安全なウェブサイトの作り方 と 届出られたウェブサイトの脆弱性の実情 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター
安全なウェブサイトの作り方 7 版 の内容と資料活用例 2
2016 年のウェブサイトにまつわる事件 時期 報道 2016/1 セキュリティー会社不覚 顧客情報が流出金銭要求届く ( 朝日新聞 ) 2016/1 厚労省サイト 再び閲覧不能サイバー攻撃か ( 日経新聞 ) 2016/2 ホームページからウイルス感染注意京都動物愛護センターサーバーに不正アクセス 閉鎖し調査 ( 産経新聞 ) 2016/3 江崎グリコ 顧客情報が流出不正アクセスで最大 8 万件 ( 朝日新聞 ) 2016/4 日テレ HP 攻撃受け個人情報 43 万件流出か ( 読売新聞 ) 2016/4 J-WAVE 個人情報 64 万件流出か不正アクセスで ( 朝日新聞 ) 2016/4 エイベックスで個人情報 35 万件流出か公式サイトに不正アクセス ( 産経新聞 ) 攻撃者からのウェブサイトへの攻撃は 24 時間 365 日いつ行われもおかしくない安全なウェブサイトの構築と運用が求められる! 3
ウェブサイトに関する届出状況 毎年多くのウェブサイトの脆弱性の届出が報告 1,200 1,000 800 600 400 200 0 1,118 10,000 9,000 9,201 884 9,116 8,000 7,585 8,703 7,000 届出件数累計件数 6,000 5,000 413 4,000 3,000 2,000 85 1,000 0 2013 2014 2015 2016(~3 月 ) 約 12 年で 1 万件近くのウェブサイトの脆弱性の届出が報告 脆弱性の解説と対策をまとめた資料の必要性! 4
目次 安全なウェブサイトの作り方 とは 資料活用例 5
安全なウェブサイトの作り方とは (1/4) ウェブサイトの運営に関わる全ての人に向けた内容 11 種類の脆弱性 の説明とその対策を説明 運用面からのウェブサイト全体の安全性を向上させるための方策を説明 7 版から パスワードの運用方法 の内容を拡充 ウェブセキュリティの対策状況を把握ができるチェックリストつき https://www.ipa.go.jp/security/vuln/websecurity.html 6
安全なウェブサイトの作り方とは (2/4) 11 種類の脆弱性 1 SQL インジェクション 2 OS コマンド インジェクション 3 パス名パラメータの未チェック / ディレクトリ トラバーサル 4 セッション管理の不備 5 クロスサイト スクリプティング 6 CSRF( クロスサイト リクエスト フォージェリ ) 7 HTTP ヘッダ インジェクション 8 メールヘッダ インジェクション 9 クリックジャッキング 高い危険性外部から直接データベースを不正操作内部データの漏えい 改ざん 破壊に繋がる 高い危険性外部から直接ウェブサーバを不正操作内部システム データの漏えい 改ざん 破壊に繋がる 脆弱性の解説とともにその対策を 根本的解決 および 保険的対策 で説明 失敗例 として解説とソースコードレベルの修正例を記載 10 バファオーバーフロー 11 アクセス制御や認可制御の欠落 7
安全なウェブサイトの作り方とは (3/4) 根本的解決 保険的対策 失敗例 根本的解決 脆弱性を作りこまない実装を実現する手法 保険的対策 攻撃による影響を軽減する対策 ( 原因そのものを無くすわけではない ) 失敗例 8
安全なウェブサイトの作り方とは (4/4) チェックリストでの確認 巻末のチェックリストを活用し セキュリティ実装の対応状況を確認 9
目次 安全なウェブサイトの作り方とは 資料活用例 10
活用例 (1/2) 脆弱性を修正する際 ( 開発者向け ) ウェブサイトに脆弱性が見つかった際の修正に活用 根本的解決 にて修正することを推奨 11
活用例 (2/2) セキュリティ要件の参考に ( 発注者向け ) 今やセキュリティ要件を考慮する事が重要 RFPに盛り込む際の参考に活用 IPA からの入札公告 (RFP) における使用例 12
ここまでのまとめ ウェブサイトの脆弱性が数多く IPA に届出報告されている状況から 多くのウェブサイトが潜在的に脆弱性を抱えている可能性があります ウェブサイトの構築等を発注する際に セキュリティ要件を考慮することが重要となってきました 発注者側と開発者側ともにセキュリティを理解する必要があります 安全なウェブサイトの作り方 を活用いただき ウェブサイトのセキュリティ問題を解決する一助となれば幸いです 13
アンケートに回答するとプレゼント 安全なウェブサイトの作り方 ( 改訂第 7 版 ) 安全な SQL の呼び出し方 ウェブ健康診断仕様 14
届出られたウェブサイトの脆弱性の実情 15
はじめに (1/2) IPA では一般の方からソフトウェア製品やウェブサイトの脆弱性の届出を受付け 調整する業務を行っています 業務内容 ウェブ 一般の方から届けられた脆弱性情報を運営者 JPCERT/CC に連絡します 一般の方 ウェブ 運営者へ 製品 製品 JPCERT/CC へ 16
はじめに (2/2) 安全なウェブサイトの作り方 は この届出受付業務で 多く届出られた問題や影響度が大きい問題を解説しているものです この発表では IPA に実際に届出られているウェブサイトの脆弱性について いくつか事例をご紹介します 17
脆弱性別の届出状況 四半期に統計情報を公表しています クロスサイト スクリプティング (56%) 2% 2% 11% 56% DNS 情報の設定不備 (15%) 2% SQL インジェクション (12%) 12% ディレクトリ トラバーサル (2%) 15% ファイルの誤った公開 (2%) HTTPS の不適切な利用 (2%) 2016 年 3 月末時点の 8,995 件の内訳 その他 (11%) 18
ケース 1 脆弱性が存在する製品を利用 脆弱性が存在する製品をウェブサイトで利用しているケース その製品特有のURLや 記述等がなされている http://ipa.go.jp/ipaproduct/xxx.php 一件発見できれば 他も探せば見つかることから 対象のウェブサイトをリスト化して大量に届出られることがあった 届出の例 アンケートプログラム 日記プログラム コンテンツ管理システム等 存在していた脆弱性の影響 クロスサイトスクリプティング ディレクトリトラバーサル SQLインジェクション等 19
ケース 2 誤った設定で運用していた 通常 管理者のみアクセスできるように制限すべき管理画面がインターネット上に公開されていた 通常は公開されない画面 正しく設定されていなかった ファイル管理ソフトウェア管理画面 20
ケース 3 急増したディレクトリトラバーサルについて http://ipa.go.jp/file.php?filename=xxx.pdf このようなウェブサイトで 対策がされていない ディレクトリトラバーサルは 4 番目に多く届出られている脆弱性 140 120 100 80 60 ディレクトリトラバーサルの届出時期 133 2014 年 4Q で全体 (219 件 ) の半分近くが届出られている 残りはそれ以外の期間 世の中に存在する脆弱性の傾向と一致するものではない 40 20 0 70 2014 年 7 月 ~2014 年 3Q 16 2014 年 4Q 2015 年 1Q ~2016 年 1Q ただ発見されていないだけで 他にも危険な脆弱性が数多く存在するのでは? 21
ケース 4 情報漏えいの届出について 脆弱性の影響によって情報漏えいをしてしまうケースもあるが 単にインターネット上で機微な情報が公開されているケースが届出られることがある 誰でも閲覧可 原因について伺ってみると. - 削除することを忘れていた - 管理を外注していてセキュリティ設定をしていなかった - プログラムの不具合が原因だった - 設定途中のサーバを公開していた等設定のミスや漏れ プログラムの不具合に起因していた 22
まとめ 利用している製品に脆弱性が存在する可能性があります 脆弱性情報の収集 製品をアップデートを心がけてください 設定ミスや製品の思わぬ不具合で 予期せず情報漏えいが発生することがあります 今一度 安全なウェブサイトの作り方 に記載されている脆弱性が対応済みがどうかご確認ください IPA から突然連絡がいくことがありますがお話しだけでも聞いてください 23
新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで 組織の情報セキュリティ確保に貢献し 脅威から 継続的に組織を守るための基本的スキルを認定する試験 受験をお勧めする方 個人情報を扱う全ての方 業務部門 管理部門で情報管理を担当する全ての方 28 年度秋期試験実施時期 初回応募者約 2 万 3 千人!! 実施日 2016 年 10 月 16 日 ( 日 ) 申込受付 2016 年 7 月 11 日 ( 月 ) から
IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です