ウェブ 健 康 診 断 仕 様 について ( 平 成 22 年 度 版 一 般 公 開 用 ) ( 財 ) 地 方 自 治 情 報 センター 自 治 体 セキュリティ 支 援 室
目 次 1 はじめに... 3 1.1 本 資 料 公 開 の 経 緯... 3 1.2 平 成 20 年 度 仕 様 との 主 な 差 分... 3 1.3 ウェブ 健 康 診 断 とは... 4 2 ウェブ 健 康 診 断 診 断 内 容... 5 2.1 診 断 対 象 脆 弱 性 ( 診 断 項 目 ) 及 びその 選 定 理 由... 5 2.2 危 険 度 基 準... 5 2.3 総 合 判 定 基 準... 6 2.4 診 断 時 に 利 用 する 診 断 項 目 毎 の 検 出 パターン( 目 安 ) 脆 弱 性 有 無 の 判 定 基 準 及 び 対 象 画 面 について... 7 2.5 (M)クローラへの 耐 性 について... 15 2.6 診 断 対 象 画 面 ( 機 能 )とその 定 義 について... 17 ( 別 紙 ) 平 成 22 年 度 ウェブ 健 康 診 断 報 告 書 フォーマット 本 診 断 での 報 告 書 フォーマット( 一 部 )です A3 一 枚 表 裏 に 診 断 結 果 が 全 て 収 まるようにしています 2
1 はじめに 1.1 本 資 料 公 開 の 経 緯 本 資 料 は 地 方 自 治 情 報 センター( 以 下 当 センター という )が 平 成 22 年 度 に 実 施 したウェブ 健 康 診 1 断 事 業 ( 地 方 公 共 団 体 の Webアプリケーションの 脆 弱 性 有 無 を 診 断 する 事 業 以 下 本 事 業 という )に おける 診 断 仕 様 の 一 部 をまとめたものです 平 成 22 年 度 版 の 診 断 仕 様 は 平 成 20 年 度 に 有 識 者 等 によるウェブ 健 康 診 断 検 討 委 員 会 2 において 検 討 し 定 めたものをベースに 診 断 項 目 を 1 件 追 加 し 一 部 検 査 パターンを 変 更 したほか 診 断 時 の 判 定 条 件 詳 細 についての 補 足 を 追 記 しました この 度 本 事 業 で 実 施 した 診 断 内 容 ( 診 断 仕 様 )を 公 開 し 地 方 公 共 団 体 の Webアプリケーションの 開 発 運 用 検 査 及 び 利 用 に 関 わる 全 ての 方 々の 参 考 資 料 として 提 供 することにいたしました なお 本 仕 様 は より 多 くの 地 方 公 共 団 体 に 診 断 を 受 けていただき Webアプリケーションの 脆 弱 性 を 身 近 な 問 題 として 知 っていただくことに 主 眼 を 置 いているため 診 断 内 容 が 一 般 に 診 断 サービスとして 提 供 さ れているものよりも 簡 素 になっています そのため 本 事 業 の 診 断 を 受 けた 結 果 が 良 好 だっただけでは 安 全 である との 判 断 はできません 診 断 を 受 けた 地 方 公 共 団 体 におかれましては 本 事 業 は 現 状 認 識 の 第 一 歩 きっかけの 一 つとしてご 活 用 いただくことを 想 定 しています また 本 事 業 で 脆 弱 性 が 発 見 されるようであれば 別 途 より 詳 細 な 診 断 を 実 施 いただくことをお 勧 めい たします 1.2 平 成 20 年 度 仕 様 との 主 な 差 分 診 断 項 目 (M)クローラへの 耐 性 追 加 追 加 に 係 る 詳 細 は P.15 2.5(M)クローラへの 耐 性 について を 参 照 してください (D)OSコマンド インジェクション の 検 出 パターンを 変 更 OSコマンドの 実 行 結 果 が 表 示 されない 場 合 があることを 考 慮 し 時 間 差 を 用 いた 診 断 方 法 に 変 更 しまし た 各 種 脆 弱 性 検 出 判 定 基 準 等 に 関 する 補 足 を 追 記 誤 解 を 避 けるための 説 明 を 強 化 したほか 診 断 実 施 者 による 診 断 結 果 のゆれを 避 けるため 明 確 な 基 準 を 追 記 しました 誤 字 脱 字 修 正 1 本 事 業 は 当 センターが 実 施 している セキュリティ 支 援 事 業 です ウェブ 健 康 診 断 という 名 称 は 多 くの 地 方 公 共 団 体 に 気 軽 に 診 断 して 現 状 を 把 握 して 頂 きたいという 考 えから 付 けている Webアプリケーション 脆 弱 性 診 断 事 業 の 事 業 名 称 です( 平 成 20 年 度 から 同 名 称 を 利 用 ) 2 同 委 員 会 については ウェブ 健 康 診 断 仕 様 について( 平 成 20 年 度 版 ) を 参 照 してください URL:https://www.lasdec.or.j p/cms/12,1284.html#shiy o 3
1.3 ウェブ 健 康 診 断 とは ウェブ 健 康 診 断 とは 人 間 に 例 えるなら その 名 のとおり 健 康 診 断 にあたるような 位 置 づけの 診 断 です 人 間 ドックに 比 べたら 精 密 ではありませんが 平 成 19 年 度 に 実 施 した Web アプリケーション 脆 弱 性 診 断 結 果 等 も 考 慮 しながら 重 要 な 診 断 項 目 を 検 討 したものです 平 成 22 年 度 は 先 述 のとおり 更 に 項 目 追 記 等 をしています 本 診 断 は 基 本 的 な 対 策 が 出 来 ているかどうかを 診 断 するもの とご 理 解 ください また 診 断 対 象 の Web アプリケーションの 全 てのページを 診 断 するものではなく 診 断 対 象 の 規 模 にもよりますが 基 本 は 抜 き 取 り 調 査 ( 診 断 )です 平 成 22 年 改 版 上 記 イメージ 図 は 平 成 22 年 度 のもの 1 2 4を 当 センターの 支 援 事 業 として 実 施 4 再 診 断 は 平 成 22 年 度 に 実 施 したもの 診 断 方 式 : 遠 隔 地 からインターネット 経 由 による 手 動 若 しくは 自 動 診 断 ツールを 利 用 診 断 実 施 数 : 平 成 20 年 度 約 300 団 体 ( 平 成 20 年 度 版 仕 様 にて 実 施 ) 平 成 21 年 度 約 500 団 体 ( 平 成 20 年 度 版 仕 様 にて 実 施 ) 平 成 22 年 度 約 400 団 体 ( 平 成 22 年 度 版 仕 様 にて 実 施 ) 診 断 対 象 : 地 方 公 共 団 体 が 保 有 若 しくは 利 用 している 現 在 インターネットで 稼 動 中 の Web サーバ 1サイト 分 (1 ドメインネーム) ページ 数 規 模 は 動 的 ページ 5~10 最 大 で 20 画 面 ( 機 能 ) 程 度 まで 診 断 対 象 サイトのサブドメイン 別 ドメインは 原 則 として 対 象 外 診 断 対 象 例 - 電 子 申 請 電 子 入 札 - 図 書 館 蔵 書 検 索 貸 し 出 し 予 約 - 公 共 施 設 予 約 システム - 自 治 体 ホームページの 検 索 機 能 議 事 録 の 検 索 - 資 料 請 求 問 い 合 わせ イベント メールマガジン 等 の 申 込 みフォーム - 地 域 SNS 掲 示 板 GIS 等 4
2 ウェブ 健 康 診 断 診 断 内 容 2.1 診 断 対 象 脆 弱 性 ( 診 断 項 目 ) 及 びその 選 定 理 由 診 断 対 象 脆 弱 性 ( 診 断 項 目 )は 以 下 のとおりです なお 本 書 及 び 別 紙 では 診 断 項 目 を 示 す 場 合 記 号 (A)~(M)を 付 与 しています 想 定 被 害 記 能 動 的 攻 撃 診 断 項 目 ( 脆 弱 性 名 ) 危 険 度 情 報 号 / 受 動 的 攻 撃 漏 洩 改 ざん 妨 害 (A) SQL インジェクション 高 能 動 的 (B) クロスサイト スクリプティング(XSS) 中 受 動 的 (C) クロスサイト リクエスト フォージェリ(CSRF) 中 受 動 的 (D) OS コマンド インジェクション 高 能 動 的 (E) ディレクトリ リスティング 低 ~ 高 能 動 的 (F) メールヘッダインジェクション 中 能 動 的 (G) パストラバーサル 高 能 動 的 (H) 意 図 しないリダイレクト 中 受 動 的 (I) HTTP ヘッダ インジェクション 中 受 動 的 (J) 認 証 低 ~ 中 能 動 的 (K) セッション 管 理 の 不 備 低 ~ 高 能 動 的 / 受 動 的 (L) アクセス 制 御 の 不 備 欠 落 高 能 動 的 (M) クローラへの 耐 性 低 ~ 中 能 動 的 上 記 診 断 項 目 の 選 定 における 根 拠 ( 概 要 )は 以 下 のとおりです 危 険 性 の 高 い 脆 弱 性 ( 直 接 的 な 被 害 につながる 可 能 性 が 高 いもの) 平 成 19 年 度 Web アプリケーション 脆 弱 性 診 断 事 業 ( 当 センター 実 施 )で 検 出 数 の 多 かったもの IPA 安 全 なウェブサイトの 作 り 方 3 に 取 り 上 げられているもの( 届 出 の 多 いもの) 問 題 となるケースが 多 いもの(SQL インジェクション XSS CSRF) 社 会 問 題 にまで 発 展 した 事 案 の 原 因 となったもの(クローラへの 耐 性 ) 2.2 危 険 度 基 準 各 脆 弱 性 に 付 与 している 危 険 度 のレベルは 以 下 の 基 準 に 則 って 提 示 しました 被 害 者 ユーザの 関 与 がなくても 攻 撃 者 が 直 接 アプリケーションに 対 して 攻 撃 可 能 で 危 険 度 高 ある 能 動 的 な 脆 弱 性 攻 撃 を 受 けると 大 量 の 情 報 漏 洩 や 改 ざんの 被 害 を 生 じる 可 能 性 がある 攻 撃 成 功 には 被 害 者 ユーザの 関 与 ( 攻 撃 者 の 罠 のリンクをクリックする 等 )が 必 要 で 危 険 度 中 ある 受 動 的 な 脆 弱 性 若 しくは 能 動 的 な 脆 弱 性 であっても 大 量 の 情 報 漏 洩 や 改 ざんに はつながりにくいもの 攻 撃 成 功 の 確 率 が 低 い 若 しくは 攻 撃 が 成 功 しても 被 害 が 軽 微 であると 考 えられる 脆 危 険 度 低 弱 性 ただし 被 害 に 遭 う 可 能 性 はゼロではない 3 http://www.ipa.go.jp/security/vuln/websecurity.html 5
2.3 総 合 判 定 基 準 脆 弱 性 が 発 見 された 場 合 地 方 公 共 団 体 へ 提 示 する 報 告 書 では 総 合 判 定 所 見 として 要 治 療 精 密 検 査 差 し 支 えない 異 常 は 検 出 されなかった のいずれかを 記 載 します 同 所 見 は 以 下 の 基 準 に 則 って 記 載 しました 総 合 判 定 所 見 要 治 療 精 密 検 査 説 明 危 険 度 が 高 又 は 中 の 明 らかに 危 険 な 脆 弱 性 が 検 出 された Web アプリケ ーションの 改 修 等 の 措 置 を 講 じる 必 要 がある また 指 摘 箇 所 以 外 にも 危 険 な 脆 弱 性 が 発 見 される 可 能 性 が 高 い 基 準 脆 弱 性 (A)~(M)の 13 項 目 のうち 1 つでも 脆 弱 性 が 発 見 された 場 合 ただし 差 し 支 えない の 判 定 基 準 にある 脆 弱 性 以 外 のもの( 危 険 性 が 高 い 脆 弱 性 ) 総 合 判 定 所 見 差 し 支 えない 説 明 今 回 の 診 断 では 危 険 度 が 低 の 脆 弱 性 のみが 検 出 された 現 状 すぐに 実 被 害 に 及 ぶ 可 能 性 は 低 く 運 用 上 は 差 し 支 えないと 判 断 されるが 本 件 は 注 意 が 必 要 であり 放 置 しない 方 がよい 基 準 下 記 4つの 脆 弱 性 (E) (J) (K) (M) のみが 検 出 された 場 合 (E) ディレクトリ リスティング(P.9 参 照 ) ただし 重 要 な 情 報 ( 個 人 情 報 の 記 載 されたファイル 等 )が 検 出 された 場 合 は 既 に 危 険 な 状 態 ということから 要 治 療 精 密 検 査 とします (J) 認 証 (P.12 参 照 ) ただし 検 出 パターン 1 かつ 2 が 検 出 された 場 合 若 しくは 検 出 パターン 5 が 検 出 された 場 合 は 危 険 度 が 高 いため 要 治 療 精 密 検 査 とします (K) セッション 管 理 の 不 備 (P.13 参 照 ) ただし 検 出 パターン 2 が 検 出 された 場 合 若 しくは 検 出 パターン 4 かつ 5 が 検 出 された 場 合 は 危 険 度 が 高 いため 要 治 療 精 密 検 査 とします (M) クローラへの 耐 性 (P.16 参 照 ) ただし P.16 6 脆 弱 性 の 判 定 基 準 にある 条 件 1) 2) 3) 4) だった 場 合 は 危 険 度 が 高 いため 要 治 療 精 密 検 査 とします 総 合 判 定 所 見 異 常 は 検 出 されなかった 説 明 今 回 の 診 断 では 脆 弱 性 は 発 見 されなかった ただし 診 断 していない 項 目 もあり 診 断 方 法 も 限 定 しているので 安 全 である ことと 同 義 ではない 基 準 診 断 結 果 が すべて 正 常 あるいは 該 当 なし の 場 合 6
2.4 診 断 時 に 利 用 する 診 断 項 目 毎 の 検 出 パターン( 目 安 ) 脆 弱 性 有 無 の 判 定 基 準 及 び 対 象 画 面 について 各 診 断 項 目 における 検 出 パターン 及 び 脆 弱 性 有 無 の 判 定 基 準 は 以 下 のとおりです なお 厳 密 な 意 味 で 言 えば 本 基 準 で 判 定 される 挙 動 は 当 該 脆 弱 性 があ る 可 能 性 が 高 い ということになります ( 必 ず 当 該 脆 弱 性 があることを 100% 保 証 はしていません ) また 表 右 端 にある 対 象 画 面 ( 機 能 ) の 詳 細 は P.17 2.6 診 断 対 象 画 面 ( 機 能 )とその 定 義 について を 参 照 してください (A) SQLインジェクション 1 ' (シングルクォート1つ) エラーになる 2 検 索 キー と 検 索 キー'and'a'='a の 比 較 3 検 索 キー( 数 値 ) と 検 索 キー and1=1 の 比 較 検 索 キーのみと 同 じ 結 果 になる 検 索 キーのみと 同 じ 結 果 になる 注 1 DBMSのエラーメッセージと 判 断 する 基 準 は 以 下 の 通 りとします レスポンスに DBMS 等 が 出 力 するエラーメッセージ( 例 :SQLExcepti on Queryfail ed 等 )が 表 示 された 場 合 にエラーが 発 生 したと 判 定 し ます ( 注 1) HTTPステータスコードが 一 致 し かつレスポンスの dif( 差 分 )が 全 体 の 6% 未 満 の 場 合 同 一 の 結 果 と 判 定 します 検 査 対 象 が 検 索 機 能 の 場 合 は 検 索 結 果 件 数 が 同 一 の 場 合 にも 同 一 の 結 果 と 判 定 します 同 上 (この 検 出 パターンは 検 索 キーが 数 値 の 場 合 のみ 検 査 します 数 値 の 場 合 は 全 ての 検 出 パターンを 検 査 し 数 値 以 外 の 場 合 は 検 出 パターン1 2のみ 検 査 します) DBMSの 製 品 名 (Oracle MicrosoftSQLServer IBM DB2 MySQL PostgreSQL 等 )の 全 て 又 は 一 部 が 表 示 される SQLの 一 部 が 表 示 されている シングルクォートが 対 応 していない 等 SQLの 構 文 上 の 問 題 指 摘 が 含 まれている 他 のエラーメッセージとは 明 らかに 異 質 なメッセージ 例 えば 通 常 のエラーメッセージが 日 本 語 であるのに 対 し 英 語 のメッセージになっている 等 DBアクセス 7
(B) クロスサイト スクリプティング(XSS) 1 '>"><hr> ( 注 2) エスケープ 等 されずに 出 力 される 2 '>">< script>alert(document.cookie)</ script> ( 注 2) エスケープ 等 されずに 出 力 される 3 <script>alert(document.cookie)</scri エスケープ 等 されずに 出 力 される pt> ( 注 3) 4 java script:alert(document.cookie); ( 注 2) href 属 性 等 に 出 力 される 注 2 検 出 パターン1 2 4は GET 及 び POSTパラメータについて 実 施 します 注 3 検 出 パターン3は URL 中 のファイル 名 部 分 について 実 施 します レスポンスボディーに 検 査 文 字 列 の 文 字 列 がエスケープ 等 されずに 出 力 されると 脆 弱 性 ありと 判 定 します 同 上 同 上 htp://www.xxx.jp/service/index.htmlというurlであった 場 合 index.html の 部 分 に 検 査 文 字 列 をエンコードせずに 挿 入 しま す レスポンスボディーの 特 定 の URI 属 性 (src,action,background, href,content)や Java Scriptコード(location.href,location.replace) 等 に 検 査 文 字 列 が 出 力 される 場 合 脆 弱 性 ありと 判 定 します 入 力 内 容 確 認 エラー (C) クロスサイト リクエスト フォージェリ(CSRF) ログイン 状 態 において 特 定 副 作 用 を 特 定 副 作 用 を 持 つ 機 能 において 以 下 のいずれかを 満 たす 場 合 に 脆 弱 性 ありと 判 定 します トークン 等 のパラメータが 存 在 しない パスワード 変 更 1 持 つ 画 面 に 対 して 外 部 からパラメータ トークン 等 を 削 除 しても 特 定 副 作 用 が 実 行 される DB 更 新 特 定 副 作 用 が 実 行 される を 強 制 する(この 際 に Refererが 送 出 トークン 文 字 列 の 推 測 が 可 能 メール 送 信 されないように 抑 止 すること) 別 ユーザのトークンが 使 用 できる ( 注 4) 特 定 副 作 用 が 実 行 されたかどうかは 画 面 に 表 示 されるメッセージ 等 により 判 断 します 注 4メール 送 信 機 能 における (C)クロスサイト リクエスト フォージェリの 検 査 については ログイン 後 の 状 態 でメール 送 信 機 能 が 利 用 可 能 な 場 合 に 限 ります 8
(D) OSコマンド インジェクション 1 (UNIX 系 OS 向 け).. /.. /./.. /./.. /./bin/sleep20 を 入 力 20 秒 レスポンスが 遅 くなる - 2 (UNIX 系 OS 向 け) ;/bin/sleep20 を 入 力 3 4 (Windows 系 OS 向 け) 20 秒 レスポンスが 遅 くなる -.. /././.. /.. /./windows/system32/pi 20 秒 レスポンスが 遅 くなる - ng n21127.0.0.1 を 入 力 (Windows 系 OS 向 け) &/windows/system32/ping n211 27.0.0.1 を 入 力 20 秒 レスポンスが 遅 くなる - ファイル 名 メール 送 信 (E) ディレクトリ リスティング 1 URLをディレクトリまでで 終 端 し HTTP リクエストを 送 信 する ディレクトリ 一 覧 が 表 示 される ファイル 一 覧 の 表 示 のみでは 低 危 険 度 重 要 情 報 があれば 高 危 険 度 URLの 末 尾 のファイル 名 部 分 を 削 除 してHTTPリクエストを 送 り ファ イル 一 覧 がレスポンスされるか 確 認 します icons 等 明 らかに 無 害 なものは 報 告 しません 抜 き 取 り 調 査 にて 一 覧 ファイル 内 のバック アップファイル 等 を 探 し 発 見 されたものを 報 告 対 象 とします 注 5 (E)ディレクトリ リスティングに 関 しては 特 に 調 査 対 象 の 基 準 を 設 けていないため 必 要 に 応 じて 任 意 の 箇 所 で 診 断 を 行 います 任 意 の 箇 所 ( 注 5) 9
(F) メールヘッダインジェクション Subject From To 欄 に 1 %0d%0aTo:XXX@xxxx.jp (XXXは 数 値 改 行 文 字 の 後 に 追 加 した Toアドレス(X X@xxxx.jpのアドレス)にメ 新 たなあて 先 を 指 定 できる 2~3 桁 )を 入 力 することで 新 たなあて ールが 届 く 場 合 に 新 たなあて 先 を 指 定 できたと 判 定 します 先 を 指 定 できるか メール 送 信 2 Subject From To 欄 に %0d%0a%0d%0akensa を 入 力 すること で 本 文 内 容 を 改 ざんできるか 本 文 内 容 を 改 ざんできる XXX@xxxx.jpのアドレスに 届 いたメールの 本 文 部 分 に kensa という 文 字 列 が 含 まれている 場 合 本 文 内 容 を 改 ざんできたと 判 定 しま す (G) パストラバーサル 1 (UNIX 系 OS 向 け).. /.. /./.. /./.. /./.. /./etc/hosts /etc/hostsが 表 示 される レスポンスに127.0.0.1 localhost 等 の 文 字 列 が 含 まれる 場 合 /etc/ hostsが 表 示 されたと 判 定 します 2 (UNIX 系 OS 向 け).. /.. /./.. /./.. /./.. /./etc/hosts%0 /etc/hostsが 表 示 される 同 上 3.. /.. /./.. /./.. /./.. /./windows/win.ini win.iniが 表 示 される 示 されたと 判 定 します (Windows 系 OS 向 け) レスポンスに[extensions] 等 の 文 字 列 が 含 まれる 場 合 win.iniが 表 ファイル 名 ( 注 6) 4 (Windows 系 OS 向 け).. /.. /windows/win.ini%0 win.iniが 表 示 される 同 上 0 注 6 (G)パストラバーサル に 関 しては ファイルアクセスが 想 定 される 画 面 ファイル 名 を 想 起 させるパラメータがあった 場 合 に 診 断 します 10
(H) 意 図 しないリダイレクト 1 クエリストリング 等 に URLを 保 持 してい る 場 合 に URLを 別 ドメインのもの(ht 指 定 した 別 ドメインの URLに 遷 移 させら p://www.xxxx.jp/)に 変 更 して HTTPリ クエストを 送 信 する れる Locationヘッダ METAタグの Refresh Java Scriptコード(location.hr ef,location.assign,location.replace)によるリダイレクト 部 分 に 検 査 文 字 列 が 出 力 される 場 合 にリダイレクト 可 能 と 判 定 します ログイン 機 能 以 外 でも 脆 弱 性 として 判 定 します ( 注 7) リダイレクト 注 7リダイレクタがバナー 広 告 の 遷 移 専 用 の 場 合 は 差 し 支 えない 判 定 とします ( 他 に 中 危 険 度 以 上 の 指 摘 がない 場 合 ) (I) HTTPヘッダ インジェクション Cookieに 相 当 するパラメータに 改 行 コ ードを 入 力 Set-Cookieのパラメータに 改 行 が 挿 入 さ 1 元 の 値 %0d%0aSet-Cookie:xxtest%3Dx れる xxtest%3b リダイレクト 先 URLに 相 当 するパラメー タに 改 行 コードを 入 力 Locationヘッダのパラメータに 改 行 が 挿 2 元 の 値 %0d%0aSet-Cookie:xxtest%3Dx 入 される xxtest%3b レスポンスヘッダに xxxtest=xxxtestというset-cookieヘッダが 存 在 する 場 合 改 行 が 挿 入 されたと 判 定 します Cookie リダイレクト 同 上 11
(J) 認 証 1 パスワード( 注 8)の 最 大 文 字 数 が 8 文 字 以 上 確 保 されているか 8 文 字 未 満 の 場 合 は 指 摘 - 2 パスワードの 文 字 種 が 数 字 のみ 英 字 のみに 限 定 されていないか 数 字 のみ 英 字 のみの 場 合 は 指 摘 - 3 パスワードが 入 力 時 に 伏 字 になってい るか 伏 字 になっていない 場 合 は 指 摘 - ログイン 4 パスワード 間 違 いの 際 のメッセージは 適 切 か ユーザ IDとパスワードのどちらが 間 違 い か 分 かるようなメッセージの 場 合 指 摘 - ログアウト 5 ログアウト 機 能 はあるか 適 切 に 実 装 されているか ログアウト 機 能 がない あるいはログア ウト 後 戻 る ボタンでセッションを 再 開 で きる 場 合 は 指 摘 - 6 意 図 的 に 10 回 パスワードを 間 違 える アカウントロックされない 場 合 は 指 摘 - 注 8 ユーザ ID 入 力 欄 が 存 在 せず パスワード 入 力 欄 のみ 存 在 する 場 合 は 暗 黙 の 固 定 ユーザ IDが 想 定 されているとみなし 上 記 検 出 パターンを 適 用 します 12
(K) セッション 管 理 の 不 備 1 ログインの 前 後 でセッション IDが 変 化 するか セッションIDが 変 わらない 場 合 は 指 摘 - 言 語 ミドルウェアの 備 えるセッション セッションIDのパラメータ 名 等 で 言 語 ミドルウェアのセッション 管 理 手 作 りのセッション 管 理 機 構 を 使 用 して 2 管 理 機 構 を 使 用 せず 手 作 りのセッショ 機 構 を 使 用 しているかを 判 断 します( 注 9) いる 場 合 は 指 摘 ン 管 理 機 構 を 使 っていないか 判 断 がつかない 場 合 には " 手 作 りの 疑 いあり"として 報 告 します SSLを 使 用 するサイトの 場 合 セッショ Cookieのセキュア 属 性 が 付 与 されてい 3 ン IDを 保 持 する Cookieにセキュア 属 - ない 場 合 は 指 摘 性 が 付 与 されているか Cookieをオフにしてアクセスした 場 合 セッション IDが URL 埋 め 込 みの 場 合 は リファラから 漏 洩 するおそれがある 場 合 にのみ 脆 弱 と 判 定 します 4 セッションIDが URL 埋 め 込 みにならな 指 摘 ( 検 出 パターン 5を 参 照 ) いか PC/ 携 帯 サイト 両 方 が 対 象 外 部 へのリンク( 検 査 対 象 とは 異 なるホ 携 帯 電 話 向 けサイト 等 でセッション ID スト 上 のページへのリンク)が 存 在 する 場 合 にのみ 脆 弱 と 判 定 しま をURL 埋 め 込 みにしている 場 合 外 部 Refererからセッション IDが 漏 洩 する 場 5 す セッション ID の 漏 洩 が 問 題 とならない 場 合 ( 認 証 等 の 機 能 が 無 リンクから Referer 経 由 でセッション ID 合 は 指 摘 いケースや ワンタイムなセッションIDを 使 用 しているケース)は 報 告 が 漏 洩 しないか から 除 外 します 注 9 言 語 ミドルウェアのセッション 管 理 機 構 とは 以 下 のセッション IDの 場 合 とします PHPSESSID JSESSIONID ASPSESSIONIDxxxx (xxxはランダムな 英 数 字 ) その 他 検 査 実 施 者 の 既 知 のセッションIDを 判 断 材 料 として 加 えてもよいこととします ログイン ログアウト 13
(L) アクセス 制 御 の 不 備 欠 落 1 URL 操 作 により 現 在 のユーザでは 実 行 権 限 のない 機 能 が 実 行 可 能 2 文 書 ID 注 文 番 号 顧 客 番 号 等 がパラ メータにより 指 定 されている 場 合 その ID 類 を 変 更 して 元 々 権 限 のない 情 報 を 閲 覧 できるか 実 行 可 能 の 場 合 は 指 摘 ID 類 の 変 更 により 閲 覧 権 限 のない 情 報 が 表 示 された 場 合 は 指 摘 貸 与 アカウントでは 実 行 権 限 が 無 いと 推 測 されるページ( 管 理 者 機 能 等 )の URLが 特 定 できる 場 合 に 検 査 を 実 施 します 権 限 が 無 い と 推 測 されるページ( 管 理 者 向 けメニュー 等 )が 表 示 された 時 点 で 脆 弱 性 ありとして 判 定 します 閲 覧 権 限 がない 情 報 の ID 類 が 特 定 できる 場 合 に 検 査 を 実 施 しま す 特 定 できない 場 合 は ID 類 の 末 尾 数 値 を 操 作 する 等 の 方 法 で 参 照 権 限 がないと 推 測 される 情 報 が 表 示 されたら 脆 弱 性 ありと 判 定 します アクセス 制 御 有 3 hidden,cookieに 現 在 権 限 が 指 定 され ており その 変 更 により 現 在 のユーザ では 実 行 権 限 のない 機 能 が 実 行 可 能 実 行 可 能 の 場 合 は 指 摘 admin 等 権 限 クラスを 示 すと 推 測 されるパラメータが 存 在 する 場 合 に 検 査 を 実 施 します (M) クローラへの 耐 性 詳 細 は P.15 2.5 (M)クローラへの 耐 性 について を 参 照 してください 14
2.5 (M)クローラへの 耐 性 について インターネットに 公 開 されているホームページは 通 常 の 利 用 者 ( 人 間 )によるアクセスだけではなく ク ローラ と 呼 ばれる 自 動 プログラムによるアクセスを 受 けています この クローラ とは 主 には 検 索 エ ンジンの 検 索 データベースを 作 成 するために Web ページのデータを 収 集 するプログラムのことです このクローラは データの 収 集 にあたって ホームページへ 連 続 的 にアクセスをするのですが 平 成 22 年 度 の 事 業 を 実 施 する 直 前 に そのようなクローラによるアクセスに 耐 えられないという 欠 陥 を 抱 える Web システムが 地 方 公 共 団 体 の Web システムの 一 部 にあることがわかりました クローラは 既 にインターネットにおいては 検 索 エンジンをはじめたくさん 利 用 されており 平 成 22 年 4 月 1 日 施 行 の 改 正 国 立 国 会 図 書 館 法 4により 国 立 国 会 図 書 館 でも 政 府 地 方 公 共 団 体 等 の 公 的 機 関 を 対 象 に 自 動 収 集 プログラム(クローラ)によるインターネットで 公 開 されている 資 料 の 収 集 が 実 施 されてい る 状 況 です 大 半 の 一 般 的 な Web サーバ Web アプリケーションはまず 問 題 ありません しかし 万 一 クローラによ るアクセスに 耐 えられないシステムであった 場 合 クローラのアクセスによりサーバがエラーを 出 したり レスポンスが 極 端 に 遅 くなったり 最 悪 の 場 合 Web サーバが 停 止 するといった 不 具 合 が 発 生 し 利 用 者 に 不 利 益 となる 可 能 性 があります( 可 用 性 が 損 なわれる) 平 成 22 年 度 地 方 公 共 団 体 で 発 生 した 事 態 をかんがみ 本 事 業 においては クローラからのアクセスに 耐 えられないシステムは 新 しいタイプの 脆 弱 性 を 抱 えている とみなしました (M)クローラへの 耐 性 の 診 断 方 法 詳 細 は 以 下 の 通 りです 1 アクセス 方 法 HTTP によるシリアルアクセス HTTP リクエストを 送 信 してから HTTP レスポンスを 受 信 するまでの 間 に 別 の HTTP リクエストは 送 信 しないアクセス 方 法 です なおこの 診 断 では HTTP リクエストにCookieは 付 加 しないものとします 2 負 荷 のかけ 方 最 大 0.5 秒 に 1 回 ただし HTTP リクエストを 送 信 し その 応 答 である HTTP レスポンスの 受 信 を 完 了 してからは 必 ず 0.5 秒 待 機 した 後 に 次 の HTTP リクエストを 送 信 するものとします 3 診 断 対 象 となる Web ページの 選 定 方 法 トップページ URL を 起 点 として そこから 順 次 クローリングによってたどることが 可 能 な Web ページ ただしクローリングによって 1 度 アクセスした Web ページについては 以 降 の 診 断 対 象 に 含 めません なお クローリングを 行 う 際 は Web ページ 中 の A タグから 同 一 ドメイン 内 の URL を 抽 出 するものと し 診 断 対 象 サイトのサブドメイン 別 ドメインは 原 則 として 対 象 外 とします また JavaScript Java アプレット Flash 等 に 含 まれる URL 情 報 の 収 集 や 手 動 入 力 を 必 要 とするフォームによる 遷 移 は 行 わ ないものとします 4 診 断 対 象 ページ 数 範 囲 最 小 1ページから 最 大 4,800 ページ 5 診 断 方 法 トップページ URL を 起 点 として 最 大 0.5 秒 間 隔 の HTTP によるシリアルアクセスで 順 次 クローリン グを 行 ないます 仮 に HTTP リクエストを 送 信 してから 5 秒 経 過 しても HTTP レスポンスの 受 信 が 完 了 しない 場 合 は HTTP 接 続 を 一 旦 切 断 して 5 秒 待 機 した 後 に HTTP によるシリアルアクセスを 再 開 し 4 http://warp.da.ndl.go.jp/bulk_info.pdf 15
ます なお 以 下 の 診 断 終 了 条 件 のいずれかに 該 当 した 場 合 には その 時 点 で 診 断 を 終 了 とします 1) クローリングによってたどることのできる 全 診 断 対 象 ページへのアクセスが 完 了 した 場 合 2) 診 断 開 始 から 40 分 が 経 過 した 場 合 3) 6 脆 弱 性 の 判 定 方 法 にある 1) ~ 6) のいずれかに 該 当 した 場 合 6 脆 弱 性 の 判 定 基 準 診 断 の 結 果 次 の 1)~4)のいずれかの 条 件 に 該 当 する 場 合 以 下 の 判 定 とします 診 断 結 果 異 常 危 険 度 中 診 断 の 結 果 次 の 5) 又 は 6)の 条 件 に 該 当 する 場 合 は 以 下 の 判 定 とします 診 断 結 果 異 常 危 険 度 低 診 断 の 結 果 次 の 1)~6)の 条 件 にいずれも 該 当 しない 場 合 は 以 下 の 判 定 とします 診 断 結 果 正 常 1) HTTP リクエストを 送 信 してから 5 秒 経 過 しても HTTP レスポンスの 受 信 が 完 了 しない 状 態 が 5 回 連 続 で 発 生 した 場 合 2) HTTP リクエストを 送 信 してから 5 秒 経 過 しても HTTP レスポンスの 受 信 が 完 了 しない 状 態 が 累 計 で 10 回 発 生 し かつ 以 下 の 計 算 式 で 算 出 される 値 が 10% 以 上 であった 場 合 ( 計 算 式 ) 10 アクセスの 総 数 100% 3) HTTP レスポンスの HTTP ステータスコードにおいて 400 番 台 又 は 500 番 台 のエラーが 発 生 し かつこの 状 態 が 5 回 連 続 で 発 生 した 場 合 4) HTTP レスポンスの HTTP ステータスコードにおいて 400 番 台 又 は 500 番 台 のエラーが 発 生 す る 状 態 が 累 計 で 10 回 発 生 し かつ 以 下 の 計 算 式 で 算 出 される 値 が 10% 以 上 であった 場 合 ( 計 算 式 ) 10 アクセスの 総 数 100% 5) HTTP リクエストを 送 信 してから 5 秒 経 過 しても HTTP レスポンスの 受 信 が 完 了 しない 状 態 が 累 計 で 10 回 発 生 し かつ 以 下 の 計 算 式 で 算 出 される 値 が 10% 未 満 であった 場 合 ( 計 算 式 ) 10 アクセスの 総 数 100% 6) HTTP レスポンスの HTTP ステータスコードにおいて 400 番 台 又 は 500 番 台 のエラーが 発 生 す る 状 態 が 累 計 で 10 回 発 生 し かつ 以 下 の 計 算 式 で 算 出 される 値 が 10% 未 満 であった 場 合 ( 計 算 式 ) 10 アクセスの 総 数 100% 16
2.6 診 断 対 象 画 面 ( 機 能 )とその 定 義 について 診 断 を 実 施 するにあたっては 全 ての 画 面 ( 機 能 )を 調 査 することが 困 難 な Web サイトもあるため 本 事 業 では 診 断 対 象 のページ 数 に 上 限 を 設 け 診 断 対 象 となる 画 面 ( 機 能 )の 選 定 に 関 して 以 下 のような 定 義 を 設 けています 診 断 対 象 画 面 ( 機 能 ) 名 称 診 断 対 象 画 面 ( 機 能 )の 定 義 / 説 明 診 断 対 象 画 面 ( 機 能 ) イメージ ログイン ユーザ IDとパスワードを 入 力 する 等 して 認 証 を 行 う 画 面 パスワードの 代 わりに 暗 証 番 号 等 の 表 記 になって いる 場 合 もあります ログアウト 認 証 状 態 を 廃 棄 するための 機 能 認 証 機 能 があれば ログイン 機 能 は 必 ずあります が ログアウト 機 能 を 有 しているとは 限 りません ロ グアウトボタン 等 が 見 当 たらない 場 合 は よく 探 す か サイト 管 理 者 に 問 い 合 わせ 等 して 調 べます ( 原 則 として 目 につかないようなログアウトボタンは 無 い ものと 同 類 とみなしてもよい ) パスワード 変 更 ユーザが 自 分 のパスワードを 変 更 する 画 面 入 力 内 容 確 認 ユーザが 入 力 した 値 を 次 の 画 面 で 表 示 し 確 認 でき るようになっている 画 面 一 般 的 に データ 入 力 の 画 面 は 入 力 確 認 登 録 の 3 画 面 構 成 になっていることが 多 く その 場 合 の 2 番 目 の 画 面 を 指 します なお Webサイトによ っては 入 力 登 録 という 構 成 で 入 力 内 容 確 認 がない 場 合 もあります 17
診 断 対 象 画 面 ( 機 能 ) 名 称 診 断 対 象 画 面 ( 機 能 )の 定 義 / 説 明 診 断 対 象 画 面 ( 機 能 ) イメージ DB 更 新 データの 新 規 登 録 や 変 更 により データベースに 更 新 処 理 を 行 っていると 想 定 される 画 面 実 際 に DB 更 新 を 行 っているかどうかは 外 部 からは 判 別 できないので DB 更 新 と 想 定 される 画 面 を 探 し ます DBアクセス 検 索 機 能 やデータ 登 録 参 照 機 能 等 SQLを 利 用 し ていると 想 定 される 画 面 実 際 に SQLを 使 っているか 他 の 手 段 (ファイル オ ブジェクトDB 等 )を 利 用 しているかは 分 からないの で 通 常 SQLを 利 用 していると 想 定 されるものを 列 挙 します エラー エラー 表 示 に 特 化 した 画 面 意 図 的 にエラーを 発 生 させることにより エラーに 特 化 した 画 面 が 現 れるかどうかを 確 認 します ただし そのようなエラー 専 用 画 面 がない 場 合 もあります ファイル 名 ファイル 名 と 想 定 されるパラメータを 引 き 回 している 画 面 xxxxx.txt 等 拡 張 子 が 値 に 付 与 されている 場 合 や パ ラメータ 名 が xxxx e filexxx 等 のネーミングになっ ていることにより 見 分 けます Cookie Cookie 設 定 を 行 っている 画 面 レスポンスヘッダを 調 べて Set-Cookie: が 発 行 さ れている 画 面 を 探 します 特 に ミドルウェアの 発 行 するセッションID 以 外 の Cookieを 優 先 して 探 します 18
診 断 対 象 画 面 ( 機 能 ) 名 称 診 断 対 象 画 面 ( 機 能 )の 定 義 / 説 明 診 断 対 象 画 面 ( 機 能 ) イメージ リダイレクト Locationヘッダや <metahttp-equiv="refresh". により 他 画 面 に 遷 移 している 画 面 メール 送 信 アプリケーションがメールを 送 信 している 画 面 重 要 な 処 理 (パスワード 変 更 申 し 込 み 処 理 等 )の 際 に 確 認 メールが 送 信 される 場 合 があります そのよう な 処 理 がないか 探 します アクセス 制 御 有 情 報 アクセスのための 認 可 システムが 実 装 されてい る 箇 所 のことです 19
( 謝 辞 ) ウェブ 健 康 診 断 仕 様 平 成 22 年 度 版 の 作 成 特 に (M)クローラへの 耐 性 の 追 加 検 討 にあたり ご 指 導 ご 助 言 を 頂 いた 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 主 任 研 究 員 高 木 浩 光 氏 に 感 謝 の 意 を 表 します ウェブ 健 康 診 断 仕 様 について ( 平 成 22 年 度 版 一 般 公 開 用 ) 2011 年 5 月 19 日 公 開 [ 技 術 アドバイザー 執 筆 協 力 ] HASHコンサルティング 株 式 会 社 代 表 取 締 役 徳 丸 浩 氏 [ 執 筆 協 力 ( 平 成 22 年 度 ウェブ 健 康 診 断 実 施 事 業 者 )] 京 セラコミュニケーションシステム 株 式 会 社 ネットワークサービス 事 業 本 部 セキュリティ 事 業 部 セキュリティ 技 術 支 援 課 徳 江 崇 宏 氏 [ 編 集 事 務 局 ] 財 団 法 人 地 方 自 治 情 報 センター 自 治 体 セキュリティ 支 援 室 ( 担 当 : 百 瀬 ) 102-8419 東 京 都 千 代 田 区 一 番 町 25 番 地 ( 全 国 町 村 議 員 会 館 内 ) 20