安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター
Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃 対策の体験を ~
Android アプリに関する届出状況 毎年 Android アプリの脆弱性の届出が報告 件数 300 250 200 150 100 50 0 Android アプリの届出その他ソフトウェアの届出 Android アプリの届出累計 100 20 139 20 32 52 2011 2012 2013 2014 136 117 169 図 Android アプリの届出件数の年別推移 187 161 18 累計件数 200 180 160 140 120 100 80 60 40 20 0 効率的に脆弱性を理解し 対策に繋げるためにツールを活用しよう! 3
脆弱性体験学習ツールの提供 Android アプリの脆弱性体験学習ツール AnCoLe 対象は Androidアプリ攻撃と修正が体験可能ソースコードの点検が可能 4
脆弱性体験学習ツールとは 実習形式で脆弱性の対策方法を学ぶツール 学習効率を高める 2 つの工夫 検査 対策 修正のサイクルで学習する 実務に近い流れで学ぶ 手を動かして体験する より理解を深められる アプリ修正 アプリ検査 対策学習 5
学習ツール活用の流れ ~ アプリの点検 検査 ~ 脆弱性 ( セキュリティ上の弱点 ) の存在を知る 脆弱性を見つけることから始める 脆弱性が存在しなければ対策する必要はない! 通常は見つけることができていないだけで存在はする 見つける方法 ( 検査方法 ) を学ぶ ツールによる検査 人の手による検査 アプリ修正 アプリ検査 対策学習 6
学習ツール活用の流れ ~ 脅威と対策方法の学習 ~ 脆弱性の対策の必要性や方法を理解する 疑似環境を用いて脆弱性への攻撃を体験する 実際の攻撃のイメージができるようになる 被害体験により 対策の必要性を理解する 脆弱性の対策方法を学ぶ 適切な対策方法をテキストベースで学ぶ アプリ修正 アプリ検査 対策学習 7
学習ツール活用の流れ ~ アプリの修正 ~ 脆弱性対策をアプリに実施する サンプルアプリを用いて修正 ( 対策 ) を体験する ソースコード例をもとにサンプルアプリを修正し 実践 的な対策方法を学ぶ 対策の効果を体験する サンプルアプリを攻撃し 適切に対策されたかどうかを確認する アプリ修正 アプリ検査 対策学習 8
AnCoLe ~Android アプリの脆弱性の点検 学習 ~ 学習できる脆弱性の紹介 IPA への届出が多い脆弱性を中心とした 7 テーマ No. 学習対象となる脆弱性等脆弱性等がもたらす想定被害 1 ファイルのアクセス制限不備 2 コンポーネントのアクセス制限不備 3 暗黙的 Intentの不適切な使用 4 不適切なログ出力 アプリが保有する情報の漏えい 改ざん アプリが出力する情報の漏えい 5 WebView の不適切な使用端末内の情報の漏えい 改ざん等 6 SSL 通信の実装不備通信内容の漏えい 改ざん 7 不必要な権限の取得 利用者が不正なアプリと誤認別の脆弱性が悪用された際の被害拡大 9
動作デモ 10
まとめ 脆弱性対策を理解するために 学習ツールの利用が効果的です アプリ開発時に脆弱性を作りこまないようにご活用ください AnCoLeのセットアップの仕方が分からない方は動画を参考にしてください Android アプリの脆弱性の学習 点検体験ツール AnCoLe セットアップ編 https://www.youtube.com/watch?v=ftzog6qaur4 11
Android アプリの脆弱性の学習 点検体験ツール AnCoLe セットアップ編 Android アプリの脆弱性の学習 点検体験ツール AnCoLe セットアップ編 https://www.youtube.com/watch?v=ftzog6qaur4 12
安全なウェブサイトの作り方 7 版 の改訂内容 13
安全なウェブサイトの作り方とは IPAに届出られた脆弱性関連情報をもとに 対策をまとめたガイド ウェブサイトの運営に関わる全ての人に向けた内容 主要な脆弱性を解説し 根本的解決策 と 保険的対策 を記載 失敗例 として解説とソースコードレベルの修正例を記載 ウェブセキュリティの対策状況を把握ができるチェックリストつき https://www.ipa.go.jp/security/vuln/websecurity.html 14
第 7 版における主な改訂内容 区分項目改訂内容 新規追加 クリックジャッキング 脆弱性の概要 対策 新規追加バッファオーバーフロー脆弱性の概要 対策 新規追加内容更新 1 章 クロスサイト スクリプティング ブラウザのセキュリティ機構を有効にする保険的対策 入力値の内容チェックによる保険的対策 内容更新 DNS に関する対策 DNS サーバーの設定や運用時の注意点 内容更新 2 章 ネットワーク盗聴への対策 通信経路の暗号化の解説 新規追加 パスワードに関する対策 パスワードの保管方法の解説
クリックジャッキング 罠ページの上に サイト A を iframe で重ね合わせ 見た目を透明にする ブラウザから閲覧した際には 罠ページのみ表示されているように見える ココと 罠ページ ココをクリック 罠ページ上のコンテンツをクリックしたつもりが 実際にはサイト A 上のコンテンツをクリックしてしまう 16
想定される脅威 利用者が意図しない操作 設定変更商品購入退会処理
対策 根本的対策 X-Frame-Options ヘッダの出力 処理の実行前に再度パスワードを入力させる 保険的対策 重要な処理はマウス操作のみで実行できないようにする 18
パスワードに関する対策 ソルトつきパスワードハッシュとは メリットとデメリット
ソルトつきパスワードハッシュ パスワードとソルトを連結した文字列のハッシュ値を計算 ユーザー X パスワード ソルト ソルト付きハッシュ値 P@ssw0rd ykqkzc6qsph8 f705c11d4865 eb4f60f9 ユーザー Y P@ssw0rd qkwhppyjhgwg d22d220492cb 09f06fd8 ソルトは乱数等により利用者毎に異なる文字列を生成 同じパスワードの利用者がいてもハッシュ値は別の文字列となる 20
メリットとデメリット メリット ハッシュ値が盗まれてもパスワードクラックが困難同一パスワードでも異なるハッシュ値を生成 デメリット 実装が複雑 21
新規追加項目まとめ クリックジャッキング バッファオーバーフロー パスワードに関する対策 ウェブサイトからもダウンロードできます https://www.ipa.go.jp/security/vuln/websecurity.html 22
Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了します サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 また WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 23
i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html