダによるバインド 機 構 を API として 提 供 している 処 理 系 もあるので その 場 合 はそ れを 利 用 します 1)-2 バインド 機 構 を 利 用 できない 場 合 は SQL 文 を 構 成 する 全 ての 変 数 に 対 しエスケープ 処 理 を 行 う これは 根 本 的 解 決 1) のバインド 機 構 を 利 用 した 実 装 ができない 場 合 に 実 施 すべき 実 装 です 利 用 者 から 入 力 されるパラメータや データベースに 格 納 された 情 報 などに 限 らず SQL 文 を 構 成 する 全 ての 変 数 や 演 算 結 果 に 対 し エスケープ 処 理 を 行 ってください エス ケープ 処 理 の 対 象 は SQL 文 にとって 特 別 な 意 味 を 持 つ 記 号 文 字 (たとえば \ \\ など)です なお SQL 文 にとって 特 別 な 意 味 を 持 つ 記 号 文 字 は データベースエンジンによって 異 なるため 利 用 しているデータベースエンジンに 応 じて 対 策 をしてください データベース エンジンによっては 専 用 のエスケープ 処 理 を 行 う API を 提 供 しているものがあります(た とえば Perl なら DBI 8 モジュールの quote()など)ので それを 利 用 することをお 勧 めしま す 2) ウェブアプリケーションに 渡 されるパラメータに SQL 文 を 直 接 指 定 しない これは いわば 論 外 の 実 装 ですが hidden パラメータなどに SQL 文 をそのまま 指 定 するという 事 例 の 届 出 がありましたので 避 けるべき 実 装 として 紹 介 します ウェブアプリケーションに 渡 されるパラメータに SQL 文 を 直 接 指 定 する 実 装 は その パラメータ 値 の 改 変 により データベースの 不 正 利 用 につながる 可 能 性 があります 8 DBI:Perl において 広 く 利 用 されている データベースへアクセスするためのモジュール 7

10 1.1 SQL インジェクション 保 険 的 対 策 3) エラーメッセージをそのままブラウザに 表 示 しない これは 利 用 者 に 必 要 以 上 の 情 報 を 与 えないための 対 策 です エラーメッセージの 内 容 に データベースの 種 類 やエラーの 原 因 実 行 エラーを 起 こし た SQL 文 などの 情 報 が 含 まれる 場 合 これらは SQL インジェクション 攻 撃 につながる 有 用 な 情 報 となりえます また エラーメッセージは 攻 撃 の 手 がかりを 与 えるだけでなく 実 際 に 攻 撃 された 結 果 を 表 示 する 窓 口 として 悪 用 される 場 合 があります データベース に 関 連 するエラーメッセージは 利 用 者 のブラウザ 上 に 表 示 させないことをお 勧 めしま す 4) データベースアカウントに 適 切 な 権 限 を 与 える これは SQL インジェクション 攻 撃 による 影 響 を 低 減 するための 対 策 です ウェブアプリケーションがデータベースに 接 続 する 際 に 使 用 するアカウントの 権 限 が 必 要 以 上 に 高 い 場 合 攻 撃 による 被 害 が 深 刻 化 する 恐 れがあります ウェブアプリケーショ ンからデータベースに 渡 す 命 令 文 を 洗 い 出 し その 命 令 文 の 実 行 に 必 要 な 最 小 限 の 権 限 をデータベースアカウントに 与 えてください 以 上 の 対 策 により SQL インジェクション 攻 撃 に 対 する 安 全 性 の 向 上 が 期 待 できます データベースと 連 携 したウェブアプリケーションの 構 築 や SQL インジェクションに 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 1. SQL インジェクション IPA: セキュア プログラミング 講 座 より 良 い Web アプリケーション 設 計 のヒント IPA: セキュア プログラミング 講 座 SQL 注 入 : #1 実 装 における 対 策 IPA: セキュア プログラミング 講 座 SQL 注 入 : #2 設 定 における 対 策 IPA: 情 報 セキュリティ 白 書 2007 年 版 攻 撃 が 急 増 する SQL インジェクション IPA: 情 報 セキュリティ 白 書 2006 年 版 事 件 化 する SQL インジェクション 8

11 1.2 OS コマンド インジェクション 1.2 OS コマンド インジェクション ウェブアプリケーションによっては 外 部 からの 攻 撃 により ウェブサーバの OS コマンドを 不 正 に 実 行 されてしまう 問 題 を 持 つものがあります この 問 題 を 悪 用 した 攻 撃 手 法 は OS コマンド インジェクション と 呼 ばれています OS コマンド インジェクション OSコマンド インジェクションの 脆 弱 性 がある 場 合 悪 意 あるリクエストにより ウェブサーバ 側 で 意 図 しない OSコマンドを 実 行 させられ 重 要 情 報 が 盗 まれたり 攻 撃 の 踏 み 台 に 悪 用 される 可 能 性 があります 悪 意 のある 人 ウェブサイト OSコマンドを 含 む 攻 撃 リクエスト 情 報 漏 えい OSコマンドの 実 行 OSコマンド インジェクションの 脆 弱 性 があるウェブアプリケーション ファイル 改 ざん シェル システム 不 正 操 作 ウィルス 感 染 他 サイトへ 攻 撃 発 生 しうる 脅 威 OS コマンド インジェクション 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - サーバ 内 ファイルの 閲 覧 改 ざん 削 除 重 要 情 報 の 漏 えい 設 定 ファイルの 改 ざん など - システム 操 作 OS のシャットダウン ユーザアカウントの 追 加 変 更 など - 不 正 なプログラムのダウンロード 実 行 ウイルス ワーム ボットなどへの 感 染 バックドアの 設 置 など - 他 のシステムへの 攻 撃 の 踏 み 台 サービス 不 能 攻 撃 システム 攻 略 のための 調 査 迷 惑 メールの 送 信 など 注 意 が 必 要 なウェブサイトの 特 徴 運 営 主 体 やウェブサイトの 性 質 を 問 わず 外 部 プログラムを 呼 び 出 し 可 能 な 関 数 等 9 が 使 われている ウェブアプリケーションに 注 意 が 必 要 な 問 題 です 9 外 部 プログラムを 呼 び 出 し 可 能 な 関 数 の 例 : Perl: open(), system(), eval() など PHP : exec(), passthru(), shell_exec(), system(), popen() など 9

12 届 出 状 況 1.2 OS コマンド インジェクション OS コマンド インジェクションは 主 に Perl で 開 発 されたウェブアプリケーションのソフトウェア 製 品 に 発 見 され 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です Webmin における OS コマンド インジェクションの 脆 弱 性 ホームページ ビルダー 付 属 の CGI サンプルプログラムにおける OS コマンド インジェクションの 脆 弱 性 QUICK CART における OS コマンド インジェクションの 脆 弱 性 根 本 的 解 決 1) シェルを 起 動 できる 言 語 機 能 の 利 用 を 避 ける これは OS コマンド インジェクションの 原 因 を 作 らない 実 装 です ウェブアプリケーションに 利 用 されている 言 語 によっては シェルを 起 動 できる 機 能 を 持 つものがあります たとえば Perl の open 関 数 は 引 数 として 与 えるファイルパスに (パイプ)を 使 うことで OS コマンドを 実 行 できるため 外 部 からの 入 力 値 を 引 数 として 利 用 する 実 装 は 危 険 です このような シェルを 起 動 できる 言 語 機 能 の 利 用 は 避 けてく ださい 処 理 の 目 的 によっては 他 の 関 数 などで 代 替 できる 場 合 が 少 なくありません たとえば Perl でファイルを 開 きたい 場 合 は open 関 数 ではなく sysopen 関 数 を 利 用 す ることができます 保 険 的 対 策 2) シェルを 起 動 できる 言 語 機 能 を 利 用 する 場 合 は その 引 数 を 構 成 する 全 ての 変 数 に 対 してチェック を 行 い あらかじめ 許 可 された 処 理 のみが 実 行 されるようにする これは 上 記 根 本 的 解 決 1) を 実 施 できない 場 合 にセーフティネットとなる 対 策 です シェルを 起 動 できる 言 語 機 能 の 引 数 を 構 成 する 変 数 に 対 し 引 数 に 埋 め 込 む 前 にチ ェックをかけ 本 来 想 定 する 動 作 のみが 実 行 されるようにしてください チェック 方 法 に は その 引 数 に 許 可 する 文 字 の 組 み 合 わせを 洗 い 出 し その 組 み 合 わせ 以 外 は 許 可 し ない ホワイトリスト 方 式 をお 勧 めします たとえば 数 値 を 示 すはずのパラメータであ れば 数 字 のみからなる 文 字 列 であることをチェックします チェックの 結 果 許 可 しない 文 字 の 組 み 合 わせが 確 認 された 場 合 は 引 数 へ 渡 さず 処 理 を 中 止 させます なお チェック 方 法 には OS コマンド インジェクション 攻 撃 に 悪 用 される 記 号 文 字 ( < > など)など 問 題 となりうる 文 字 を 洗 い 出 し これを 許 可 しない ブラックリ 10

13 1.2 OS コマンド インジェクション スト 方 式 もありますが この 方 法 はチェックに 漏 れが 生 じる 可 能 性 があるため お 勧 め できません 以 上 の 対 策 により OS コマンド インジェクション 攻 撃 に 対 する 安 全 性 の 向 上 が 期 待 できます OS コマ ンド インジェクションに 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 5. OS コマンド インジェクション IPA: セキュア プログラミング 講 座 コマンド 注 入 攻 撃 対 策 11

14 1.3 パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル 1.3 パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル ウェブアプリケーションの 中 には 外 部 からのパラメータにウェブサーバ 内 のファイル 名 を 直 接 指 定 し ているものがあります このようなウェブアプリケーションでは ファイル 名 指 定 の 実 装 に 問 題 がある 場 合 攻 撃 者 に 任 意 のファイルを 指 定 され ウェブアプリケーションが 意 図 しない 処 理 を 行 ってしまう 可 能 性 が あります パス 名 パラメータを 悪 用 したファイル 参 照 パラメータにファイル 名 を 指 定 しているウェブアプリケーションでは ファイル 名 指 定 の 実 装 に 問 題 がある 場 合 公 開 を 想 定 していないファイルを 参 照 されてしまう 可 能 性 があります 悪 意 のある 人 Secret.txt の 内 容 個 人 情 報 ( 住 所 氏 名 電 話 番 号 ) パスワード 利 用 者 ID etc... 情 報 漏 えい 発 生 しうる 脅 威 本 脆 弱 性 を 悪 用 した 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - サーバ 内 ファイルの 閲 覧 改 ざん 削 除 重 要 情 報 の 漏 えい 設 定 ファイル データファイル プログラムのソースコードなどの 改 ざん 削 除 注 意 が 必 要 なウェブサイトの 特 徴 運 営 主 体 やウェブサイトの 性 質 を 問 わず 外 部 からのパラメータにウェブサーバ 内 のファイル 名 を 直 接 指 定 する 実 装 のウェブアプリケーションに 注 意 が 必 要 な 問 題 です 個 人 情 報 などの 重 要 情 報 をウェブ サーバ 内 にファイルとして 保 存 しているサイトは 特 に 注 意 が 必 要 です - サーバ 内 ファイルを 利 用 するウェブアプリケーションの 例 ウェブページのデザインテンプレートをファイルから 読 み 込 む 利 用 者 からの 入 力 内 容 を 指 定 のファイルへ 書 き 込 む など 12

15 届 出 状 況 1.3 パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル パス 名 パラメータの 未 チェック/ディレクトリ トラバーサルの 届 出 は ウェブサイトの 届 出 全 体 に 占 める 割 合 は 数 パーセントと 多 くはありませんが 受 付 開 始 当 初 から 継 続 して 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です Fuktommy.com 製 HTML プリプロセッサ 付 属 の httpd.pl における ディレクトリ トラバーサルの 脆 弱 性 ショッピングバスケットプロ におけるディレクトリ トラバーサルの 脆 弱 性 KDDI 製 ダウンロード CGI サンプルプログラム における ディレクトリ トラバーサルの 脆 弱 性 根 本 的 解 決 1)-1 外 部 からのパラメータにウェブサーバ 内 のファイル 名 を 直 接 指 定 できる 実 装 を 避 ける これは 任 意 のファイルにアクセスされる 問 題 の 原 因 を 作 らない 実 装 です 外 部 からのパラメータにウェブサーバ 内 のファイル 名 を 指 定 できる 場 合 そのパラメ ータが 改 変 され 任 意 のファイル 名 を 指 定 され 公 開 を 想 定 しないファイルの 閲 覧 につ ながる 可 能 性 があります 外 部 パラメータからウェブサーバ 内 のファイル 名 を 指 定 する 実 装 が 本 当 に 必 要 かどうか 他 の 処 理 方 法 で 代 替 できないかどうかなど 仕 様 や 設 計 から 見 直 すことをお 勧 めします 1)-2 ファイルを 開 く 際 は 固 定 のディレクトリを 指 定 し かつファイル 名 にディレクトリ 名 が 含 まれないよ うにする これは 根 本 的 解 決 1) を 実 施 できず 外 部 からの 入 力 値 でファイル 名 を 指 定 する 必 要 がある 場 合 に 任 意 ディレクトリのファイルが 指 定 されることを 回 避 する 実 装 です たとえば カレントディレクトリ 上 のファイル filename を 開 くつもりで open(filename)の 形 式 でコーディングしている 場 合 open(filename)の filename に 絶 対 パス 名 が 渡 されることにより 任 意 ディレクトリのファイルが 開 いてしまう 可 能 性 があり ます この 絶 対 パス 名 による 指 定 を 回 避 する 方 法 として あらかじめ 固 定 のディレクトリ dirname を 指 定 し open(dirname+filename)のような 形 でコーディングする 方 法 が あります また../ などを 使 用 したディレクトリ トラバーサル 攻 撃 を 回 避 する ために basename()などの パス 名 からファイル 名 のみを 取 り 出 す API を 利 用 して filename に 与 えられたパス 名 からディレクトリ 名 を 取 り 除 くようにします 13

16 保 険 的 対 策 1.3 パス 名 パラメータの 未 チェック/ディレクトリ トラバーサル 2) ウェブサーバ 内 のファイルへのアクセス 権 限 の 設 定 を 正 しく 管 理 する これは 攻 撃 による 影 響 を 低 減 するための 対 策 です ウェブサーバ 内 に 保 管 しているファイルへのアクセス 権 限 が 正 しく 管 理 されていれ ば ウェブアプリケーションが 任 意 ディレクトリのファイルを 開 く 処 理 を 実 行 しようとして も ウェブサーバ 側 の 機 能 でそのアクセスを 拒 否 できる 場 合 があります 3) ファイル 名 のチェックを 行 う これは 上 記 根 本 的 解 決 を 実 施 できない 場 合 や 対 策 に 漏 れが 生 じる 懸 念 がある 場 合 にセーフティネットとなる 対 策 です ファイル 名 を 指 定 した 入 力 パラメータの 値 から "/" "../" "..\" など OSのパ ス 名 解 釈 でディレクトリを 指 定 できる 文 字 列 を 検 出 した 場 合 は 処 理 を 中 止 します ただ し URL のデコード 処 理 を 行 っている 場 合 は URL エンコードした "%2F" "..%2F" "..%5C" さらに 二 重 エンコードした "%252F" "..%252F" "..%255C" がファイル 指 定 の 入 力 値 として 有 効 な 文 字 列 となる 場 合 があります チェックを 行 うタイミングに 注 意 してください 以 上 の 対 策 により パス 名 パラメータを 悪 用 した 攻 撃 に 対 する 安 全 性 の 向 上 が 期 待 できます 本 脆 弱 性 に 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 4. パス 名 パラメータの 未 チェック/ディ レクトリ トラバーサル IPA: セキュア プログラミング 講 座 プログラムからのファイル 流 出 対 策 14

17 1.4 セッション 管 理 の 不 備 1.4 セッション 管 理 の 不 備 ウェブアプリケーションの 中 には セッション ID( 利 用 者 を 識 別 するための 情 報 )を 発 行 し セッション 管 理 を 行 っているものがあります このセッション ID の 発 行 や 管 理 に 不 備 がある 場 合 悪 意 のある 人 にロ グイン 中 の 利 用 者 のセッション ID を 不 正 に 取 得 され その 利 用 者 に 成 りすましてアクセスされてしまう 可 能 性 があります この 問 題 を 悪 用 した 攻 撃 手 法 は セッション ハイジャック と 呼 ばれています セッションIDの 推 測 悪 意 のある 人 は セッションIDの 生 成 規 則 を 割 り 出 し 有 効 なセッションIDを 推 測 します 悪 意 のある 人 ウェブサイト セッションID:sid=abcd 発 行 され たセッションID を 元 に 生 成 規 則 を 割 り 出 す 利 用 者 セッションID:sid=abcd 利 用 者 がログインする セッションID:sid=abcd1236 ウェブ アプリケーション セッションID:sid=abcd1236 成 りすまし 3. 利 用 者 のセッションIDを 推 測 し 利 用 者 に 成 りすます セッションIDの 盗 用 悪 意 のある 人 は 罠 を 仕 掛 けたり ネットワークを 盗 聴 したりし 利 用 者 のセッションIDを 盗 みます 利 用 者 1. 利 用 者 がログインする ウェ ブサイトが 利 用 者 に 発 行 したセッションID ウェブサイト 悪 意 のある 人 2-a. 罠 にかかった 利 用 者 が セッションIDを 悪 意 のある 人 に 渡 してしまう 悪 意 のある 人 が 用 意 した 罠 2-b.ネットワークを 盗 聴 し 利 用 者 のセッ ションIDを 取 得 する ウェブ アプリケーション 罠 や 盗 聴 により 入 手 したセッションID 3. 入 手 したセッションIDを 利 用 し 利 用 者 に 成 りすます 成 りすまし 15

18 1.4 セッション 管 理 の 不 備 また 推 測 や 盗 用 以 外 に セッション 管 理 の 不 備 を 狙 ったもう 一 つの 攻 撃 手 法 として 悪 意 ある 人 があ 10 らかじめ 用 意 したセッション ID を 何 らかの 方 法 で 利 用 者 に 送 り 込 む 手 法 があります 利 用 者 がこれ に 気 付 かずにパスワードを 入 力 するなどしてログインすると 悪 意 のある 人 はこのあらかじめ 用 意 したセ ッション ID を 利 用 し 利 用 者 に 成 りすましてアクセスすることができてしまいます このような 攻 撃 手 法 は セッション ID の 固 定 化 (Session Fixation) と 呼 ばれています セッションIDの 固 定 化 (Session Fixation) 悪 意 のある 人 は 何 らかの 方 法 で 自 分 が 取 得 したセッションIDを 利 用 者 に 送 り 込 み 利 用 者 のログインを 狙 って その 利 用 者 に 成 りすまします 悪 意 のある 人 1. 悪 意 のある 人 が 自 分 用 のセッションIDを 取 得 する ウェブサイト 2. 何 らかの 方 法 で 自 分 が 取 得 したセッション IDを 利 用 者 に 送 り 込 む 利 用 者 悪 意 のある 人 用 に 作 成 されたセッションID 3. 利 用 者 が 悪 意 のある 人 に 送 り 込 ま れたセッションIDを 使 ってログインする ウェブ アプリケーション 4. 悪 意 のある 人 用 のセッションIDが 利 用 者 のIDでログインした 状 態 となる 5.あらかじめ 取 得 したセッションID でアクセスし 利 用 者 に 成 りすます 成 りすまし 10 用 意 したセッション ID を 利 用 者 に 送 り 込 むことができてしまうのは 次 のいずれかに 該 当 する 場 合 です 1. ウェブアプリケーションがセッション ID を POST メソッドの hidden パラメータに 格 納 して 受 け 渡 しする 実 装 となってい る 場 合 2. ウェブアプリケーションがセッション ID を Cookie に 格 納 して 受 け 渡 しする 実 装 となっている 場 合 で 利 用 者 のウェブ ブラウザが ドメインをまたがった Cookie のセットができてしまう Cookie Monster( 1) と 呼 ばれる 問 題 を 抱 えて いる 場 合 3. ウェブアプリケーションがセッション ID を Cookie に 格 納 して 受 け 渡 しする 実 装 となっている 場 合 で ウェブアプリケー ションサーバ 製 品 に Session Adoption( 2) の 脆 弱 性 がある 場 合 4. ウェブアプリケーションにクロスサイト スクリプティング( 後 述 1.5 参 照 )など 他 の 脆 弱 性 がある 場 合 1 Multiple Browser Cookie Injection Vulnerabilities 2 Session Fixation Vulnerability in Web-based Applications 16

19 1.4 セッション 管 理 の 不 備 発 生 しうる 脅 威 セッション 管 理 の 不 備 を 狙 った 攻 撃 が 成 功 した 場 合 攻 撃 者 は 利 用 者 に 成 りすまし その 利 用 者 本 人 に 許 可 されている 全 ての 操 作 を 不 正 に 行 う 可 能 性 があります 具 体 的 には 次 の 脅 威 が 発 生 します - ログイン 後 の 利 用 者 のみが 利 用 可 能 なサービスの 悪 用 不 正 送 金 商 品 購 入 退 会 処 理 など - ログイン 後 の 利 用 者 のみが 編 集 可 能 な 情 報 の 改 ざん 新 規 登 録 各 種 設 定 の 変 更 ( 管 理 者 画 面 パスワードなど) 掲 示 板 への 不 適 切 な 書 き 込 み など - ログイン 後 の 利 用 者 のみが 閲 覧 可 能 な 情 報 の 閲 覧 非 公 開 の 個 人 情 報 ウェブメール コミュニティ 会 員 専 用 の 掲 示 板 など 注 意 が 必 要 なウェブサイトの 特 徴 運 営 主 体 やウェブサイトの 性 質 を 問 わず ログイン 機 能 を 持 つウェブサイト 全 般 に 注 意 が 必 要 な 問 題 です ログイン 後 に 決 済 処 理 などの 重 要 な 処 理 を 行 うサイトは 攻 撃 による 被 害 が 大 きくなるため 特 に 注 意 が 必 要 です - 金 銭 処 理 が 発 生 するサイト ネットバンキング ネット 証 券 ショッピング オークション など - 非 公 開 情 報 を 扱 うサイト 転 職 サイト コミュニティサイト ウェブメール など - その 他 ログイン 機 能 を 持 つサイト 管 理 者 画 面 会 員 専 用 サイト 日 記 サイト など 届 出 状 況 セッション 管 理 の 不 備 に 関 する 届 出 は ウェブサイトの 届 出 全 体 に 占 める 割 合 は 数 パーセントと 多 くは ありませんが 受 付 開 始 当 初 から 継 続 して 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です Aipo におけるセッション 固 定 の 脆 弱 性 Movable Type におけるセッション 管 理 の 脆 弱 性 17

20 根 本 的 解 決 1.4 セッション 管 理 の 不 備 1) セッション ID を 推 測 が 困 難 なものにする これは 有 効 なセッション ID を 推 測 によって 第 三 者 に 使 用 されてしまうことを 回 避 する ために 必 要 な 実 装 です セッション ID が 時 刻 情 報 などを 基 に 単 純 なアルゴリズムで 生 成 されている 場 合 そ の 値 は 第 三 者 に 容 易 に 予 測 されてしまいます 利 用 者 がログインするタイミングで 発 行 されるセッション ID の 値 が 推 測 されてしまうと 悪 意 ある 人 がそのセッション ID を 使 っ て 利 用 者 に 成 りすまし アクセスできてしまいます セッション ID は 生 成 アルゴリズム に 安 全 な 擬 似 乱 数 生 成 系 を 用 いるなどして 予 測 困 難 なものにしてください 2) セッション ID を URL パラメータに 格 納 しないようにする これは セッション ID が Referer によってリンク 先 サイト 等 に 漏 洩 するのを 防 止 するため に 必 要 な 実 装 です セッション ID を URL パラメータに 格 納 していると 利 用 者 のブラウザが Referer 送 信 機 能 によって セッション ID の 含 まれた URL をリンク 先 のサイトへ 送 信 してしまいます 悪 意 ある 人 がその URL を 入 手 すると 利 用 者 になりすましてアクセスできてしまいます セッション ID は Cookie に 格 納 するか または POST メソッドの hidden パラメータに 格 納 して 受 け 渡 しするようにします ウェブアプリケーションサーバ 製 品 によっては 利 用 者 が Cookie の 受 け 入 れを 拒 否 し ている 場 合 に セッション ID を URL パラメータに 格 納 する 実 装 に 自 動 的 に 切 り 替 えてしま うものがあります そのような 機 能 は 設 定 などで 無 効 化 することを 検 討 してください 3) HTTPS 通 信 で 利 用 する Cookie には secure 属 性 を 加 える 参 考 URL これは 盗 聴 による Cookie の 不 正 取 得 を 防 止 するための 方 法 です ウェブサイトが 発 行 する Cookie には secure 属 性 という 設 定 項 目 があり これが 設 定 さ れた Cookie は HTTPS 通 信 のみで 利 用 されます Cookie に secure 属 性 がない 場 合 HTTPS 通 信 で 発 行 した Cookie は 経 路 が 暗 号 化 されていない HTTP 通 信 でも 利 用 され るため この HTTP 通 信 の 盗 聴 により Cookie 情 報 を 不 正 に 取 得 されてしまう 可 能 性 があ ります HTTPS 通 信 で 利 用 する Cookie には secure 属 性 を 必 ず 加 えてください また HTTP 通 信 で Cookie を 利 用 する 場 合 は HTTPS で 発 行 する Cookie とは 別 のものを 発 行 してください IPA: 経 路 のセキュリティと 同 時 にセキュアなセッション 管 理 を 18

21 4-1)ログイン 成 功 後 に 新 しくセッションを 開 始 するようにする 1.4 セッション 管 理 の 不 備 これは セッション ID の 固 定 化 (Session Fixation) 攻 撃 に 対 して 安 全 な 実 装 です ウェブアプリケーションによっては ユーザがログインする 前 の 段 階 ( 例 えばサイトの 閲 覧 を 開 始 した 時 点 )でセッション ID を 発 行 してセッションを 開 始 し そのセッションをログイ ン 後 も 継 続 して 使 用 する 実 装 のものがありますが この 実 装 はセッション ID の 固 定 化 攻 撃 に 対 して 脆 弱 な 場 合 があります このような 実 装 を 避 け ログインが 成 功 した 時 点 から 新 しいセッションを 開 始 する( 新 しいセッション ID でセッション 管 理 をする)ようにします ま た 新 しいセッションを 開 始 する 際 には 既 存 のセッション ID を 無 効 化 します 11 こうするこ とにより 悪 意 のある 人 が 事 前 に 手 に 入 れたセッション ID でアクセスしても ログイン 後 の セッションにアクセスされることはなくなります 4-2) ログイン 成 功 後 に 既 存 のセッション ID とは 別 に 秘 密 情 報 を 発 行 し ページの 遷 移 毎 にその 値 を 確 認 する 12 これは 利 用 者 のログイン 前 後 で 同 じセッション ID を 使 う 実 装 を 採 用 している 場 合 に おいて セッション ID の 固 定 化 攻 撃 に 対 して 安 全 となる 実 装 です セッション ID とは 別 に ログイン 成 功 時 に 秘 密 情 報 を 作 成 して Cookie にセットし こ の 秘 密 情 報 と Cookie の 値 が 一 致 することを 全 てのページで 確 認 するようにします な お この 秘 密 情 報 の 作 成 には 前 述 の 根 本 的 解 決 1) の セッション ID を 推 測 が 困 難 なも のにする と 同 様 の 生 成 アルゴリズム( 安 全 な 擬 似 乱 数 生 成 系 など)や 暗 号 処 理 を 用 い ます 上 記 根 本 的 解 決 4-1) の 実 装 方 法 を 採 用 している 場 合 や セッション ID をログイン 前 には 発 行 せず ログイン 成 功 後 に 発 行 する 実 装 のウェブアプリケーションでは 本 体 策 は 不 要 です 11 ログイン 後 にログイン 前 のセッション 情 報 を 引 き 継 ぐ 必 要 がある 場 合 には セッションデータのコピー 方 式 に 注 意 が 必 要 です オブジェクト 変 数 を 浅 いコピー (shallow copy) で 引 き 継 いだ 場 合 ログイン 前 セッションとログイン 後 セッションが 同 一 のデータを 共 有 して 参 照 することになり ログイン 前 のセッション ID によるアクセスで ログイン 後 セッションのデー タの 一 部 を 操 作 できてしまう 危 険 性 があります また ログイン 後 セッションのデータを ログイン 前 のセッション ID によ るアクセスで 閲 覧 できてしまうことが 脆 弱 性 となる 場 合 も 考 えられます これを 防 止 するには 深 いコピー (deep copy) で 引 き 継 ぐ 方 法 も 考 えられますが それだけではデータベースへの 参 照 の 共 有 や 一 時 ファイルへの 参 照 の 共 有 など が 残 り 脆 弱 性 となる 場 合 もあると 考 えられるので ログイン 成 功 時 にログイン 前 のセッションを 破 棄 する 方 法 をお 勧 め します 12 一 部 のウェブアプリケーションサーバ 製 品 では このような 処 理 を 自 動 的 に 行 う 実 装 のものもあります 19

22 1.4 セッション 管 理 の 不 備 保 険 的 対 策 5) セッション ID を 固 定 値 にしない これは セッション ハイジャックが 行 われる 可 能 性 を 低 減 する 対 策 です 発 行 するセッション ID が 利 用 者 ごとに 固 定 の 値 である 場 合 この 情 報 が 攻 撃 者 に 入 手 されると 時 間 の 経 過 に 関 係 なく いつでもセッション ハイジャックを 行 われてしまい ます セッション ID は 利 用 者 のログイン 毎 に 新 しく 発 行 し 固 定 値 にしないようにしてく ださい 6) セッション ID を Cookie にセットする 場 合 有 効 期 限 の 設 定 に 注 意 する これは Cookie が 盗 まれてしまう 可 能 性 を 低 減 する 対 策 です Cookie は 有 効 期 限 が 過 ぎるまでブラウザに 保 持 されるため ブラウザの 脆 弱 性 を 悪 用 するなど 何 らかの 方 法 で Cookie を 盗 むことが 可 能 な 場 合 その 時 点 で 保 持 されてい た Cookie が 盗 まれてしまう 可 能 性 があります Cookie を 発 行 する 場 合 は 有 効 期 限 の 設 定 に 注 意 してください たとえば Cookie の 有 効 期 限 を 短 い 日 時 に 設 定 し 必 要 以 上 の 期 間 Cookie がブラ ウザに 保 存 されないようにします なお Cookie をブラウザに 残 す 必 要 が 無 い 場 合 は 有 効 期 限 の 設 定 (expires=)を 省 略 し 発 行 した Cookie をブラウザ 終 了 後 に 破 棄 させる 方 法 もあります しかし この 方 法 は 利 用 者 がブラウザを 終 了 させずに 使 い 続 けた 場 合 Cookie は 破 棄 されないため 期 待 する 効 果 を 得 られない 可 能 性 があります 以 上 の 対 策 により セッション ハイジャックに 対 する 安 全 性 の 向 上 が 期 待 できます セッション 管 理 に 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 6. セッション 管 理 の 不 備 IPA: セキュア プログラミング セッション 乗 っ 取 り IPA: セッション 管 理 IPA: セッション 管 理 の 留 意 点 産 業 技 術 総 合 研 究 所 高 木 浩 光 : CSRF と Session Fixation の 諸 問 題 について 20

23 1.5 クロスサイト スクリプティング 1.5 クロスサイト スクリプティング ウェブアプリケーションの 中 には 検 索 のキーワードや 個 人 情 報 登 録 時 の 確 認 画 面 掲 示 板 ウェブ のログ 統 計 画 面 など 利 用 者 からの 入 力 内 容 や HTTP ヘッダの 情 報 を 処 理 し ウェブページとして 出 力 するものがあります ここで ウェブページへの 出 力 処 理 に 問 題 がある 場 合 そのウェブページにスクリ プトを 埋 め 込 まれてしまう 可 能 性 があります この 問 題 を 悪 用 した 攻 撃 手 法 の 一 つに クロスサイト ス クリプティング があります クロスサイト スクリプティングの 影 響 は ウェブサイト 自 身 に 対 してではなく そのウェブサイトのページを 閲 覧 している 利 用 者 に 及 びます クロスサイト スクリプティング ウェブアプリケーションにスクリプトを 埋 め 込 むことが 可 能 な 脆 弱 性 がある 場 合 これを 悪 用 した 攻 撃 により 利 用 者 のブラウザ 上 で 不 正 なスクリプトが 実 行 されてしまう 可 能 性 があります 悪 意 のある 人 が 用 意 した 罠 ページ 1-a. 罠 とは 知 ら ず 悪 意 あるサイト の 罠 ページを 閲 覧 利 用 者 のブラウザ クリック! ウェブサイト 悪 意 の ある 人 1-b. 罠 リンクを 含 むメールを 送 信 利 用 者 のメーラ リンク 2.クリック 等 により スクリ プトを 含 む 文 字 列 を 送 信 ウェブ アプリケーション Cookie 漏 えい 5.スクリプトの 内 容 によって はCookie 情 報 などが 漏 えい 利 用 者 スクリプト 実 行 偽 ページ の 表 示 4. 利 用 者 のブラウザ 上 でスクリプトが 実 行 3.スクリプトを 含 む ウェブページを 出 力 発 生 しうる 脅 威 クロスサイト スクリプティング 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - 本 物 サイト 上 に 偽 のページが 表 示 される 偽 情 報 の 流 布 による 混 乱 フィッシング 詐 欺 による 重 要 情 報 の 漏 えい など - ブラウザが 保 存 している Cookie を 取 得 される Cookie にセッション ID が 格 納 されている 場 合 さらに 利 用 者 への 成 りすましにつながる 13 Cookie に 個 人 情 報 などが 格 納 されている 場 合 その 情 報 が 漏 えいする - 任 意 の Cookie をブラウザに 保 存 させられる セッション ID が 利 用 者 に 送 り 込 まれ セッション ID の 固 定 化 14 攻 撃 に 悪 用 される セッション 管 理 の 不 備 で した 発 生 しうる 脅 威 と 同 じ 内 容 です 21

24 注 意 が 必 要 なウェブサイトの 特 徴 1.5 クロスサイト スクリプティング 運 営 主 体 やウェブサイトの 性 質 を 問 わず あらゆるサイトにおいて 注 意 が 必 要 な 問 題 です Cookie を 利 用 してログインのセッション 管 理 を 行 っているサイトや フィッシング 詐 欺 の 攻 撃 ターゲットになりやすい ページ(ログイン 画 面 個 人 情 報 の 入 力 画 面 など)を 持 つサイトは 特 に 注 意 が 必 要 です - 狙 われやすいページの 機 能 例 入 力 内 容 の 確 認 表 示 (ログイン 画 面 会 員 登 録 アンケートなど) 誤 入 力 に 伴 う 再 入 力 表 示 検 索 結 果 の 表 示 エラー 表 示 コメントの 反 映 (ブログ 掲 示 板 など) など 届 出 状 況 クロスサイト スクリプティングの 届 出 件 数 は 他 の 脆 弱 性 に 比 べて 最 も 多 く 届 出 受 付 開 始 から 2007 年 12 月 末 までに ウェブサイトの 届 出 件 数 の 約 4 割 に 相 当 する 届 出 を 受 けています また ソフトウェア 製 品 においても 多 数 の 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 された ソフトウェア 製 品 の 例 です Nagios におけるクロスサイト スクリプティングの 脆 弱 性 Sun Java System Web Server および Sun Java System Web Proxy Server における クロスサイト スクリプティングの 脆 弱 性 Google Web Toolkit におけるクロスサイト スクリプティングの 脆 弱 性 対 策 について クロスサイト スクリプティングへの 対 策 は ウェブアプリケーションの 性 質 に 合 わせ 下 記 の3つに 分 類 しています 1) HTML テキストの 入 力 を 許 可 しない 場 合 の 対 策 2) HTML テキストの 入 力 を 許 可 する 場 合 の 対 策 3) 全 てのウェブアプリケーションに 共 通 の 対 策 1) に 該 当 するウェブアプリケーションの 例 には 検 索 機 能 や 個 人 情 報 の 登 録 など HTML タグなどを 用 いた 入 力 を 許 可 する 必 要 がないものが 挙 げられます 多 くのウェブアプリケーションがこちらに 該 当 す るはずです 2) に 該 当 するウェブアプリケーションの 例 には 自 由 度 の 高 い 掲 示 板 やブログなどが 挙 げられます 14 セッション ID の 固 定 化 については p16 を 参 照 してください 22

25 1.5 クロスサイト スクリプティング たとえば 利 用 者 が 入 力 文 字 の 色 やサイズを 指 定 できる 機 能 などを 実 装 するために HTML テキストの 入 力 を 許 可 する 場 合 があるかもしれません 3) は 1) 2) の 両 者 のウェブアプリケーションに 共 通 して 有 効 な 対 策 です HTML テキストの 入 力 を 許 可 しない 場 合 の 対 策 根 本 的 解 決 1) ウェブページに 出 力 する 全 ての 要 素 に 対 して エスケープ 処 理 を 施 す これは スクリプト 埋 め 込 みの 原 因 を 作 らない 実 装 です ウェブページを 構 成 する 要 素 として ウェブページの 本 文 や HTML タグの 属 性 値 など に 相 当 する 全 ての 出 力 要 素 にエスケープ 処 理 を 行 います エスケープ 処 理 には ウェ ブページの 表 示 に 影 響 する 特 別 な 記 号 文 字 ( < > & など)を HTML エンティ ティ 文 字 ( < > & など)に 置 換 する 方 法 があります また HTML タグを 出 力 する 場 合 は その 属 性 値 を 必 ず " (ダブルクォート)で 括 るように します そして " で 括 られた 属 性 値 に 含 まれる " を HTML エンティティ 文 字 " にエスケープします 脆 弱 性 防 止 の 観 点 からエスケープ 処 理 が 必 須 となるのは 外 部 からウェブアプリケ ーションに 渡 される 入 力 値 の 文 字 列 や データベースやファイルから 読 み 込 んだ 文 字 列 その 他 何 らかの 文 字 列 を 演 算 によって 生 成 した 文 字 列 などですが 必 須 であるか 不 必 要 であるかによらず テキストとして 出 力 するすべてに 対 してエスケープ 処 理 を 施 すよう 一 貫 したコーディングをすることで 対 策 漏 れを 防 止 することができます 2) URL を 出 力 するときは や で 始 まる URL のみを 許 可 するようにする これは スクリプト 埋 め 込 みの 原 因 を 作 らない 実 装 です URL には や から 始 まるものだけでなく javascript: の 形 式 で 始 まるものもあります ウェブページに 出 力 するリンク 先 や 画 像 の URL が 外 部 からの 入 力 に 依 存 する 形 で 動 的 に 生 成 される 場 合 その URL にスクリプ トが 含 まれていると クロスサイト スクリプティング 攻 撃 が 可 能 となる 場 合 が あります たとえば 利 用 者 から 入 力 された "リンク 先 の URL" を <a href="リンク 先 の URL">の 形 式 でウェブページに 出 力 するウェブアプリケーションは "リンク 先 の URL" に javascript: などから 始 まる 文 字 列 を 指 定 された 場 合 に スクリ プトを 埋 め 込 まれてしまう 可 能 性 があります リンク 先 の URL には や から 始 まる 文 字 列 のみを 許 可 する ホワイトリスト 方 式 で 実 装 して ください 23

26 1.5 クロスサイト スクリプティング 3) <script>...</script> 要 素 の 内 容 を 動 的 に 生 成 しないようにする これは スクリプト 埋 め 込 みの 原 因 を 作 らない 実 装 です ウェブページに 出 力 する<script>...</script> 要 素 の 内 容 が 外 部 からの 入 力 に 依 存 する 形 で 動 的 に 生 成 される 場 合 任 意 のスクリプトが 埋 め 込 まれてしまう 可 能 性 があります 危 険 なスクリプトだけを 排 除 する 方 法 も 考 えられますが 危 険 なスクリプト であることを 確 実 に 判 断 することは 難 しいため <script>...</script> 要 素 の 内 容 を 動 的 に 生 成 する 仕 様 は 避 けることが 望 まれます 4) スタイルシートを 外 部 サイトから 取 り 込 めるようにしない これは スクリプト 埋 め 込 みの 原 因 を 作 らない 実 装 です スタイルシートには expression() などを 利 用 してスクリプトを 記 述 すること ができるため 外 部 スタイルシートを 取 り 込 むことで 生 成 するウェブページに スクリプトが 埋 め 込 まれてしまう 可 能 性 があります 取 り 込 んだスタイルシート の 内 容 をチェックし 危 険 なスクリプトを 排 除 する 方 法 も 考 えられますが 確 実 に 排 除 することは 難 しいため スタイルシートを 外 部 から 指 定 可 能 な 仕 様 は 避 け ることが 望 まれます 保 険 的 対 策 5) 入 力 値 の 内 容 チェックを 行 う これは 上 記 根 本 的 解 決 を 実 施 できない 場 合 や 対 策 に 漏 れが 生 じる 懸 念 がある 場 合 にセーフティネットとなる 対 策 です 入 力 チェック 機 能 をウェブアプリケーションに 実 装 し 条 件 に 合 わない 値 を 入 力 された 場 合 は 処 理 を 先 に 進 めず 再 入 力 を 求 めるようにします ただし チェックを 通 過 した 後 の 演 算 処 理 の 結 果 がスクリプト 文 字 列 を 形 成 してしまう 場 合 などには 対 処 できないた め この 対 策 のみに 頼 ることはお 勧 めできません 24

27 1.5 クロスサイト スクリプティング HTML テキストの 入 力 を 許 可 する 場 合 の 対 策 根 本 的 解 決 6) 入 力 された HTML テキストから 構 文 解 析 木 を 作 成 し スクリプトを 含 まない 必 要 な 要 素 のみを 抽 出 す る これは スクリプト 埋 め 込 みの 原 因 を 作 らない 実 装 です 入 力 された HTML テキストに 対 して 構 文 解 析 を 行 い ホワイトリスト 方 式 で 許 可 す る 要 素 のみを 抽 出 します ただし これには 複 雑 なコーディングが 要 求 され 処 理 に 負 荷 がかかるといった 影 響 もあるため 実 装 には 十 分 な 検 討 が 必 要 です 保 険 的 対 策 7) 入 力 された HTML テキストから スクリプトに 該 当 する 文 字 列 を 排 除 する これは 根 本 的 解 決 6) を 実 施 できない 場 合 にセーフティネットとなる 対 策 です 入 力 された HTML テキストに 含 まれる スクリプトに 該 当 する 文 字 列 を 抽 出 し 排 除 し てください 抽 出 した 文 字 列 の 排 除 方 法 には 無 害 な 文 字 列 へ 置 換 することをお 勧 めし ます たとえば <script> や javascript: を 無 害 な 文 字 列 へ 置 換 する 場 合 <xscript> xjavascript: のように その 文 字 列 に 適 当 な 文 字 を 付 加 します 他 の 排 除 方 法 として 文 字 列 の 削 除 が 挙 げられますが 削 除 した 結 果 が 危 険 な 文 字 列 を 形 成 してしまう 可 能 性 があるため お 勧 めできません なお この 対 策 は 危 険 な 文 字 列 を 完 全 に 抽 出 することが 難 しいという 問 題 が あります ウェブブラウザによっては java script: や java( 改 行 コー ド)script: などの 文 字 列 を javascript: と 解 釈 してしまうため 単 純 なパタ ーンマッチングでは 危 険 な 文 字 列 を 抽 出 することができません このような ブ ラックリスト 方 式 による 対 策 のみに 頼 ることはお 勧 めできません 全 てのウェブアプリケーションに 共 通 の 対 策 根 本 的 解 決 8) HTTP レスポンスヘッダの Content-Type フィールドに 文 字 コード(charset)の 指 定 を 行 う これは ウェブアプリケーションが 文 字 列 を 扱 う 際 に 想 定 する 文 字 コード(charset)と ウェブブラウザが 画 面 表 示 の 際 に 前 提 とする 文 字 コードの 間 に 齟 齬 が 生 じた 場 合 に 生 じる クロスサイト スクリプティング 脆 弱 性 を 防 ぐ 対 策 です HTTP のレスポンスヘッダの Content-Type フィールドには Content-Type:text/ht ml; charset=utf-8 のように 文 字 コード(charset)を 指 定 することができますが この 指 定 を 省 略 した 場 合 ブラウザは 文 字 コードを 独 自 の 方 法 で 推 定 して 推 定 した 文 字 25

28 1.5 クロスサイト スクリプティング コードにしたがって 画 面 表 示 を 処 理 します たとえば 一 部 のブラウザにおいては HT ML テキストの 冒 頭 部 分 などに 特 定 の 文 字 列 が 含 まれていると 必 ず 特 定 の 文 字 コード として 処 理 されるという 挙 動 が 知 られています 攻 撃 者 は この 挙 動 を 悪 用 して 故 意 に 特 定 の 文 字 コードをブラウザに 選 択 させるよ うな 文 字 列 を 埋 め 込 んだうえ その 文 字 コードで 解 釈 した 場 合 にスクリプトのタグとなる ような 文 字 列 を 埋 め 込 みます たとえば HTML テキストに +ADw-script+AD4-alert(+ACI-test+ACI-)+ADsAPA- /script+ad4- という 文 字 列 が 埋 め 込 まれた 場 合 一 部 のブラウザはこれを UTF-7 の 文 字 コードでエンコードされた 文 字 列 として 識 別 します これが UTF-7 として 画 面 に 表 示 されると <script>alert('test');</script> として 扱 われるため スクリプトが 実 行 されてしまいます ウェブアプリケーションが 前 記 ) の エスケープ 処 理 を 施 して 正 しくクロスサ イト スクリプティング 対 策 をしている 場 合 であっても 本 来 対 象 とする 文 字 が UTF-8 や EUC-JP Shift_JIS などの 文 字 コードで 扱 われているため +ADw- などの 文 字 列 が エ スケープ 処 理 されることはありません この 問 題 を 防 ぐ 方 法 の 案 として エスケープ 処 理 の 際 に UTF-7 での 処 理 も 施 すと いう 方 法 が 考 えられますが UTF-7 のみを 想 定 すれば 万 全 かは 不 明 です また UTF- 7 を 前 提 に エスケープ 処 理 した 結 果 正 当 な 文 字 列 (たとえば +ADw- という 文 字 列 ) が 別 の 文 字 列 になってしまうという 本 来 の 機 能 に 支 障 をきたすという 不 具 合 が 生 じま す したがって この 問 題 を 解 決 するには Content-Type の 出 力 時 に charset の 指 定 を 省 略 しないようにします ウェブアプリケーションが HTML 出 力 時 に 想 定 している 文 字 コ ードを Content-Type の charset に 必 ず 指 定 するようにしてください 15 保 険 的 対 策 9) Cookie 情 報 の 漏 えい 対 策 として TRACE メソッドを 無 効 化 し 発 行 する Cookie に HttpOnly 属 性 を 加 える これは クロスサイト スクリプティング 脆 弱 性 の 脅 威 のうち ブラウザが 保 存 してい る Cookie を 取 得 される という 脅 威 をなくすことのできる 対 策 です HttpOnly は Cookie に 設 定 できる 属 性 のひとつで これが 設 定 された Cookie は HTML テキスト 内 のスクリプトからのアクセスが 禁 止 されます これにより ウェブサイト にクロスサイト スクリプティング 脆 弱 性 が 存 在 する 場 合 であっても その 脆 弱 性 によっ て Cookie を 盗 まれるという 事 態 を 防 止 できます 15 W3C 勧 告 HTML では ブラウザに 対 し 文 字 コードを 決 定 する 場 合 には 次 の 優 先 順 位 を 守 らねばならない とし ています( 1. HTTP ヘッダの Content-Type フィールドの charset パラメータ 2. META 要 素 で http-equiv 属 性 値 が Content-Type かつ value 属 性 の 値 に charset 情 報 があるもの 3. 外 部 リソースを 指 している 要 素 に 設 定 されている charset 属 性 値 したがって 文 字 コードの 指 定 箇 所 は 1.の HTTP ヘッダの Content-Type フィールドの charset パラメータ であること が 望 ましいと 考 えられます 26

29 1.5 クロスサイト スクリプティング 具 体 的 には Cookie を 発 行 する 際 に Set-Cookie:( 中 略 ) HttpOnly として 設 定 し ます なお この 対 策 を 採 用 する 場 合 には いくつかの 注 意 が 必 要 です まず ウェブサーバにおいて TRACE メソッド を 無 効 とする 必 要 があります TRACE メソッド が 有 効 である 場 合 サイトにクロスサイト スクリプティング 脆 弱 性 があると Cross-Site Tracing と 呼 ばれる 攻 撃 手 法 によって ブラウザから 送 信 される HTTP リク エストヘッダの 全 体 が 取 得 されてしまいます HTTP リクエストヘッダには Cookie 情 報 も 含 まれる 16 ため HttpOnly 属 性 を 加 えていても Cookie は 取 得 されてしまいます また HttpOnly 属 性 は 一 部 のブラウザが 独 自 拡 張 として 実 装 した 機 能 であり W3C 勧 告 や RFC 等 で 規 定 されておらず 対 応 しているブラウザも 限 定 されています 全 てのウェブサイト 閲 覧 者 に 有 効 な 対 策 ではありません 本 対 策 は クロスサイト スクリプティングの 脆 弱 性 のすべての 脅 威 をなくすものでは なく Cookie 漏 洩 以 外 の 脅 威 は 依 然 として 残 るものであること また 利 用 者 のブラウ ザによっては この 対 策 が 有 効 に 働 かない 場 合 があることを 理 解 した 上 で 対 策 の 実 施 を 検 討 してください 参 考 URL Microsoft: Mitigating Cross-site Scripting With HTTP-only Cookies Bugzilla@Mozilla: MSIE-extension: HttpOnly cookie attribute for cross-site scripting vulnerability prevention WhiteHat Security: Cross-Site Tracing 以 上 の 対 策 により クロスサイト スクリプティングに 対 する 安 全 性 の 向 上 が 期 待 できます クロスサイ ト スクリプティングに 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 2. クロスサイト スクリプティング IPA: セキュア プログラミング エコーバック 対 策 IPA: 情 報 セキュリティ 白 書 2007 年 版 ますます 多 様 化 するフィッシング 詐 欺 16 Basic 認 証 を 利 用 している 場 合 には ユーザ ID とパスワードも 取 得 されてしまいます 年 2 月 現 在 年 2 月 現 在 で 確 認 している HttpOnly 対 応 ブラウザは Internet Explorer 6.0 SP1 以 降 Internet Explorer 7.0 Firefox 以 降 27

30 1.6 CSRF(クロスサイト リクエスト フォージェリ) 1.6 CSRF ウェブサイトの 中 には サービスの 提 供 に 際 しログイン 機 能 を 設 けているものがあります ここで ログ インした 利 用 者 からのリクエストについて その 利 用 者 が 意 図 したリクエストであるかどうかを 識 別 する 仕 組 みを 持 たないウェブサイトは 外 部 サイトを 経 由 した 悪 意 のあるリクエストを 受 け 入 れてしまう 場 合 があ ります このようなウェブサイトにログインした 利 用 者 は 悪 意 のある 人 が 用 意 した 罠 により 利 用 者 が 予 期 しない 処 理 を 実 行 させられてしまう 可 能 性 があります この 問 題 を 悪 用 した 攻 撃 手 法 は CSRF (Cross-Site Request Forgeries/クロスサイト リクエスト フォージェリ) と 呼 ばれています CSRF (クロスサイト リクエスト フォージェリ) ウェブサイトにCSRFの 脆 弱 性 が ある 場 合 悪 意 ある 人 により 利 用 者 が 予 期 しない 処 理 を 実 行 さ せられてしまう 可 能 性 があります 利 用 者 1. 通 常 通 り ログイン ウェブサイト 2.セッション IDを 発 行 ウェブ アプリケーション (ログイン 用 ) 罠 サイト f 利 用 者 3.ログインし た 状 態 を 維 持 クリック! 設 定 変 更 悪 意 のある 人 4. 罠 とは 知 らず 悪 意 ある サイトの 罠 ページなどを 閲 覧 5.リンクのクリック 等 によ り 利 用 者 の 意 図 しない 攻 撃 リクエストをウェブアプリ ケーションに 送 信 強 制 投 稿 退 会 CSRFの 脆 弱 性 がある ウェブアプリケーション 発 生 しうる 脅 威 19 CSRF 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - ログインした 利 用 者 のみが 利 用 可 能 なサービスの 悪 用 不 正 送 金 商 品 購 入 退 会 処 理 など - ログインした 利 用 者 のみが 編 集 可 能 な 情 報 の 改 ざん 各 種 設 定 の 変 更 ( 管 理 者 画 面 パスワードなど) 掲 示 板 への 不 適 切 な 書 き 込 み など 注 意 が 必 要 なウェブサイトの 特 徴 19 前 述 1.4 セッション 管 理 の 不 備 における 脅 威 と 比 較 してみると 攻 撃 者 は ログインした 利 用 者 のみが 閲 覧 可 能 な 情 報 を 閲 覧 することができない という 違 いがあると 言 えます ただし パスワード 変 更 のように 次 の 攻 撃 ( 成 りすまし) に 繋 がる 攻 撃 が 成 功 した 場 合 には 情 報 漏 えいの 脅 威 も 発 生 する 可 能 性 があります 28

31 1.6 CSRF 次 の 技 術 を 利 用 してセッション 管 理 を 実 装 しているウェブサイトが CSRF 攻 撃 による 影 響 を 受 けます - Cookie を 用 いたセッション 管 理 - Basic 認 証 - SSL クライアント 認 証 また 上 記 を 実 装 するウェブサイトのうち ログイン 後 に 決 済 処 理 などの 重 要 な 処 理 を 行 うサイトは 攻 撃 による 被 害 が 大 きくなるため 特 に 注 意 が 必 要 です - 金 銭 処 理 が 発 生 するサイト ネットバンキング ネット 証 券 ショッピング オークション など - その 他 ログイン 機 能 を 持 つサイト 管 理 画 面 会 員 専 用 サイト 日 記 サイト など 届 出 状 況 CSRF に 関 する 届 出 は ウェブサイトの 届 出 全 体 に 占 める 割 合 は 数 パーセントと 多 くはありませんが ソフトウェア 製 品 の 届 出 を 含 め 2006 年 頃 から 継 続 的 に 届 出 を 受 けています たとえば ブロードバンド ルータなど 組 み 込 み 製 品 のウェブ 管 理 画 面 に 同 脆 弱 性 が 存 在 する 例 が 報 告 されています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です 複 数 のヤマハルーター 製 品 におけるクロスサイト リクエスト フォージェリの 脆 弱 性 AirStation シリーズ および BroadStation シリーズ における クロスサイト リクエスト フォージェリの 脆 弱 性 TeraStation HD-HTGL シリーズ における クロスサイト リクエスト フォージェリの 脆 弱 性 根 本 的 解 決 1)-1 処 理 を 実 行 するページを POST メソッドでアクセスするようにし その hidden パラメータ に 秘 密 情 報 が 挿 入 されるよう 前 のページを 自 動 生 成 して 実 行 ページではその 値 が 正 しい 場 合 のみ 処 理 を 実 行 するようにする これは CSRF に 対 して 脆 弱 な 原 因 を 作 らない 実 装 です 具 体 的 な 例 として 入 力 画 面 確 認 画 面 登 録 処 理 のようなページ 遷 移 を 考 えます まず 利 用 者 の 入 力 内 容 を 確 認 画 面 として 出 力 する 際 合 わせて 秘 密 情 報 を hidden パラメータ に 出 力 するようにします この 秘 密 情 報 は セッション 管 理 に 使 用 しているセッション ID を 用 いる 方 法 の 他 セッション ID とは 別 のもうひとつの ID( 第 2 セ 29

32 1.6 CSRF ッション ID)をログイン 時 に 生 成 して 用 いる 方 法 などが 考 えられます 生 成 する ID は 安 全 な 擬 似 乱 数 を 用 いて 第 三 者 に 予 測 困 難 なように 生 成 する 必 要 があります 次 に 確 認 画 面 から 登 録 処 理 のリクエストを 受 けた 際 は リクエスト 内 容 に 含 まれる hidden パ ラメータ の 値 と 秘 密 情 報 とを 比 較 し 一 致 しない 場 合 は 登 録 処 理 を 行 わないように します このような 実 装 であれば 攻 撃 者 が hidden パラメータ に 出 力 された 秘 密 情 報 を 入 手 できない 限 り 攻 撃 は 成 立 しません なお このリクエストは POST メソッドで 行 うようにします 20 GET メソッドで 行 った 場 合 外 部 サイトに 送 信 される Referer に 秘 密 情 報 が 含 まれてしまうことになるためです 1)-2 処 理 を 実 行 する 直 前 のページで 再 度 パスワードの 入 力 を 求 め 実 行 ページでは 入 力 されたパス ワードが 正 しい 場 合 のみ 処 理 を 実 行 するようにする これは CSRF に 対 して 脆 弱 な 原 因 を 作 らない 実 装 です この 対 策 方 法 は 上 記 1)-1 と 比 べて 実 装 が 簡 単 となる 場 合 があります たとえば ログイン 処 理 に Basic 認 証 を 用 いている 既 存 のシステムに 対 策 を 施 す 場 合 セッション ID が 存 在 せず 1)-1 の 対 策 をするには 新 たに 秘 密 情 報 を 作 る 必 要 がある 場 合 があり ます そのような 場 合 に 安 全 な 擬 似 乱 数 生 成 系 を 用 意 することが 容 易 でないならば この 1)-2 の 対 策 が 採 用 しやすいといえます ただし この 方 法 は 画 面 設 計 の 仕 様 変 更 を 要 する 対 策 であるため 場 合 によって は 採 用 できないかもしれません 実 装 の 変 更 だけで 対 策 をする 場 合 には 1)-1 または 1)-3 の 対 策 を 検 討 してください 1)-3 Referer が 正 しいリンク 元 かを 確 認 し 正 しい 場 合 のみ 処 理 を 実 行 するようにする これは CSRF に 対 して 脆 弱 な 原 因 を 作 らない 実 装 です Referer を 確 認 することにより 本 来 の 画 面 遷 移 を 経 ているかどうかを 判 断 すること ができます 確 認 できない 場 合 は 処 理 を 実 行 しないようにします Referer が 空 の 場 合 も 処 理 を 実 行 しないようにします これは Referer を 空 にしてページを 遷 移 する 方 法 が 存 在 するため 攻 撃 者 がその 方 法 を 利 用 して CSRF 攻 撃 を 行 う 可 能 性 があるた めです ただし ウェブサイトによっては 攻 撃 者 がそのウェブサイト 上 に 罠 を 設 置 することが できる 場 合 があり このようなサイトでは この 対 策 法 が 有 効 に 機 能 しない 可 能 性 があ ります また この 対 策 法 を 採 用 すると ブラウザやパーソナルファイアウォールなどの 設 定 で Referer を 送 信 しないようにしている 利 用 者 が そのサイトを 利 用 できなくなる 不 都 合 が 生 じます 本 対 策 の 採 用 には これらの 点 にも 注 意 してください 20 HTTP/1.1 の 仕 様 を 定 義 している RFC2616 には 機 密 性 の 求 められるデータの 送 信 には GET メソッドを 使 わず POST メソッドを 使 うべきである という 内 容 の 記 述 があります( Encoding Sensitive Information in URI's) RFC2616: Hypertext Transfer Protocol -- HTTP/

33 1.6 CSRF 保 険 的 対 策 2) 重 要 な 操 作 を 行 った 際 に その 旨 を 登 録 済 みのメールアドレスに 自 動 送 信 する これは CSRF 攻 撃 を 行 われた 場 合 に 早 期 発 見 につながる 実 装 です メールの 通 知 は 事 後 処 理 であるため CSRF 攻 撃 を 防 ぐことはできませんが 実 際 に 攻 撃 があった 場 合 に 利 用 者 が 異 変 に 気 付 くきっかけを 作 ることができます なお メ ール 本 文 には プライバシーに 関 わる 重 要 な 情 報 を 入 れないように 注 意 が 必 要 です 以 上 の 対 策 により CSRF 攻 撃 に 対 する 安 全 性 の 向 上 が 期 待 できます CSRF に 関 する 情 報 について は 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 3. CSRF (クロスサイト リクエスト フォー ジェリ) IPA: セキュア プログラミング 講 座 リクエスト 強 要 (CSRF) 対 策 産 業 技 術 総 合 研 究 所 高 木 浩 光 : CSRF と Session Fixation の 諸 問 題 について IPA: 情 報 セキュリティ 白 書 2006 年 度 版 ウェブサイトを 狙 う CSRF の 流 行 31

34 1.7 HTTP ヘッダ インジェクション 1.7 HTTP ヘッダ インジェクション ウェブアプリケーションの 中 には リクエストに 対 して 出 力 する HTTP レスポンスヘッダのフィールド 値 を 外 部 から 渡 されるパラメータの 値 などを 利 用 して 動 的 に 生 成 するものがあります たとえば HTTP リダイ レクションの 実 装 として パラメータから 取 得 したジャンプ 先 の URL 情 報 を Location ヘッダのフィールド 値 に 使 用 する 場 合 や 掲 示 板 等 において 入 力 された 名 前 等 を Set-Cookie ヘッダのフィールド 値 に 使 用 する 場 合 などが 挙 げられます ここで HTTP レスポンスヘッダへの 出 力 処 理 に 問 題 がある 場 合 攻 撃 者 は レスポンス 内 容 に 任 意 のヘッダフィールドを 追 加 したり 任 意 のボディを 作 成 したり 複 数 のレスポン スを 作 り 出 すような 攻 撃 を 仕 掛 ける 場 合 があります この 問 題 を 悪 用 した 攻 撃 手 法 は HTTP ヘッダ イン ジェクション と 呼 ばれ 特 に 複 数 のレスポンスを 作 り 出 す 攻 撃 は HTTP レスポンス 分 割 (HTTP Response Splitting) と 呼 ばれています HTTPヘッダ インジェクション 任 意 のレスポンスヘッダフィールドやレスポンスボディを 作 成 する 罠 が 仕 掛 けられ この 罠 を 踏 んだ 利 用 者 のブラウザで 偽 のページが 表 示 されたり スクリプトが 実 行 したり 任 意 のCookieを 保 存 させられたりする 可 能 性 があります 悪 意 のある 人 が 用 意 した 罠 ページ 1-a. 罠 とは 知 ら ず 悪 意 あるサイト の 罠 ページを 閲 覧 利 用 者 のブラウザ クリック! ウェブサイト 悪 意 の ある 人 1-b. 罠 リンクを 含 むメールを 送 信 利 用 者 のメーラ リンク 2.クリック 等 に より 罠 に 仕 掛 けられたリクエ ストを 送 信 HTTPヘッダ インジェクション の 脆 弱 性 がある ウェブ アプリケーション Cookie 漏 えい 5.スクリプトの 内 容 によって はCookie 情 報 などが 漏 えい Cookie 発 行 スクリプト 実 行 偽 ページ の 表 示 4. 利 用 者 のブラウザ 上 でスクリプ トが 実 行 されるなどの 脅 威 が 発 生 3. 任 意 のヘッダや ボディが 追 加 された ウェブページを 出 力 発 生 しうる 脅 威 本 脆 弱 性 を 突 いた 攻 撃 により 発 生 しうる 脅 威 は 次 のとおりです - クロスサイト スクリプティングの 脆 弱 性 により 発 生 しうる 脅 威 と 同 じ 脅 威 任 意 のレスポンスボディを 注 入 された 場 合 利 用 者 のブラウザ 上 で 偽 の 情 報 を 表 示 させられた り 任 意 のスクリプトを 埋 め 込 まれたりする 可 能 性 があります これは 前 述 1.5 クロスサイト ス クリプティング で した 発 生 しうる 脅 威 と 同 じ 脅 威 です 32

35 1.7 HTTP ヘッダ インジェクション - 任 意 の Cookie 発 行 Set-Cookie ヘッダを 注 入 された 場 合 任 意 の Cookie が 発 行 され 利 用 者 のブラウザに 保 存 さ れる 可 能 性 があります - キャッシュサーバのキャッシュ 汚 染 複 数 のレスポンスに 分 割 し 任 意 のレスポンスボディをリバースプロキシ 等 にキャッシュさせるこ とにより キャッシュ 汚 染 21 (ウェブページの 差 し 替 え)を 引 き 起 こし ウェブページの 改 ざんと 同 じ 脅 威 が 生 じます この 攻 撃 を 受 けたウェブサイトにアクセスする 利 用 者 は この 差 し 替 えられた 偽 のウェブページを 参 照 し 続 けることになります クロスサイト スクリプティングのように 攻 撃 を 受 けた 直 後 の 本 人 のみが 影 響 を 受 ける 場 合 に 比 べ キャッシュ 汚 染 による 脅 威 は 影 響 を 受 ける 対 象 が 広 く また 永 続 的 であることが 特 徴 です HTTPレスポンス 分 割 とキャッシュ 汚 染 分 割 されたレスポンスがキャッシュサーバにキャッシュされ このサイトの 利 用 者 が 差 し 替 えられた 偽 のウェブ ページを 閲 覧 してしまう 可 能 性 があります ウェブサイト 悪 意 のある 人 1.レスポンスを 分 割 し 偽 のページBを キャッシュさせる 攻 撃 リクエストを 送 信 HTTPヘッダインジェク ションの 脆 弱 性 がある ウェブアプリケーション 攻 撃 リクエスト キャッシュサーバ レスポンスA レスポンスB 利 用 者 3.キャッシュが 汚 染 さ れていることを 知 らずに ページBをリクエスト ページBとして キャッシュ 偽 のページ B ページ B 2. 一 つのHTTPレスポンスに 複 数 のHTTPレスポンスが 存 在 するように 出 力 ページ B 偽 のページB を 閲 覧 キャッシュされていた 本 来 の ページBが 差 し 替 えられる 21 HTTP レスポンス 分 割 によるキャッシュ 汚 染 については Watchfire 社 より 次 の 論 文 が 公 開 されています Watchfire: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics この 論 文 で 挙 げられている 脅 威 の 一 部 には プロキシサーバやウェブサーバ 製 品 の 脆 弱 性 を 原 因 とするものもありま す これら 製 品 の 脆 弱 性 については 同 様 の 脅 威 をもたらす HTTP Request Smuggling( 1) 脆 弱 性 および HTTP Response Smuggling( 2) 脆 弱 性 についても 注 意 してください 1Watchfire: HTTP Request Smuggling 2 Securityfocus: HTTP Response Smuggling 33

36 1.7 HTTP ヘッダ インジェクション 注 意 が 必 要 なウェブサイトの 特 徴 運 営 主 体 やウェブサイトの 性 質 を 問 わず HTTP レスポンスヘッダのフィールド 値 (Location ヘッダ Set-Cookie ヘッダなど)を 外 部 から 渡 されるパラメータの 値 から 動 的 に 生 成 する 実 装 のウェブアプリケ ーションに 注 意 が 必 要 な 問 題 です Cookie を 利 用 してログインのセッション 管 理 を 行 っているサイトや サイト 内 にリバースプロキシとしてキャッシュサーバを 構 築 しているサイトは 特 に 注 意 が 必 要 です 届 出 状 況 HTTP ヘッダ インジェクションの 届 出 は ウェブサイトの 届 出 全 体 に 占 める 割 合 は 数 パーセントと 多 く はありませんが 受 付 開 始 当 初 から 継 続 的 に 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です 複 数 のサイボウズ 製 品 における HTTP ヘッダ インジェクションの 脆 弱 性 CGI RESCUE 製 WebFORM における HTTP ヘッダ インジェクションの 脆 弱 性 根 本 的 解 決 1)-1 ヘッダの 出 力 を 直 接 行 わず ウェブアプリケーションの 実 行 環 境 や 言 語 に 用 意 されているヘッダ 出 力 用 API を 使 用 する これは HTTP レスポンスヘッダの 注 入 攻 撃 に 悪 用 される 改 行 コード を 適 切 に 処 理 する 実 装 です ウェブアプリケーションの 実 行 環 境 によっては Content-Type フィールドをはじめとす る HTTP レスポンスヘッダを プログラムで 直 接 出 力 するものがあります このような 環 境 で Location フィールド 等 を 直 接 出 力 する 場 合 に フィールド 値 に 式 の 値 をそのまま 出 力 すると 外 部 から 与 えられた 改 行 コードが 余 分 な 改 行 として 差 し 込 まれることになり ます HTTP ヘッダは 改 行 によって 区 切 られる 構 造 となっているため これを 許 すと 任 意 のヘッダフィールドや 任 意 のボディを 注 入 されたり レスポンスを 分 割 されたりする 原 因 となります ヘッダの 構 造 は 継 続 行 が 許 されるなど 単 純 なものではありませんので 実 行 環 境 に 用 意 されたヘッダ 出 力 用 の API を 使 用 することをお 勧 めします ただし 実 行 環 境 によっては ヘッダ 出 力 API が 改 行 コードを 適 切 に 処 理 しない 脆 弱 性 が 指 摘 されているものもあります その 場 合 には 修 正 パッチを 適 用 するか 適 用 でき ない 場 合 には 次 の 1)-2 または 2)の 対 策 をとります 34

37 1.7 HTTP ヘッダ インジェクション 1)-2 改 行 コードを 適 切 に 処 理 するヘッダ 出 力 用 API を 利 用 できない 場 合 は 改 行 を 許 可 しないよう 開 発 者 自 身 で 適 切 な 処 理 を 実 装 する これは 根 本 的 解 決 1)-1 で 取 り 上 げたヘッダ 出 力 用 API をもたない 実 行 環 境 や 言 語 を 利 用 している 場 合 か あるいはその API 自 体 に 脆 弱 性 が 存 在 し それが 修 正 され ていない 場 合 などに 実 装 すべき 内 容 です 例 えば 改 行 の 後 に 空 白 を 入 れることで 継 続 行 として 処 理 する 方 法 や 改 行 コード 以 降 の 文 字 を 削 除 する 方 法 改 行 が 含 まれていたらウェブページ 生 成 の 処 理 を 中 止 する 方 法 などが 考 えられます 保 険 的 対 策 2) 外 部 からの 入 力 の 全 てについて 改 行 コードを 削 除 する これは 上 記 根 本 的 解 決 を 実 施 できない 場 合 や 対 策 に 漏 れが 生 じる 懸 念 がある 場 合 にセーフティネットとなる 対 策 です 外 部 からの 入 力 の 全 てについて 改 行 コードを 削 除 します あるいは 改 行 コードだ けでなく 制 御 コード 全 てを 削 除 してもよいかもしれません ただし ウェブアプリケーシ ョンが TEXTAREA の 入 力 データなど 改 行 コードを 含 みうる 文 字 列 を 受 け 付 ける 必 要 がある 場 合 には 一 律 に 全 ての 入 力 に 対 して 処 理 を 行 うと そのウェブアプリケーション が 正 しく 動 作 しなくなるため 注 意 が 必 要 です 以 上 の 対 策 により HTTP ヘッダ インジェクション 攻 撃 に 対 する 安 全 性 の 向 上 が 期 待 できます HTTP ヘッダ インジェクションに 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 7. HTTP ヘッダ インジェクション IPA: セキュア プログラミング 講 座 HTTP レスポンスによるキャッシュ 偽 造 攻 撃 対 策 35

38 1.8 メールの 第 三 者 中 継 1.8 メールの 第 三 者 中 継 ウェブアプリケーションの 中 には 利 用 者 が 入 力 した 商 品 申 し 込 みやアンケートなどの 内 容 を 指 定 の メールアドレスに 送 信 する 機 能 を 持 つものがあります 一 般 に このメールアドレスは 固 定 で ウェブアプ リケーションの 管 理 者 以 外 の 人 は 変 更 できませんが 実 装 によっては 外 部 の 利 用 者 がこのメールアド レスを 自 由 に 指 定 できてしまう 場 合 があります この 問 題 を 悪 用 した 攻 撃 は メールの 第 三 者 中 継 と 呼 ばれています メールの 第 三 者 中 継 メール 送 信 機 能 を 持 つウェブアプリケーションに 問 題 がある 場 合 管 理 者 が 設 定 した 本 来 固 定 のメールアド レスではない 宛 先 にメールを 送 信 され 迷 惑 メール 送 信 の 踏 み 台 に 悪 用 される 可 能 性 があります 通 常 の 処 理 ウェブサイト 利 用 者 通 常 の 入 力 値 管 理 者 ( 宛 先 A) 管 理 者 が 設 定 した 固 定 の 宛 先 A 通 常 の 処 理 では 管 理 者 が 設 定 し た 宛 先 にメール が 送 信 される 問 題 の 処 理 悪 意 のある 人 細 工 された 入 力 値 メールの 第 三 者 中 継 の 脆 弱 性 がある ウェブ アプリケーション 管 理 者 が 設 定 して いない 宛 先 X,Y,Z 悪 意 のある 人 に 指 定 され た 任 意 の 宛 先 (X,Y,X) にメールが 送 信 される 宛 先 X 宛 先 Y 宛 先 Z 発 生 しうる 脅 威 メールの 第 三 者 中 継 が 行 われた 場 合 発 生 しうる 脅 威 は 次 のとおりです - メールシステムの 不 正 利 用 迷 惑 メール 送 信 の 踏 み 台 に 悪 用 される 注 意 が 必 要 なウェブサイトの 特 徴 メール 送 信 機 能 を 提 供 するウェブサイト 全 般 に 注 意 が 必 要 な 問 題 です たとえば 問 い 合 わせペー ジ や アンケート など 入 力 された 内 容 を 管 理 者 宛 にメールで 送 信 する 場 合 には 注 意 が 必 要 です 36

39 届 出 状 況 1.8 メールの 第 三 者 中 継 メールの 第 三 者 中 継 の 届 出 は ウェブサイトの 届 出 全 体 に 占 める 割 合 は 数 パーセントと 多 くはありま せんが 受 付 開 始 当 初 から 継 続 的 に 届 出 を 受 けています 下 記 は IPA が 届 出 を 受 け 同 脆 弱 性 の 対 策 が 施 されたソフトウェア 製 品 の 例 です MailDwarf においてメールの 不 正 送 信 が 可 能 な 脆 弱 性 BASP21 においてメールの 不 正 送 信 が 可 能 な 脆 弱 性 根 本 的 解 決 1) 外 部 からのパラメータをメールヘッダの 内 容 に 指 定 しない これは ウェブアプリケーションがメールの 第 三 者 中 継 に 悪 用 されないための 実 装 で す To Cc Bcc Subject などのメールヘッダの 内 容 が 外 部 からの 入 力 に 依 存 する 場 合 や メール 送 信 プログラムへの 出 力 処 理 に 問 題 がある 場 合 ヘッダおよび 本 文 を 含 むメール 全 体 を 改 ざんされ 任 意 の 宛 先 に 任 意 の 内 容 のメールを 送 信 されてし まう 可 能 性 があります たとえば フォームの hidden 形 式 で 指 定 したメールアドレスを 送 信 先 (To)とする 場 合 その hidden 形 式 のパラメータを 改 変 され 任 意 の 宛 先 にメール を 送 信 されてしまいます 外 部 からのパラメータをメールヘッダの 内 容 に 指 定 しない 実 装 をお 勧 めします 保 険 的 対 策 2) 外 部 からのパラメータをメールヘッダに 指 定 する 場 合 は 危 険 な 文 字 を 排 除 する これは 上 記 根 本 的 解 決 を 実 施 できない 場 合 にセーフティネットとなる 対 策 です 外 部 からのパラメータをメールヘッダに 指 定 する 場 合 は 危 険 な 文 字 を 排 除 してくだ さい たとえば Perl の open 関 数 を 利 用 したパイプ 出 力 で sendmail コマンドにメール 内 容 を 渡 している 場 合 メールヘッダの 内 容 に 該 当 する 変 数 に 対 して メールヘッダ の 区 切 りとして 認 識 される 改 行 コードを 許 可 しないようにします これにより 改 行 コードに 続 けて 任 意 の 他 のメールヘッダを 指 定 されたり さらに 続 けてメー ル 本 文 を 指 定 されたりするメール 内 容 の 改 変 を 回 避 することができます 37

40 1.8 メールの 第 三 者 中 継 以 上 の 対 策 により メールの 第 三 者 中 継 に 対 する 安 全 性 の 向 上 が 期 待 できます メールの 第 三 者 中 継 に 関 する 情 報 については 次 の 資 料 も 参 考 にしてください 参 考 URL IPA: 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 10. メール 不 正 中 継 IPA: セキュア プログラミング 講 座 メールの 第 三 者 中 継 対 策 38

41 1.9 アクセス 制 御 や 認 可 制 御 の 欠 落 1.9 アクセス 制 御 や 認 可 制 御 の 欠 落 ウェブサイトの 中 には 運 営 者 のセキュリティに 対 する 認 識 のなさから 不 適 切 な 設 計 で 作 成 されたウ ェブサイトが 運 用 されていることがあります 本 節 では 脆 弱 性 関 連 情 報 として 届 け 出 られた アクセス 制 御 や 認 可 制 御 などの 機 能 欠 落 に 伴 う 脆 弱 性 についての 対 策 を 紹 介 します アクセス 制 御 の 欠 落 根 本 的 解 決 1) アクセス 制 御 機 能 による 防 御 措 置 が 必 要 とされるウェブサイトには パスワードなどの 秘 密 情 報 の 入 力 を 必 要 とする 認 証 機 能 を 設 ける ウェブサイトで 非 公 開 とされるべき 情 報 を 取 り 扱 う 場 合 や 利 用 者 本 人 にのみデータ の 変 更 や 編 集 を 許 可 することを 想 定 する 場 合 などには アクセス 制 御 機 能 の 実 装 が 必 要 です しかし たとえば 個 人 情 報 を 閲 覧 できるウェブアプリケーションにおいて メールアド レスのみでログインできてしまうウェブサイトが 脆 弱 なウェブサイトとして 届 け 出 られた 事 例 があります 一 般 に メールアドレスは 他 人 にも 知 られ 得 る 情 報 であり そのような 情 報 の 入 力 だ けで 個 人 情 報 を 閲 覧 できてしまうのは アクセス 制 御 機 能 が 欠 落 していると 言 えます 22 パスワードなど(みだりに 第 三 者 に 知 らせてはならないものとして 一 般 に 考 えられて いる 情 報 )の 入 力 を 必 要 とするようウェブアプリケーションを 設 計 し 実 装 してください 認 可 制 御 の 欠 落 2) 認 証 機 能 に 加 えて 認 可 制 御 の 処 理 を 実 装 し ログイン 中 の 利 用 者 が 他 人 になりすましてアクセスで きないようにする ウェブサイトにアクセス 制 御 機 能 を 実 装 して 利 用 者 本 人 にのみデータの 閲 覧 や 変 更 などの 操 作 を 許 可 する 際 複 数 の 利 用 者 の 存 在 を 想 定 する 場 合 には どの 利 用 者 にどの 操 作 を 許 可 するかを 制 御 する 認 可 (Authorization) 制 御 の 実 装 が 必 要 となる 場 合 があります アクセス 制 御 機 能 が 装 備 されたウェブアプリケーションの 典 型 的 な 実 装 では ログイ 22 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 では 第 二 条 第 二 項 で 識 別 符 号 を 定 義 しており その 第 一 号 では 当 該 アクセス 管 理 者 によってその 内 容 をみだりに 第 三 者 に 知 らせてはならないものとされている 符 号 と 定 義 しています この 定 義 に 従 うと メールアドレスは 識 別 符 号 に 該 当 しないと 解 釈 され メールアドレスだけでログインする 仕 組 みは ア クセス 制 御 機 能 に 該 当 しないと 解 される 可 能 性 があります 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 : 39

42 1.9 アクセス 制 御 や 認 可 制 御 の 欠 落 ンした 利 用 者 にセッション ID を 発 行 してセッション 管 理 を 行 い アクセスごとにセッション ID からセッション 変 数 などを 介 して 利 用 者 ID を 取 得 できるように 構 成 されています 単 純 な 機 能 のウェブアプリケーションであれば その 利 用 者 ID をキーとしてデータベース の 検 索 や 変 更 を 行 うように 実 装 することができ この 場 合 は 利 用 者 のデータベースエ ントリしか 操 作 されることはないので 認 可 制 御 は 結 果 的 に 実 装 されていると 言 えま す しかし ウェブサイトによっては 利 用 者 ID を URL や POST のパラメータに 埋 め 込 ん でいる 画 面 が 存 在 することがあります そのような 外 部 から 与 えられる 利 用 者 ID をキー にしてデータベースを 操 作 する 実 装 になっていると ログイン 中 の 利 用 者 ならば 他 の 利 用 者 になりすまして 操 作 できてしまうという 脆 弱 性 となります これは 認 可 制 御 が 実 装 されていないために 生 じる 脆 弱 性 です データベースを 検 索 するための 利 用 者 ID が ログイン 中 の 利 用 者 ID と 一 致 しているかを 常 に 確 認 するよ う 実 装 するか または 利 用 者 ID を 外 部 から 与 えられるパラメータから 取 得 しないで セッション 変 数 から 取 得 するようにします また 他 の 例 として たとえば 注 文 番 号 などをキーとしてデータベースの 検 索 や 変 更 を 行 う 機 能 を 持 つウェブアプリケーションの 場 合 注 文 番 号 が URL や POST のパラメー タで 与 えられる 実 装 になっていると ログイン 中 の 利 用 者 であれば 他 人 用 に 発 行 され た 注 文 番 号 を URL や POST のパラメータに 指 定 することによって 他 の 利 用 者 にしか 閲 覧 できないはずの 注 文 情 報 などを 閲 覧 することができてしまう 脆 弱 性 が 生 じることがあ ります これも 認 可 制 御 が 実 装 されていないために 生 じる 脆 弱 性 です データベースを 検 索 するための 注 文 番 号 が ログイン 中 の 利 用 者 に 閲 覧 を 許 可 された 番 号 であるかどうか を 常 に 確 認 するように 実 装 してください 40

43 2.1 ウェブサーバのセキュリティ 対 策 2. ウェブサイトの 安 全 性 向 上 のための 取 り 組 み ここでは ウェブサイト 全 体 の 安 全 性 を 向 上 するための 取 り 組 みを 掲 載 しています 前 章 ウェブアプリ ケーションのセキュリティ 実 装 では 設 計 や 実 装 レベルでの 解 決 や 対 策 を 示 しましたが ここで 取 り 上 げ ている 内 容 は 主 に 運 用 レベルでの 解 決 や 対 策 となります 2.1 ウェブサーバのセキュリティ 対 策 ウェブアプリケーションのセキュリティ 対 策 が 十 分 でも ウェブサーバへの 不 正 侵 入 を 許 してしまっては 意 味 がありません ここで 示 す 項 目 は 一 般 に 知 られている 基 本 的 なことです 以 下 を 参 考 に 管 理 して いるウェブサーバの 設 定 や 運 用 に 問 題 がないかをご 確 認 ください 1) OS やソフトウェアの 脆 弱 性 情 報 を 継 続 的 に 入 手 し 脆 弱 性 への 対 処 を 行 う 参 考 URL これは 攻 撃 の 糸 口 を 与 えないための 運 用 です OS やソフトウェアの 脆 弱 性 をついた 攻 撃 を 受 けると たとえサーバへのアクセスに 認 証 をかけていても 不 正 侵 入 されてしまう 場 合 があります 脆 弱 性 は 日 々 発 見 されるの で OS やソフトウェアの 開 発 者 から 提 供 される 脆 弱 性 情 報 を 継 続 的 に 入 手 し ソフトウ ェアの 更 新 や 問 題 の 回 避 を 行 ってください IPA セキュリティセンター JVN (Japan Vulnerability Notes) JVN ipedia 脆 弱 性 対 策 情 報 データベース 2) ウェブサーバをリモート 操 作 する 際 の 認 証 方 法 として パスワード 認 証 以 外 の 方 法 を 検 討 する これは 認 証 強 度 を 高 める 運 用 です サーバ 管 理 の 上 で ウェブサーバのリモート 操 作 を 許 可 する 運 用 は 一 般 的 ですが その 際 の 認 証 方 法 にパスワード 認 証 のみを 利 用 している 場 合 総 当 り 攻 撃 などにより パスワード 認 証 を 突 破 されてしまう 可 能 性 があります より 高 い 安 全 性 を 確 保 するため の 方 法 として 暗 号 技 術 に 基 づく 公 開 鍵 認 証 などの 利 用 を 検 討 することをお 勧 めしま す 3) パスワード 認 証 を 利 用 する 場 合 は 十 分 に 複 雑 な 文 字 列 を 設 定 する これは 上 記 2) の 実 施 が 難 しい 場 合 に 必 要 な 運 用 です ウェブサーバへ 接 続 する 際 のパスワードには 十 分 に 複 雑 な 文 字 列 を 設 定 してくださ い また パスワードの 運 用 にについて 下 記 情 報 を 参 考 にすることをお 勧 めします 41

44 2.2 DNS 情 報 の 設 定 不 備 参 考 URL IPA: パスワードの 管 理 と 注 意 4) 不 要 なサービスやアカウントを 停 止 または 削 除 する これは 攻 撃 の 糸 口 を 与 えないための 運 用 です ウェブサイト 運 営 に 必 要 のないサービスがウェブサーバ 上 で 稼 動 している 場 合 その サービスに 対 する 管 理 が 十 分 でなく 脆 弱 性 が 存 在 するバージョンをそのまま 利 用 して いる 可 能 性 などが 考 えられます また 用 途 が 明 確 でないユーザアカウントが 存 在 して いる 場 合 そのアカウントに 対 する 管 理 が 十 分 でなく 不 正 利 用 される 可 能 性 が 考 えら れます 必 要 の 無 いサービスやアカウントは 停 止 または 削 除 してください 5) 公 開 を 想 定 していないファイルを ウェブ 公 開 用 のディレクトリ 以 下 に 置 かない これは 情 報 漏 えいを 回 避 するための 運 用 です ウェブ 公 開 用 のディレクトリに 保 管 されているファイル 群 は 基 本 的 に 外 部 から 閲 覧 することが 可 能 です 公 開 ウェブページにファイルへのリンクが 無 くても 外 部 から 直 接 指 定 することで 閲 覧 されてしまいます 公 開 を 想 定 していないファイルは ウェブ 公 開 用 のディレクトリに 保 管 しないようにしてください 安 全 なウェブサーバの 構 築 方 法 と 運 用 方 法 について 下 記 の 資 料 も 参 考 にしてください 参 考 URL IPA: セキュアな Web サーバの 構 築 と 運 用 に 関 するコンテンツ DNS 情 報 の 設 定 不 備 ウェブサイトが 利 用 しているドメイン 名 およびその DNS サーバについて 問 題 のある 運 用 や 設 定 は 悪 意 ある 人 によるドメイン 名 乗 っ 取 りにつながる 可 能 性 があります ドメイン 名 の 乗 っ 取 りを 行 われた 場 合 利 用 者 が 本 物 のウェブサイトの URL を 指 定 しても そのドメイン 名 を 乗 っ 取 った 人 が 用 意 したウェブサイ トに 接 続 してしまいます ドメイン 名 の 乗 っ 取 りによる 影 響 は ウェブサイトのみならず 電 子 メールなど のインターネットを 利 用 するサービス 全 てに 及 びます DNS に 関 する 問 題 ですが ウェブサイトにも 直 接 影 響 する 問 題 であるため 注 意 が 必 要 です 42

45 1) ドメイン 名 およびその DNS サーバの 登 録 状 況 を 調 査 し 必 要 に 応 じて 対 処 を 行 う 2.3 ネットワーク 盗 聴 への 対 策 参 考 URL これは ドメイン 乗 っ 取 りを 回 避 するための 対 策 です ドメイン 名 およびその DNS サーバについて 登 録 状 況 を 確 認 し 必 要 に 応 じて 対 処 を 行 ってください DNS サーバの 運 用 を 外 部 に 委 託 している 場 合 は その 委 託 先 に 対 処 を 依 頼 する 必 要 があります 詳 細 は 下 記 の 情 報 を 参 考 にして 下 さい IPA: ドメイン 名 の 登 録 と DNS サーバの 設 定 に 関 する 注 意 喚 起 ネットワーク 盗 聴 への 対 策 ウェブサイトと 利 用 者 の 間 で 交 わされる 情 報 は ネットワークの 盗 聴 によって 不 正 に 取 得 される 可 能 性 があります 通 信 や 情 報 が 暗 号 化 されていない 場 合 盗 聴 によって 取 得 された 情 報 が 悪 用 され 成 りす ましなどにつながる 可 能 性 があります ネットワーク 盗 聴 通 信 が 暗 号 化 されていない 場 合 ネットワーク 上 を 流 れる 情 報 が 盗 聴 され 重 要 情 報 が 不 正 に 取 得 される 可 能 性 があります 利 用 者 暗 号 化 せずに 認 証 情 報 を 送 信 ウェブサイト ********* 盗 聴 によって 認 証 情 報 を 不 正 に 取 得 User : hanako Password : F0oB4rbA2 悪 意 のある 人 利 用 者 に 成 りすまし てアクセス 成 りすまし ネットワーク 盗 聴 はウェブサイトと 利 用 者 との 経 路 上 で 行 われるため この 行 為 自 体 をウェブサイト 側 の 運 用 や 設 定 のみで 防 ぐことは 困 難 です しかし 盗 聴 による 影 響 を 低 減 することは 可 能 です 特 に 認 証 情 報 や 個 人 情 報 を 扱 うウェブサイトでは ネットワーク 盗 聴 への 対 策 として 次 の 内 容 を 検 討 してくださ い 43

46 1) 重 要 な 情 報 を 取 り 扱 うウェブページでは 通 信 経 路 を 暗 号 化 する 2.3 ネットワーク 盗 聴 への 対 策 これは 盗 聴 による 情 報 漏 えいを 回 避 するための 対 策 です 通 信 を 暗 号 化 する 主 な 手 段 として SSL(Secure Socket Layer)や TLS(Transport Layer Security)を 用 いた HTTPS 通 信 の 利 用 があります 個 人 情 報 の 登 録 ページや 認 証 情 報 をリクエストするログインページなど 保 護 するべき 情 報 を 扱 うウェブサイトでは 通 信 経 路 を 暗 号 化 することをお 勧 めします レンタルサーバを 利 用 してウェブサイトを 運 営 している 場 合 レンタルサーバのサービ スが HTTPS 通 信 を 提 供 していない 場 合 があります このようなウェブサイトで 重 要 情 報 を 扱 うことはお 勧 めできません 2) 利 用 者 へ 通 知 する 重 要 情 報 は メールで 送 らず 暗 号 化 された 表 示 する これは 盗 聴 による 情 報 漏 えいを 回 避 するための 対 策 です ウェブサイトの 運 営 によっては ウェブサイトの 利 用 者 に 個 人 情 報 やパスワードなど の 重 要 情 報 を 通 知 する 場 合 があります ここで ネットワークを 経 由 して 情 報 を 送 信 する 場 合 には 盗 聴 対 策 として 通 信 の 暗 号 化 か 重 要 情 報 の 暗 号 化 が 必 要 になります 暗 号 化 が 必 要 な 情 報 を 利 用 者 に 通 知 する 場 合 は HTTPS 通 信 を 利 用 し ウェブページ に 表 示 することをお 勧 めします メールを 利 用 する 場 合 には メール 本 文 の 暗 号 化 として S/MIME(Secure / Multipurpose Internet Mail Extensions)や PGP(Pretty Good Privacy)などの 技 術 があり ますが 利 用 者 側 に 暗 号 化 環 境 やプライベートキー( 秘 密 鍵 )が 必 要 となるため 現 実 的 ではないかもしれません 3) ウェブサイト 運 営 者 がメールで 受 け 取 る 重 要 情 報 を 暗 号 化 する 参 考 URL これは 盗 聴 による 情 報 漏 えいを 回 避 するための 対 策 です ウェブページに 入 力 された 個 人 情 報 などの 重 要 情 報 を ウェブアプリケーションに 実 装 されたメール 通 知 機 能 を 利 用 して ウェブサイト 運 営 者 がメールで 受 け 取 る 場 合 は S/MIME や PGP などを 利 用 してメールを 暗 号 化 するようにしてください S/MIME や PGP を 利 用 できない 場 合 には その 他 の 方 法 でメール 本 文 を 暗 号 化 するようにします なお 盗 聴 対 策 として メールサーバ 間 の 通 信 の 暗 号 化 (SMTP over SSL)やメール サーバとウェブサイト 運 営 者 との 通 信 の 暗 号 化 (POP/IMAP over SSL)なども 考 えられ ますが ネットワーク 構 成 によっては 途 中 経 路 が 暗 号 化 されない 可 能 性 があるため 安 全 とは 言 えません IPA: S/MIME を 利 用 した 暗 号 化 と 電 子 署 名 44

47 2.4 パスワードの 不 備 2.4 パスワードの 不 備 ウェブサイトにおける 利 用 者 の 認 証 は ユーザ ID とパスワードを 用 いる 方 法 が 一 般 的 です しかし パ スワードの 運 用 やウェブページ 上 のパスワードの 取 り 扱 い 方 法 に 問 題 がある 場 合 利 用 者 の 認 証 情 報 が 悪 意 ある 人 に 不 正 取 得 される 可 能 性 が 高 まります 認 証 情 報 の 不 正 取 得 推 測 や 盗 み 見 により 利 用 者 IDやパスワードが 不 正 に 取 得 される 可 能 性 があります 悪 意 のある 人 誕 生 日? 住 所? 名 前? 利 用 者 ID と 同 じ? 辞 書 に 載 っている? 認 証 情 報 の 不 正 取 得 の 手 段 の 一 つに ユーザ ID やパスワードの 推 測 があります これは 推 測 さ れやすい 単 純 なパスワードで 運 用 している 場 合 に 悪 用 される 手 段 ですが ウェブページの 表 示 方 法 によ っては さらに 推 測 のヒントを 与 えてしまう 場 合 があります 利 用 者 の 認 証 を 行 うウェブサイトでは 次 の 内 容 に 注 意 してください 1) 初 期 パスワードは 推 測 が 困 難 な 文 字 列 で 発 行 する 参 考 URL これは 認 証 情 報 の 推 測 を 困 難 にするための 対 策 です 初 期 パスワードは 乱 数 を 利 用 して 規 則 性 をなくし 可 能 であれば 英 数 字 や 記 号 を 含 めた 長 い 文 字 列 で 発 行 してください パスワード 発 行 に 規 則 性 がある 場 合 調 査 のため のテストユーザを 複 数 登 録 され その 際 に 発 行 されたパスワードから 規 則 性 を 導 き 出 さ れてしまうかもしれません 利 用 者 によっては 初 期 パスワードを 変 更 せずに 継 続 して 利 用 することも 考 えられるため 初 期 パスワードが 推 測 しやすい 仕 様 は 避 けるべきで す IPA: セキュア プログラミング ユーザ 認 証 対 策 パスワードフィルタ 2) パスワードの 変 更 には 現 行 パスワードの 入 力 を 求 める これは 第 三 者 がパスワードを 変 更 できないようにするための 対 策 です パスワード の 変 更 には 必 ず 現 行 パスワードの 入 力 を 求 めるようにしてください 45

48 3) 入 力 後 の 応 答 メッセージが 認 証 情 報 の 推 測 のヒントとならない 工 夫 をする 2.5 フィッシング 詐 欺 を 助 長 しないための 対 策 これは 認 証 情 報 の 推 測 を 困 難 にするための 対 策 です 認 証 画 面 で 利 用 者 が 入 力 を 誤 った 際 遷 移 後 の 画 面 で パスワードが 間 違 っています というエラーメッセージを 表 示 するものは ユーザ ID は 正 しく パスワードが 間 違 っている ということを 示 していること になります このような 表 示 内 容 は 登 録 されているユーザ ID の 割 り 出 しを 容 易 にしてし まうため お 勧 めできません 入 力 後 の 応 答 メッセージには ユーザ ID もしくはパスワ ードが 違 います というような 表 示 を 用 い 認 証 情 報 の 推 測 のヒントを 与 えない 工 夫 をし てください 4) パスワード 入 力 のフォームでは 入 力 文 字 列 を 伏 せ 字 で 表 示 する これは 認 証 情 報 の 盗 み 見 を 回 避 するための 対 策 です 利 用 者 が 入 力 したパスワード 文 字 列 は 伏 せ 字 (アスタリスク "*")で 表 示 してください 2.5 フィッシング 詐 欺 を 助 長 しないための 対 策 フィッシング 詐 欺 とは 悪 意 のある 人 が 金 融 サイトやショッピングサイトなどを 装 った 偽 のウェブサイト に 利 用 者 を 巧 みに 誘 導 し 利 用 者 の 認 証 情 報 やクレジットカード 番 号 などを 不 正 に 取 得 するものです フ ィッシング 詐 欺 の 回 避 には 利 用 者 側 の 注 意 が 必 要 ですが ウェブサイトの 運 用 によっては 利 用 者 の 注 意 を 妨 げ 結 果 としてフィッシング 詐 欺 を 助 長 してしまう 可 能 性 があります フィッシング 詐 欺 利 用 者 を 誘 導 し 巧 妙 に 作 成 した 偽 のウェブサイトを 本 物 のウェブサイトと 勘 違 いさせ 入 力 された 認 証 情 報 や 個 人 情 報 を 入 手 するものです 本 物 のウェブサイト 悪 意 のある 人 が 用 意 した 偽 のウェブサイト 利 用 者 悪 意 のある 人 1. 偽 のウェブサイトを 本 物 のウェブサイト と 思 い 込 み 認 証 情 報 やクレジットカード 番 号 を 入 力 してしまう 2. 利 用 者 から 入 力 され た 重 要 情 報 を 入 手 する 46

49 2.5 フィッシング 詐 欺 を 助 長 しないための 対 策 ウェブサイト 利 用 者 がフィッシング 詐 欺 の 被 害 に 遭 わないためには 利 用 者 自 身 がアクセスしたウェブ サイトを 注 意 深 く 確 認 し 本 物 のウェブサイトかどうかを 見 極 める 必 要 があります 利 用 者 が 本 物 のウェ ブサイトであることを 正 しく 確 認 できるよう ウェブサイト 運 営 者 は 次 の 点 を 検 討 してください 1) 実 在 証 明 書 付 きの SSL サーバ 証 明 書 を 取 得 し サイトの 運 営 者 が 誰 であるかを 証 明 する 参 考 URL これは ウェブサイトにアクセスした 利 用 者 に 対 し そのウェブサイトが 本 物 であること を 確 認 する 手 段 を 提 供 する 方 法 です サーバ 証 明 書 は SSL の 暗 号 化 通 信 を 正 しく 実 現 するために 必 要 なものですが 同 時 に ウェブサイトの 運 営 者 が 誰 であるかを 証 明 する 目 的 でも 利 用 することができま す 利 用 者 は パスワードやクレジットカード 番 号 などを 入 力 する 画 面 で サーバ 証 明 書 の 内 容 を 確 認 することで 閲 覧 中 のサイトの 運 営 者 が 誰 であるかを 確 認 できるようにな ります サーバ 証 明 書 には 認 証 局 より 署 名 された 正 規 のものを 使 用 してください 独 自 に 署 名 した 証 明 書 は 偽 造 された 証 明 書 と 区 別 できず 何 の 証 明 にもならないので 使 用 しな いでください なお 一 部 の 認 証 局 サービスには 実 在 証 明 のないサーバ 証 明 書 を 発 行 しているも のもあります 実 在 証 明 のないサーバ 証 明 書 は 正 規 のものであれば SSL 暗 号 化 通 信 は 正 しく 行 えますが 運 営 主 体 の 名 称 がホスト 名 で 記 載 されるため 運 営 者 が 誰 である かは 示 すことができません IPA: PKI 関 連 技 術 認 証 局 と 電 子 証 明 書 2) フレームを 利 用 する 場 合 子 フレームの URL を 外 部 パラメータから 生 成 しないように 実 装 する これは ウェブサイト 自 身 がフィッシング 詐 欺 に 悪 用 されることを 回 避 する 実 装 です フレームを 利 用 しているウェブページで 子 フレームの URL を 外 部 パラメータから 生 成 する 実 装 は フィッシング 詐 欺 に 悪 用 される 危 険 性 があります そのパラメータに 任 意 の URL を 指 定 したリンクを 仕 掛 けられた 場 合 そのリンクをアクセスした 利 用 者 は 本 物 サイトの 親 フレーム 内 に 偽 サイトのウェブページを 子 フレームとして 埋 め 込 まれた 画 面 を 閲 覧 することになります 表 示 上 のドメインは 本 物 であるため 利 用 者 が 子 フレームを 偽 サイトと 見 分 けることは 困 難 です 47

50 2.5 フィッシング 詐 欺 を 助 長 しないための 対 策 3) 利 用 者 がログイン 後 に 移 動 するページをリダイレクト 機 能 で 動 的 に 実 装 しているウェブサイトについ て リダイレクト 先 の URL として 使 用 されるパラメータの 値 には 自 身 のドメインのみを 許 可 するよう にする これは 対 象 のウェブサイトがフィッシング 詐 欺 に 悪 用 される 可 能 性 を 低 減 する 対 策 です ウェブサイトの 中 には 利 用 者 がログイン 後 に 閲 覧 可 能 な URL にログアウトした 状 態 でアクセスした 場 合 その URL 情 報 をパラメータの 値 などで 保 持 してログイン 画 面 を 表 示 し ログイン 成 功 後 に そのパラメータの 値 を 利 用 して 改 めてリダイレクトするものが あります しかし この リダイレクト 先 の URL として 使 用 されるパラメータの 値 に 制 限 が 無 い 場 合 このパラメータに 罠 の URL を 指 定 されることにより フィッシング 詐 欺 に 悪 用 される 可 能 性 があります この 罠 にかかった 場 合 注 意 深 い 利 用 者 は 最 初 に 表 示 されるログイン 画 面 が 正 規 のウェブサイトであるかどうかは 確 認 するはずです そして このログイン 画 面 が 正 規 の ウェブサイトであるため 安 心 してログインします しかし ログイン 後 にリダイレクトされ るページが 偽 のウェブサイトであることまで 注 意 を 継 続 することはできないかもしれま せん たとえば リダイレクト 先 の 罠 ページが 正 規 のウェブサイトのログイン 画 面 とそっ くりで ログイン 失 敗 再 入 力 を というメッセージがあった 場 合 あれ パスワードを 間 違 えたかな? と 大 きな 疑 いを 抱 かずに 認 証 情 報 を 入 力 してしまうことが 予 想 されま す リダイレクト 先 の URL として 使 用 されるパラメータについては 任 意 の URL を 許 可 せ ず 自 身 のドメインのみを 許 可 するようにしてください また この 対 策 は リダイレクトを 利 用 している 全 てのウェブページに 対 して 漏 れなく 実 施 してください フィッシング 詐 欺 を 助 長 しないための 対 策 について 下 記 の 資 料 も 参 考 にしてください 参 考 URL IPA: セキュア プログラミング 講 座 真 正 性 の 主 張 産 業 技 術 総 合 研 究 所 : 安 全 な Web サイト 利 用 の 鉄 則 48

51 3. 失 敗 例 3.1 失 敗 例 (SQL インジェクション) 前 章 まで ウェブアプリケーションにおける 脆 弱 性 対 策 と ウェブサイトにおける 安 全 性 向 上 のための 取 り 組 みを 紹 介 してきました 本 章 では ウェブアプリケーションに 脆 弱 性 を 作 りこんでしまった 失 敗 例 として SQL インジェクションを 考 慮 できていない 実 装 と クロスサイト スクリプティングを 考 慮 できていな い 実 装 を 紹 介 します SQL インジェクションを 考 慮 できていない 実 装 本 節 では SQL インジェクション 脆 弱 性 を 考 慮 できていない 実 装 例 として ユーザ 認 証 のプログラムを 例 に 24 PHP と Perl の 場 合 をそれぞれ 紹 介 します 1-1) PHP と PostgreSQL の 組 み 合 わせ 問 題 の 実 装 $query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'; $result = pg_query($conn, $query); 上 記 はユーザ 認 証 に 関 するソースコードの 一 部 です 1 行 目 右 辺 の $uid は ユーザによって 入 力 されたユーザ ID の 値 です また $passh は ユーザによって 入 力 されたパスワードをウェブアプリケーション 内 でハッシ ュ 処 理 した 値 です 1 行 目 の 式 では これらの 変 数 を 用 い 実 行 する SQL 文 を$query に 代 入 しています 2 行 目 右 辺 の pg_query() 25 は PHP に 用 意 されている PostgreSQL 専 用 の 関 数 で 第 2 引 数 に 指 定 された $query を SQL 文 として 実 行 します しかし こ のプログラム 例 では $uid に 対 するエスケープ 処 理 が 欠 落 しています このため $uid に 悪 意 ある SQL 文 が 形 成 される 値 が 指 定 された 場 合 SQL インジェクション 攻 撃 が 成 功 してしまいます 本 例 のように ウェブアプリケーションに 外 部 から 渡 されるパラメータに 対 してエスケ ープ 処 理 を 行 っていない 場 合 想 定 外 の SQL 文 を 実 行 させられる 原 因 となります たとえば ユーザ ID に taro'-- という 文 字 列 が 与 えられた 場 合 ウェブアプリ ケーションがデータベースに 要 求 する SQL 文 は 下 記 のようになります SELECT * FROM usr WHERE uid = 'taro'--' AND pass ='eefd5bc2...' 上 記 SQL 文 中 のシングルクォート ' は 文 字 列 定 数 を 括 る 引 用 符 の 意 味 を 持 つ 特 別 な 文 字 です また ハイフンの 繰 り 返 し -- は それ 以 降 の 内 容 をコメントとして 無 視 させる 意 味 をもちます このため この 文 字 列 が 与 えられた 場 合 データベースは 23 第 3 版 では 届 出 件 数 の 多 い SQL インジェクションとクロスサイト スクリプティングを 取 り 上 げています 次 版 以 降 他 の 脆 弱 性 についても 追 記 する 予 定 です 24 オープンソースのウェブアプリケーションのソースコードを 調 査 し 参 考 としています 25 pg_query: 49

52 3.1 失 敗 例 (SQL インジェクション) ' AND pass = eefd5bc2... を 無 視 します この 結 果 データベースで 実 行 される SQL 文 は 下 記 のようになります SELECT * FROM usr WHERE uid = 'taro' これは 仮 に taro というユーザが 存 在 していた 場 合 taro のパスワードを 知 らな くてもログインが 可 能 であることを 意 味 します 認 証 回 避 だけでなく $uid に 与 える 文 字 列 を 変 えることで 攻 撃 者 は 自 由 にデータベースを 操 作 することができてしまいま す SQL 文 を 構 成 する 要 素 に 対 し エスケープ 処 理 を 実 施 していないことが 本 問 題 の 原 因 です なお pg_query() 関 数 は 複 数 のクエリ 実 行 が 可 能 な 関 数 です この 箇 所 に SQL イ ンジェクションの 脆 弱 性 がある 場 合 もとのクエリとは 別 に 新 規 のクエリを 挿 入 されるな ど 攻 撃 による 脅 威 が 高 まります 下 記 は 複 数 の SQL 文 の 実 行 例 です // $query に 二 つの SQL 文 を 指 定 $query = "SELECT item FROM shop WHERE id = 1; SELECT item FROM shop WHERE id = 2;" $result = pg_query($conn, $query); 修 正 例 1 バインド 機 構 に 対 応 した 関 数 を 利 用 pg_query()の 代 わりに pg_prepare() 26 および pg_execute() 27 を 利 用 する $result = pg_prepare($conn, "query", 'SELECT * FROM usr WHERE uid= $1 AND pass=$2); $result = pg_execute($conn, "query", array($uid, $passh)); pg_prepare() および pg_execute() は PHP5.1.0 以 降 28 に 用 意 されている PostgreSQL 用 の 関 数 です PostgreSQL7.4 以 降 で 利 用 することができます pg_prepare()は プリペアドステートメント( 準 備 された SQL 文 )を 作 成 する 関 数 で す 第 3 引 数 に 実 際 の 値 がまだ 割 り 当 てられていないパラメータ(プレースホルダ)を 含 む SQL 文 の 文 字 列 を 指 定 します パラメータは $1 と $2 などの 形 式 で 参 照 されま す pg_execute()は pg_prepare()で 作 成 したプリペアドステートメントを 実 行 する 関 数 です プリペアドステートメントにプレースホルダが 存 在 する 場 合 pg_execute() は 第 3 引 数 の 要 素 ($uid と$passh)を 自 動 的 に 文 字 列 に 変 換 した 上 でプレースホ ルダに 割 り 当 て(バインド) 完 成 した SQL 文 を 実 行 します この 処 理 により 利 用 者 は SQL 文 を 構 成 する 要 素 に 別 途 エスケープ 処 理 を 行 う 必 要 がなくなります 26 pg_prepare: 27 pg_execute: 28 PHP4 は 2007 年 12 月 31 日 でサポートが 終 了 しています( 重 大 なセキュリティ FIX に 限 り 2008 年 8 月 8 日 まで 継 続 ) PHP4 利 用 者 は PHP5 へ 移 行 することが 推 奨 されています PHP4 end of life announcement: 50

53 3.1 失 敗 例 (SQL インジェクション) 修 正 例 2 プレースホルダの 仕 組 みを 持 つ 関 数 を 利 用 pg_query()の 代 わりに pg_query_params() 29 を 利 用 する $result = pg_query_params($conn, 'SELECT * FROM usr WHERE uid = $1 AND pass = $2', array($uid, $passh)); pg_query_params()は PHP5.1.0 以 降 に 用 意 されている PostgreSQL 用 の 関 数 で す PostgreSQL7.4 以 降 で 利 用 することができます pg_query_params()は プレースホルダの 仕 組 みを 持 つ 関 数 です 第 2 引 数 に プ レースホルダ( $1 や $2 )を 含 む SQL 文 を 指 定 し 第 3 引 数 に 実 際 の 値 を 指 定 しま す プレースホルダを 利 用 することにより 利 用 者 は SQL 文 の 要 素 に 対 するエスケー プ 処 理 を 別 途 行 う 必 要 がなくなります 修 正 例 3 専 用 のエスケープ 関 数 を 利 用 pg_escape_string() 30 を 利 用 し pg_query()で 実 行 する SQL 文 中 の 全 ての 変 数 要 素 に 対 してエスケープ 処 理 を 行 う $query = "SELECT * FROM usr WHERE uid = '".pg_escape_string($uid)."' AND pass = '".pg_escape_string($passh)."'"; $result = pg_query($conn, $query); pg_escape_string()は PHP4.2.0 以 降 に 用 意 されている PostgreSQL 用 の 関 数 で す PostgreSQL7.2 以 降 で 利 用 することができ PostgreSQL において 特 別 な 意 味 を 持 つ 文 字 をエスケープします エスケープ 処 理 関 数 を 自 作 する 方 法 もありますが PostgreSQL 独 自 の 特 別 な 意 味 を 持 つ 文 字 の 全 てに 対 応 することは 難 しく 漏 れが 生 じる 可 能 性 があるため お 勧 め できません なお 上 記 コーディングでは $passh に 対 してもエスケープ 処 理 を 行 っています $passh は 外 部 から 与 えられたパスワードをハッシュ 処 理 した 値 であるため この 要 素 が SQL インジェクション 攻 撃 に 悪 用 される 可 能 性 は 極 めて 低 いと 評 価 できます しか し $passh のように 内 部 処 理 された 要 素 に 対 しても あえてエスケープ 処 理 を 実 施 す ることをお 勧 めします これは エスケープが 必 要 な 要 素 であるかどうかの 検 討 を 都 度 しなくてよい という 利 点 があります 複 雑 なプログラムにおいては それぞれの 要 素 に 対 し エスケープ 処 理 の 要 不 要 判 断 を 行 うことは 困 難 となる 場 合 が 考 えられます SQL 文 を 構 成 する 全 ての 変 数 要 素 に 対 し 一 貫 してエスケープ 処 理 を 行 うことをお 勧 め します 29 pg_query_params: 30 pg_escape_string: 51

54 1-2) PHP と MySQL の 組 み 合 わせ 3.1 失 敗 例 (SQL インジェクション) 問 題 の 実 装 $query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'"; $result = mysql_query($query); 上 記 はユーザ 認 証 に 関 するソースコードの 一 部 です 本 例 も 前 述 の PHP と PostgreSQL の 組 み 合 わせと 同 様 $uid に 対 するエスケープ 処 理 が 欠 落 しています このため $uid に 悪 意 ある SQL 文 が 形 成 される 値 が 指 定 され た 場 合 SQL インジェクション 攻 撃 が 成 功 してしまいます 修 正 例 1 バインド 機 構 に 対 応 した 関 数 を 利 用 mysql_query() の 代 わりに mysqli(mysql 拡 張 サポート) 31 の mysqli_ prepare() 32 mysqli_stmt_bind_param() 33 mysqli_stmt_execute() 34 関 数 などを 利 用 する //プリペアドステートメントの 作 成 $stmt = mysqli_prepare($conn, "SELECT * FROM usr WHERE uid=? AND pass =?"); //プレースホルダに $uid, $passh をバインド mysqli_stmt_bind_param($stmt, "ss", $uid, $passh); //SQL 文 の 実 行 mysqli_stmt_execute($stmt); mysqli_prepare() mysqli_stmt_bind_param() mysqli_stmt_execute()は PHP の mysqli モジュールに 用 意 されている MySQL 用 の 関 数 です mysqli は MySQL4.1.3 以 上 の 環 境 で 利 用 することができます mysqli_prepare()は プリペアドステートメント( 準 備 された SQL 文 のひな 型 )を 作 成 する 関 数 です 第 2 引 数 の 値 が プリペアドステートメントの 内 容 です この 文 字 列 のう ち? は プレースホルダ と 呼 ばれる 実 際 の 値 がまだ 割 り 当 てられていない 要 素 です mysqli_stmt_bind_param()は mysqli_prepare()で 作 成 されたプリペアドステー トメントのプレースホルダに 対 応 する 値 (バインド 値 )を 割 り 当 てる 関 数 です 第 3 引 数 以 降 の 要 素 ( $uid と $passh )が バインド 値 に 相 当 します 第 2 引 数 の ss は バインド 値 の 型 を 表 します $uid と $passh はともに 文 字 列 型 であるため s (=string)を 2 要 素 分 並 べます mysqli_stmt_execute()は 完 成 したプリペアドステートメントを 実 行 する 関 数 で 31 MySQL 改 良 版 拡 張 サポート(mysqli) 32 mysqli_prepare: 33 mysqli_stmt_bimd_param: 34 mysqli_stmt_execute: 52

55 3.1 失 敗 例 (SQL インジェクション) す これらの 関 数 を 利 用 することにより 利 用 者 は SQL 文 の 要 素 に 対 するエスケー プ 処 理 を 別 途 行 う 必 要 がなくなります 修 正 例 2 エスケープ 関 数 を 利 用 mysql_real_escape_string() 35 を 利 用 し mysql_query()で 実 行 する SQL 文 中 の 全 ての 変 数 要 素 に 対 し エスケープ 処 理 を 行 う $query = "SELECT * FROM usr WHERE uid = '".mysql_real_escape_string ($uid)."' AND pass = '". mysql_real_escape_string($passh)."'"; $result = mysql_query($query); mysql_real_escape_string()は PHP4.3.0 以 降 に 用 意 されている MySQL 用 の 関 数 です この 関 数 は MySQL において 特 別 な 意 味 を 持 つ 文 字 をエスケープします エスケープ 関 数 を 自 作 することは 漏 れが 生 じる 可 能 性 があるため お 勧 めできま せん また 対 策 漏 れ 防 止 の 観 点 より $passh のように 内 部 処 理 された 要 素 に 対 し ても 一 貫 してエスケープ 処 理 を 実 施 することをお 勧 めします 2. Perl (DBI を 利 用 ) 問 題 の 実 装 $query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'"; $sth =$dbh->prepare($query); $sth->execute(); 上 記 はユーザ 認 証 に 関 するソースコードの 一 部 です 本 例 では Perl において 広 く 利 用 されている DBI 36 と 呼 ばれる データベースへアクセスするためのモジュールを 使 用 しています データベースへのアクセスは DBI モジュールのデータベースハンドルメソッド (prepare()など)やステートメントハンドルメソッド(execute()など)を 使 用 します しか し 本 例 では $uid に 対 するエスケープ 処 理 が 欠 落 しています このため $uid に 悪 意 ある SQL 文 が 形 成 される 値 が 指 定 された 場 合 SQL インジェクション 攻 撃 が 成 功 して しまいます 本 例 は DBI を 利 用 した Perl においてよく 見 かける 危 険 なコーディング 例 です DBI モジュールの prepare()メソッドは プリペアドステートメントを 作 成 するメソッド で プレースホルダを 利 用 することができます また execute()メソッドは prepare() メソッドで 作 成 されたプリペアドステートメントを 実 行 するメソッドで プリペアドステート メントにプレースホルダが 存 在 する 場 合 その 場 所 にバインド 値 を 割 り 当 てます しかし 本 例 では 実 行 する SQL 文 に 変 数 要 素 を 含 むにも 関 わらず プレースホルダ 35 mysql_real_escape_string: 36 DBI: 53

56 3.1 失 敗 例 (SQL インジェクション) を 利 用 していません また SQL 文 を 構 成 する 要 素 に 対 してエスケープ 処 理 を 行 ってい ません このため SQL インジェクション 攻 撃 に 脆 弱 となります 修 正 例 1 バインド 機 構 (プレースホルダ)を 利 用 $sth =$dbh->prepare("select * FROM usr WHERE uid =? AND pass =?"); $sth->execute($uid, $passh); DBI モジュールの prepare()メソッドに SQL 文 を 指 定 する 際 プレースホルダを 利 用 し 変 数 に 相 当 する 箇 所 を? とします また execute()メソッドには プレースホルダに 割 り 当 てる 値 (バインド 値 )を 指 定 します 修 正 例 2 エスケープ 関 数 を 利 用 エスケープ 対 象 の 要 素 に 対 し DBI モジュールの quote()メソッドを 使 用 します $sth = $dbh->prepare("select * FROM usr WHERE uid =".$dbh->quote($uid)." AND pass =".$dbh->quote($passh)); $sth->execute(); quote()メソッドは 引 数 に 指 定 された 文 字 列 のうち 特 別 な 意 味 を 持 つ 文 字 をエス ケープ 処 理 し 文 字 列 全 体 をクォートで 囲 みます SQL 文 においてエスケープ 処 理 を 行 う 場 合 には 通 常 特 別 な 意 味 を 持 つ 文 字 がデ ータベースエンジン 毎 に 異 なることを 吸 収 する 必 要 がありますが DBI には DBD(DataBase Drivers)と 呼 ばれる 各 種 データベースエンジンに 対 応 したドライバが 用 意 されています DBI の quote()メソッドは DBD の 存 在 により データベースエン ジンによる 違 いを 意 識 せずに 利 用 することができます 54

57 3.2 失 敗 例 (クロスサイト スクリプティング) 3.2 クロスサイト スクリプティングを 考 慮 できていない 実 装 本 節 では クロスサイト スクリプティング 脆 弱 性 を 考 慮 できていない 実 装 を 紹 介 します 37 クロスサイト スクリプティング 脆 弱 性 は 原 理 上 根 絶 が 困 難 な 脆 弱 性 です しかし そもそも 対 策 を 行 っていない 場 合 や 誤 った 対 策 を 実 施 しているケースも 少 なくありません ここでは 失 敗 例 を3つに 分 け て 紹 介 します 1. 未 対 策 2. 対 策 漏 れ 3. 誤 った 対 策 未 対 策 1) エスケープ 処 理 の 未 実 施 問 題 の 実 装 例 use CGI qw/:standard/; $keyword = param('keyword');... print... <input name="keyword" type="text" value="$keyword">... $keyword の 検 索 結 果... 上 記 ソースコードは 検 索 結 果 の 表 示 処 理 の 一 部 です 検 索 フォームに 入 力 された 文 字 列 "IPA" はウェブアプリケーションに 送 信 され $keyword に 格 納 されます このウェブアプリケーションは 検 索 結 果 をウェブページと して 出 力 する 際 この $keyword を フォーム 内 や 見 出 しなど 複 数 の 場 所 に 指 定 して います しかし この $keyword に 対 して 出 力 前 にエスケープ 処 理 を 行 っていませ ん このエスケープ 処 理 の 未 実 施 が スクリプトを 埋 め 込 まれる 原 因 となります ウェブアプリケーションが 文 字 列 を 出 力 する 際 には それをテキストとして 出 力 する のか HTML タグとして 出 力 するのかによって 行 うべき 処 理 が 異 なります 本 例 の 場 37 本 節 で 紹 介 するウェブアプリケーションの 開 発 言 語 は Perl で 統 一 しています 55

58 3.2 失 敗 例 (クロスサイト スクリプティング) 合 $keyword は 検 索 キーワードであり テキストとして 出 力 するべき 要 素 です したが って $keyword に 含 まれる & < > " ' 38 などに 対 して エスケープ 処 理 を 行 う 必 要 があります この 処 理 を 怠 ると $keyword にこれらの 文 字 を 含 む 文 字 列 が 指 定 されることによ り 開 発 者 の 意 図 に 反 して 画 面 が 崩 れる 不 具 合 が 生 じる 可 能 性 があります この 不 具 合 を 悪 用 した 攻 撃 手 法 が クロスサイト スクリプティングです 修 正 例 1 エスケープ 用 の 関 数 を 利 用 CGI.pm モジュールの escapehtml()を 利 用 する use CGI qw/:standard/; $keyword = param('keyword');... print "<input... value=\"".escapehtml($keyword)."\"..."; print " ".escapehtml($keyword)." の 検 索 結 果..."; escapehtml()は Perl の 拡 張 モジュール CGI.pm に 用 意 されている 関 数 の 一 つ です CGI.pm モジュールは Perl5 に 標 準 で 組 み 込 まれています escapehtml()は 引 数 に 指 定 された 文 字 列 に 含 まれる HTML において 特 別 な 意 味 を 持 つ 文 字 に 対 してエスケープ 処 理 を 行 い その 結 果 を 返 します 下 記 は escapehtml()におけるエスケープ 対 象 文 字 と その 処 理 結 果 です 39 対 象 文 字 処 理 結 果 & & < < > > " " ' &#39; 38 タグ 内 の 引 用 符 は 一 般 に " (ダブルクォート)が 使 用 されますが ' (シングルクォート)を 引 用 符 として 使 用 するケー スも 少 なくないため 併 記 しています 39 CGI.pm では 文 字 コードに 応 じて 細 かくエスケープ 対 象 の 文 字 を 決 定 しています たとえば 文 字 コードが ISO や WINDOWS-1252 の 場 合 0x8B(Single Left-Pointing Angle Quotation Mark)や 0x9b(Single Right-Pointing Angle Quotation Mark) 等 もエスケープ 対 象 になります 56

59 3.2 失 敗 例 (クロスサイト スクリプティング) 修 正 例 2 独 自 に 作 成 したエスケープ 処 理 関 数 を 使 用 する print "<input... value=\"".&myescapehtml($keyword)."\"..."; print " ".&myescapehtml($keyword)." の 検 索 結 果...";... # 独 自 に 作 成 したエスケープ 処 理 関 数 myescapehtml sub myescapehtml($){ my $str = $_[0]; $str =~ s/&/&/g; $str =~ s/</</g; $str =~ s/>/>/g; $str =~ s/"/"/g; $str =~ s/'/&#39;/g; } 2) 文 字 コードの 未 指 定 問 題 の 実 装 ウェブアプリケーションの 応 答 結 果 HTTP/ OK... Content-Type: text/html; 1 HTTP レスポンスヘッダに 文 字 コードの 指 定 がない <HTML> <HEAD> <META http-equiv="content-type" content="text/html"> 2 HTML の META 宣 言 にも 文 字 コードの 指 定 がない 上 記 は あるウェブアプリケーションの 応 答 結 果 の 一 部 です Content-Type フィールドの 値 は 送 信 されるデータの 種 類 (メディアタイ プ)をウェブブラウザに 判 定 させるために 利 用 する 情 報 です しかし 上 記 には 文 字 コード(charset)を 判 別 するための 情 報 が 指 定 されていません この 場 合 ウェ ブブラウザは 独 自 の 実 装 に 基 づく 文 字 コード 判 定 (たとえば 受 信 したデータの 内 容 から 文 字 コードを 推 測 する)を 行 いますが この 挙 動 がクロスサイト スクリプティング 攻 撃 に 悪 用 される 場 合 があります 57

60 3.2 失 敗 例 (クロスサイト スクリプティング) 修 正 例 本 例 は ウェブブラウザにおける 独 自 の 文 字 コード 判 定 機 能 を 悪 用 したクロスサイ ト スクリプティング 攻 撃 の 対 策 が 未 実 施 である 例 です この 解 決 には HTTP レスポンス ヘッダの Content-Type フィールドに 文 字 コードを 指 定 する 必 要 があります 詳 細 は 共 通 に 有 効 な 対 策 8)の 内 容 を 参 照 してください HTTP レスポンスヘッダの Content-Type フィールドに 文 字 コードを 指 定 HTTP/ OK... Content-Type: text/html; charset=utf 対 策 漏 れ 1) テキスト 形 式 で 入 力 される 値 のみに 入 力 段 階 でエスケープ 処 理 を 実 施 問 題 の 実 装 投 稿 フォーム <textarea name="comment"... <input name="agree" type="checkbox" value="yes">... <input name="uid" type="hidden" value=" ">... 確 認 画 面 $comment = escapehtml(param('comment')); $agree = param('agree'); $uid = param('uid');... print " 下 記 内 容 で 登 録 します<BR> ".$comment."... print "<input... hidden... =\"".$uid... 上 記 は 投 稿 フォームの HTML ソースと そのフォームから 送 信 された 情 報 のいくつ かを 確 認 画 面 として 出 力 するウェブアプリケーションのソースの 一 部 です 投 稿 フォームには 投 稿 者 が 書 き 込 みできるコメント 欄 と チェックボックス 非 表 示 58

61 3.2 失 敗 例 (クロスサイト スクリプティング) 情 報 のユーザ ID が 設 置 されています 投 稿 フォームから 送 信 されたこれら 3 つの 値 は ウェブアプリケーションに 渡 されま すが 確 認 画 面 に 出 力 されるのは コメント($comment)とユーザ ID($uid)の 2 つで す このうち コメントに 対 しては 入 力 値 を 受 け 取 る 段 階 でエスケープ 処 理 を 行 ってい ますが ユーザ ID に 対 してはエスケープ 処 理 を 行 っていません これは エスケープ 処 理 の 対 象 を 正 しく 認 識 していないために 生 じる 対 策 漏 れ の 一 例 です 修 正 例 エスケープ 処 理 対 象 について ありがちな 誤 った 認 識 として テキストで 入 力 可 能 な 要 素 のみを 対 象 としていることが 挙 げられます また エスケープ 処 理 を 入 力 段 階 で 実 施 するウェブアプリケーションも 少 なくありません これらは 対 策 漏 れを 助 長 する 要 因 の 一 つです 攻 撃 は フォームのコメント 欄 のように 自 由 に 入 力 できる 項 目 のみを 悪 用 するわけ ではありません したがって テキストで 入 力 可 能 な 要 素 のみに 注 目 することは 無 意 味 です また 攻 撃 を 入 力 段 階 で 防 御 しようとする 意 識 が 先 行 し 入 力 値 を 受 け 取 った 段 階 でエスケープ 処 理 を 行 うことも 対 策 漏 れにつながります クロスサイト スクリプティ ングにおけるエスケープ 対 象 は 出 力 要 素 であるため 入 力 段 階 でエスケープ 処 理 を 行 うと 出 力 前 の 演 算 の 結 果 がスクリプトを 形 成 するケースに 対 応 できません また 出 力 要 素 にエスケープ 処 理 を 実 施 しているかどうか ソースコードからの 確 認 が 容 易 でなくなるデメリットも 生 じます 出 力 に 注 目 してエスケープ 処 理 を 実 施 $comment = param('comment'); 入 力 要 素 には 注 目 しない $agree = param('agree'); $uid = param('uid');... 出 力 する 全 要 素 にエスケープ 処 理 print escapehtml($comment);... print "<input... hidden... =\"".escapehtml($uid)."... 入 力 要 素 に 注 目 せず 出 力 要 素 に 注 目 してエスケープ 処 理 を 実 装 してください よくある 失 敗 例 1 リンクの URL を 構 成 する 要 素 へのエスケープ 処 理 漏 れ 上 図 では 次 へ などのリンクの URL を 構 成 するパラメータとして cid page pmax ls などが 使 用 されています このような タグ 内 に 出 力 する 要 素 について 59

62 3.2 失 敗 例 (クロスサイト スクリプティング) もエスケープ 処 理 を 行 う 必 要 がありますが これを 見 落 としてしまう 失 敗 例 が 少 なくあり ません よくある 失 敗 例 Not Found ページに 表 示 する URL へのエスケープ 処 理 漏 れ 上 図 は HTTP ステータスコード 404 用 のページとして ユーザからリクエストされた URL 情 報 を 出 力 しています 本 来 この URL 情 報 に 対 してもエスケープ 処 理 を 行 う 必 要 がありますが これを 見 落 としてしまうケースが 少 なからずあります たとえば 下 記 のような 罠 のリンクに 誘 導 されることで クロスサイト スク リプティング 攻 撃 が 成 功 してしまいます よくある 失 敗 例 3 アクセスログの 出 力 対 象 へのエスケープ 処 理 漏 れ 本 例 は ウェブサーバのアクセスログを 基 に 統 計 情 報 などをウェブページに 出 力 するウェブアプリケーションです たとえば リクエストしたページや User-Agent Referer 情 報 などが 出 力 されます このようなサーバ 内 のデータを 参 照 して 出 力 する 際 に エスケープ 処 理 を 見 落 としてしまうケースが 少 なからずあります たとえば 悪 意 のある 人 は User-Agent や Referer などの 内 容 にスクリプト 文 字 列 を 含 ませてリクエストをし アクセスログに 記 録 させます GET /example.html / HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0...<script>... Referer: 60

63 3.2 失 敗 例 (クロスサイト スクリプティング) このため エスケープ 処 理 に 漏 れがある 場 合 アクセスログのページを 閲 覧 する 利 用 者 は 恒 久 的 にスクリプトを 埋 め 込 まれたウェブページを 閲 覧 することになります よくある 失 敗 例 4 ウェブメールの 出 力 対 処 へのエスケープ 処 理 漏 れ 本 例 は メールの 情 報 をウェブページに 出 力 するウェブアプリケーションです たと えば 送 信 元 や 件 名 メールの 内 容 などが 出 力 されます このような サーバ 内 のデ ータを 参 照 して 出 力 する 際 に エスケープ 処 理 を 見 落 としてしまうケースが 少 なからず あります たとえば 悪 意 のある 人 は 下 記 のようなメールを 送 信 します 宛 先 : jiro@example.com From: taro@example.com 件 名 : 改 訂! 安 全 な...<script>... 内 容 : IPA です... <script>... このため エスケープ 処 理 に 漏 れがある 場 合 ウェブメールのページを 閲 覧 する 利 用 者 は 恒 久 的 にスクリプトを 埋 め 込 まれたウェブページを 閲 覧 することになります 61

64 誤 った 対 策 3.2 失 敗 例 (クロスサイト スクリプティング) 1) 入 力 フォームに 入 力 制 限 を 実 装 問 題 の 実 装 本 例 では 入 力 フォームのウェブページに JavaScript によるチェック 機 構 を 実 装 し ています このチェック 機 構 を 介 すことにより 確 認 画 面 を 出 力 するウェブアプリケーシ ョンには 許 可 された 入 力 値 のみが 渡 されます このチェック 機 構 により 確 認 画 面 には 不 正 な 文 字 は 出 力 されないと 考 えがちですが このチェック 機 構 は クロスサイト ス クリプティング 対 策 としては 有 効 に 機 能 しません 対 策 を 実 施 する 箇 所 が 誤 っています 入 力 側 (クライアント 側 )でのチェック 機 構 は 利 用 者 の 入 力 ミスを 軽 減 する 目 的 においては 有 効 に 機 能 しますが クロスサイト スク リプティング 対 策 としては 有 効 に 機 能 しません クロスサイト スクリプティング 攻 撃 の 多 くは 悪 意 ある 人 が 用 意 した 罠 (メールのリンクや 罠 ページなど)から 脆 弱 なウェブ アプリケーションに 直 接 リクエストされるため 本 例 のような 入 力 側 のチェック 機 構 を 経 由 することがないためです また クロスサイト スクリプティング 対 策 における 入 力 チェック は そもそも 漏 れが 生 じやすく 根 本 的 な 対 策 にはなりません 1 章 5 節 クロスサイト スクリプティング の 根 本 的 対 策 の 内 容 を 参 考 に 対 策 を 検 討 してください 62

65 2) ブラックリスト 方 式 による 入 力 チェックのみを 実 装 3.2 失 敗 例 (クロスサイト スクリプティング) 問 題 の 実 装 if ($a =~ /(script expression...)/i){ # 入 力 チェック error_html(); # 危 険 な 値 を 含 む 場 合 はエラー 表 示 exit; }else{... print $a; # 危 険 な 値 を 含 まない 場 合 は 処 理 を 先 に 進 める 本 例 は ブラックリスト 方 式 による 入 力 チェック 機 構 を 実 装 しているウェブアプリケー ションです ブラックリストには クロスサイト スクリプティング 攻 撃 に 悪 用 される 危 険 な 文 字 列 を 定 義 しています たとえば 入 力 値 $a に script などを 含 む 場 合 処 理 を 先 に 進 めず エラー 画 面 を 表 示 します 一 見 入 力 チェック 機 構 が 有 効 に 機 能 し クロスサイト スクリプティング 攻 撃 を 無 効 化 できるように 感 じますが この 実 装 にはチェックを 回 避 され 攻 撃 が 成 功 してしまう 問 題 が 存 在 します 制 御 文 字 などを 悪 用 した 入 力 チェックの 回 避 入 力 チェック は クロスサイト スクリプティングの 根 本 的 な 対 策 にはなりません たとえば $a に 下 記 のような 文 字 列 を 指 定 された 場 合 入 力 チェックによる script のマッチングを 回 避 されます <s%00cript>alert(0)</s%00cript> 入 力 チェックを 通 過 した $a は %00 がデコードされた Null 文 字 を 含 む 形 でウェブペ ージに 出 力 されます ウェブブラウザによってはこの Null 文 字 を 無 視 するため 結 果 と して $a の 出 力 内 容 はスクリプト 文 字 列 として 解 釈 されます このため 単 純 なパター ンマッチングでは スクリプトに 悪 用 される 文 字 列 を 完 全 に 抽 出 することはできませ ん Null 文 字 のように チェック 機 構 の 回 避 に 悪 用 可 能 な 文 字 は 他 にも 複 数 存 在 しま す よくある 失 敗 例 1 連 結 処 理 を 悪 用 した 入 力 チェックの 回 避 63