ウェブ 健 康 診 断 仕 様 について ( 平 成 20 年 度 版 一 般 公 開 用 ) ( 財 ) 地 方 自 治 情 報 センター 自 治 体 セキュリティ 支 援 室
目 次 1 はじめに... 3 1.1 本 資 料 公 開 の 経 緯... 3 1.2 ウェブ 健 康 診 断 とは... 4 2 ウェブ 健 康 診 断 診 断 内 容... 5 2.1 診 断 対 象 脆 弱 性 ( 診 断 項 目 ) 及 びその 選 定 理 由... 5 2.2 危 険 度 基 準... 5 2.3 総 合 判 定 基 準... 6 2.4 診 断 時 に 利 用 する 診 断 項 目 毎 の 検 出 パターン( 目 安 ) 脆 弱 性 有 無 の 判 定 基 準 について... 7 2.5 診 断 対 象 画 面 ( 機 能 )とその 定 義 について... 12 3 ウェブ 健 康 診 断 検 討 委 員 会... 14 3.1 設 置 目 的... 14 3.2 検 討 委 員 会 の 検 討 事 項... 14 3.3 検 討 委 員 会 委 員 一 覧 ( 五 十 音 順 敬 称 略 )... 14 ( 別 紙 ) ウェブ 健 康 診 断 報 告 書 フォーマット 本 診 断 での 報 告 書 フォーマット( 一 部 )です A3 一 枚 表 裏 に 診 断 結 果 が 全 て 収 まるようにしています - 2 -
1 はじめに 1.1 本 資 料 公 開 の 経 緯 本 資 料 は 地 方 自 治 情 報 センター( 以 下 当 センター という )が 平 成 20 年 度 に 実 施 したウェブ 健 康 診 1 断 事 業 ( 地 方 公 共 団 体 の Web アプリケーションのセキュリティ 状 況 を 診 断 する 事 業 以 下 本 事 業 とい う )における 診 断 仕 様 の 一 部 をまとめたものです 同 診 断 仕 様 は 有 識 者 等 によるウェブ 健 康 診 断 検 討 委 員 会 ( 詳 細 は P.14 を 参 照 )において 検 討 し 定 めたものです この 度 本 事 業 で 実 施 した 診 断 内 容 ( 診 断 仕 様 )を 公 開 し 地 方 公 共 団 体 の Web アプリケーションの 開 発 運 用 検 査 及 び 利 用 に 関 わる 全 ての 方 々の 参 考 資 料 として 提 供 することにいたしました 本 仕 様 は より 多 くの 地 方 公 共 団 体 に 診 断 事 業 を 受 けていただき Web アプリケーションの 脆 弱 性 を 身 近 な 問 題 として 知 っていただくことに 主 眼 を 置 いているため 診 断 内 容 が 一 般 に 診 断 サービスとして 提 供 され ているものよりも 簡 素 になっています そのため 本 事 業 の 診 断 を 受 けた 結 果 が 良 好 だっただけでは 安 全 で ある との 判 断 はできません 診 断 を 受 けた 地 方 公 共 団 体 には 本 事 業 は 現 状 認 識 の 第 一 歩 きっかけの 一 つとしてご 活 用 いただくことを 想 定 しています また 本 事 業 で 脆 弱 性 が 発 見 されるようであれば 別 途 より 詳 細 な 診 断 を 実 施 いただくことをお 勧 めいた します [ 地 方 公 共 団 体 担 当 者 の 方 へ ] 本 資 料 は 一 般 公 開 用 のものであり 下 記 内 容 について 入 手 したい 場 合 は 下 記 LGWAN サイトから 取 得 し てください(Internet では 非 公 開 です) 本 仕 様 の 作 成 経 緯 及 び 詳 細 な 検 討 内 容 ( 診 断 しないと 決 めた 診 断 項 目 及 びその 理 由 等 ) 平 成 20 年 度 同 事 業 における1 団 体 あたりの 診 断 単 価 Web アプリケーションの 脆 弱 性 の 理 解 を 深 めるための 参 考 資 料 ( 診 断 仕 様 中 に 取 り 上 げている 12 種 類 の 脆 弱 性 に 関 する 解 説 対 策 脆 弱 性 の 再 現 方 法 ) 診 断 仕 様 ( 詳 細 ) 資 料 公 開 (LGWAN 接 続 環 境 が 必 要 です) http://lascww01.lg-lib.asp.lgwan.jp/cb/bbs/cbservlet?frid=edisp&ci=203&ei=840&o=s&r=y&p=1&t=o なお 診 断 実 施 団 体 全 体 の 結 果 統 計 データ 等 につきましては 下 記 LGWAN サイトにおいて 公 開 予 定 です (Internet では 非 公 開 です) 地 方 自 治 情 報 センター 自 治 体 セキュリティ 支 援 室 ポータルサイト(LGWAN 接 続 環 境 が 必 要 です) http://lascww01.lg-lib.asp.lgwan.jp 1 本 事 業 は 当 センターが 実 施 している セキュリティ 支 援 事 業 です ウェブ 健 康 診 断 という 名 称 は 多 くの 地 方 公 共 団 体 に 気 軽 に 診 断 して 現 状 を 把 握 して 頂 きたいという 考 えから 付 けている Web アプリケーション 脆 弱 性 診 断 事 業 の 事 業 名 称 です( 平 成 20 年 度 から 同 名 称 を 利 用 ) - 3 -
1.2 ウェブ 健 康 診 断 とは ウェブ 健 康 診 断 とは 人 間 に 例 えるなら その 名 のとおり 健 康 診 断 にあたるような 位 置 づけの 診 断 です 人 間 ドックに 比 べたら 精 密 ではありませんが 平 成 19 年 度 に 実 施 した Web アプリケーション 脆 弱 性 診 断 結 果 等 も 考 慮 しながら 重 要 な 診 断 項 目 を 検 討 しました 本 診 断 は 基 本 的 な 対 策 が 出 来 ているかどうかを 診 断 するもの とご 理 解 ください また 診 断 対 象 の Web アプリケーションの 全 てのページを 診 断 するものではなく 診 断 対 象 の 規 模 にもよりますが 基 本 は 抜 き 取 り 調 査 ( 診 断 )です 1~3までを 当 センターの 支 援 事 業 として 実 施 診 断 方 式 : 遠 隔 地 からインターネット 経 由 による 手 動 若 しくは 自 動 診 断 ツールを 利 用 診 断 実 施 数 : 約 300 団 体 診 断 対 象 : 地 方 公 共 団 体 が 保 有 若 しくは 利 用 している 現 在 インターネットで 稼 動 中 の Web サーバ1サイト 分 (1 ドメインネーム) ページ 数 規 模 は 動 的 ページ 5~10 最 大 で 20 画 面 ( 機 能 ) 程 度 まで 診 断 対 象 サイトのサブドメイン 別 ドメインは 原 則 として 対 象 外 診 断 対 象 例 - 電 子 申 請 電 子 入 札 - 図 書 館 蔵 書 検 索 貸 し 出 し 予 約 - 公 共 施 設 等 の 設 備 予 約 - 自 治 体 ホームページ 全 体 や 議 事 録 の 検 索 - 資 料 請 求 問 い 合 わせ イベント メールマガジン 等 の 申 込 みフォーム - 地 域 SNS 掲 示 板 - GIS 等 - 4 -
2 ウェブ 健 康 診 断 診 断 内 容 2.1 診 断 対 象 脆 弱 性 ( 診 断 項 目 ) 及 びその 選 定 理 由 診 断 対 象 脆 弱 性 ( 診 断 項 目 )は 以 下 のとおりです なお 以 降 のページ 及 び 別 紙 で 診 断 項 目 を 示 す 場 合 は 記 号 (A)~(L)を 付 与 しています 記 号 診 断 項 目 ( 脆 弱 性 名 ) 危 険 度 能 動 的 攻 撃 / 受 動 的 攻 撃 情 報 漏 洩 想 定 被 害 改 ざん 妨 害 (A) SQL インジェクション 高 能 動 的 (B) クロスサイト スクリプティング(XSS) 中 受 動 的 (C) クロスサイト リクエスト フォージェリ(CSRF) 中 受 動 的 (D) OS コマンドインジェクション 高 能 動 的 (E) ディレクトリ リスティング 低 ~ 高 能 動 的 (F) メールヘッダインジェクション 中 能 動 的 (G) パストラバーサル 高 能 動 的 (H) 意 図 しないリダイレクト 中 受 動 的 (I) HTTP ヘッダインジェクション 中 受 動 的 (J) 認 証 低 ~ 中 能 動 的 (K) セッション 管 理 の 不 備 低 ~ 高 能 動 的 / 受 動 的 (L) アクセス 制 御 の 不 備 欠 落 高 能 動 的 上 記 診 断 対 象 脆 弱 性 の 選 定 における 根 拠 ( 概 要 )は 以 下 のとおりです 危 険 性 の 高 い 脆 弱 性 ( 直 接 的 な 被 害 を 被 る 可 能 性 が 高 いもの) 平 成 19 年 度 Web アプリケーション 脆 弱 性 診 断 事 業 (LASDEC 実 施 )で 検 出 数 の 多 かったもの IPA 安 全 なウェブサイトの 作 り 方 2 に 取 り 上 げられているもの( 届 出 の 多 いもの) 最 近 問 題 となるケースの 多 いもの(SQL インジェクション XSS CSRF) 2.2 危 険 度 基 準 各 脆 弱 性 に 付 与 している 危 険 度 のレベルは 以 下 の 基 準 に 則 って 提 示 しました 危 険 度 高 被 害 者 ユーザの 関 与 がなくても 攻 撃 者 が 直 接 アプリケーションに 対 して 攻 撃 可 能 である 能 動 的 な 脆 弱 性 攻 撃 を 受 けると 大 量 の 情 報 漏 洩 や 改 ざんの 被 害 を 生 じる 可 能 性 がある 危 険 度 中 攻 撃 成 功 には 被 害 者 ユーザの 関 与 ( 攻 撃 者 の 罠 のリンクをクリックする 等 )が 必 要 である 受 動 的 な 脆 弱 性 もしくは 能 動 的 な 脆 弱 性 であっても 大 量 の 情 報 漏 洩 や 改 竄 にはつながりにくいもの 危 険 度 低 攻 撃 成 功 の 確 率 が 低 い もしくは 攻 撃 が 成 功 しても 被 害 が 軽 微 であると 考 えられる 脆 弱 性 ただし 被 害 に 遭 う 可 能 性 はゼロではない 2 http://www.ipa.go.jp/security/vuln/websecurity.html - 5 -
2.3 総 合 判 定 基 準 脆 弱 性 が 発 見 された 場 合 地 方 公 共 団 体 へ 提 示 する 報 告 書 では 総 合 判 定 所 見 として 要 治 療 精 密 検 査 差 し 支 えない 異 常 は 発 見 されなかった のいづれかを 記 載 します 同 所 見 は 以 下 の 基 準 に 則 って 記 載 しました 要 治 療 精 密 検 査 説 明 危 険 度 が 高 または 中 の 明 らかに 危 険 な 脆 弱 性 が 検 出 された Web アプリケーションの 改 修 等 の 措 置 を 講 じる 必 要 がある また 指 摘 箇 所 以 外 にも 危 険 な 脆 弱 性 が 発 見 される 可 能 性 が 高 い 基 準 脆 弱 性 (A)~(L)の 12 項 目 のうち 1 つでも 脆 弱 性 が 発 見 された 場 合 ただし 差 し 支 えない の 判 定 基 準 にある 脆 弱 性 以 外 のもの( 危 険 性 が 高 い 脆 弱 性 ) 差 し 支 えない 説 明 今 回 の 診 断 では 危 険 度 が 低 の 脆 弱 性 のみが 検 出 された 現 状 すぐに 実 被 害 に 及 ぶ 可 能 性 は 低 く 運 用 上 は 差 し 支 えないと 判 断 されるが 本 件 は 注 意 が 必 要 であり 放 置 しない 方 がよい 基 準 下 記 の3つの 脆 弱 性 のみが 検 出 された 場 合 (E) ディレクトリ リスティング 但 し 重 要 な 情 報 ( 個 人 情 報 の 記 載 されたファイル 等 )が 検 出 された 場 合 は 既 に 危 険 な 状 態 とい うことから 要 治 療 精 密 検 査 とする (J) 認 証 但 し 以 下 だった 場 合 は 危 険 度 が 高 いため 要 治 療 精 密 検 査 とする (1)パスワードが 8 文 字 以 内 かつ 英 数 字 のみの 場 合 (2)ログイン 機 能 に 対 するログアウト 機 能 がない もしくは ログアウト 機 能 は 存 在 するが 適 切 な 処 理 を 行 っていない 場 合 " (K) セッション 管 理 の 不 備 但 し 以 下 だった 場 合 は 危 険 度 が 高 いため 要 治 療 精 密 検 査 とする (1)セッション 管 理 機 能 が 自 作 (ミドルウェア 等 で 提 供 されていない 独 自 )で 問 題 があると 判 断 される 場 合 (2)Cookie が 有 効 であるにも 関 わらず セッション ID が URL に 埋 め 込 まれ リファラから 漏 れる 場 合 ( 携 帯 サイトを 除 く) 異 常 は 発 見 されなかった 説 明 今 回 の 診 断 では 脆 弱 性 は 発 見 されなかった 但 し 診 断 していない 項 目 もあり 診 断 方 法 も 限 定 してい るので 安 全 である ことと 同 義 ではない 基 準 診 断 結 果 が すべて 正 常 あるいは 該 当 なし の 場 合 - 6 -
2.4 診 断 時 に 利 用 する 診 断 項 目 毎 の 検 出 パターン( 目 安 ) 脆 弱 性 有 無 の 判 定 基 準 について 各 診 断 項 目 における 検 出 パターン 及 び 脆 弱 性 有 無 の 判 定 基 準 は 以 下 のとおり なお 厳 密 な 意 味 で 言 えば 本 基 準 で 判 定 される 挙 動 は 当 該 脆 弱 性 がある 可 能 性 が 高 い ということになる( 必 ず 当 該 脆 弱 性 があることを 100% 保 障 はしない) (A) SQL インジェクション 1 ' (シングルクォート)1 個 エラーになる レスポンスに DBMS 等 が 出 力 するエラーメッセージ( 例 :SQLException Query failed 等 )が 表 示 された 場 合 にエラーが 発 生 したと 判 定 します 2 検 索 キー と 検 索 キー'and'a'='a の 比 較 検 索 キーのみと 同 じ 結 果 になる HTTP ステータスコードが 一 致 し かつレスポンスの diff( 差 分 )が 全 体 の 6% 未 満 の 場 合 同 一 の 結 果 と 判 定 します 検 査 対 象 が 検 索 機 能 の 場 合 は 検 索 結 果 件 数 が 同 一 の 場 合 にも 同 一 の 結 果 と 判 定 します 同 上 3 検 索 キー( 数 値 ) と 検 索 キー and 1=1 の 比 較 検 索 キーのみと 同 じ 結 果 になる (B) クロスサイト スクリプティング(XSS) 1 '>"><hr> エスケープ 等 されずに 出 力 される レスポンスボディーに 検 査 文 字 列 の 文 字 列 がエスケープ 等 されずに 出 力 されると 脆 弱 と 判 定 します 2 '>"><script>alert(document.cookie)</script> エスケープ 等 されずに 出 力 される 同 上 3 URL 中 のファイル 名 として <script>alert(document.cookie)</script> エスケープ 等 されずに 出 力 される 4 javascript:alert(document.cookie); href 属 性 等 に 出 力 される 同 上 http://www.xxxx.jp/service/index.html という URL であった 場 合 index.html の 部 分 に 検 査 文 字 列 をエンコードせずに 挿 入 します レスポンスボディーの 特 定 の URI 属 性 (src, action, background, href, content)や JavaScript コード(location.href, location.replace) 等 に 検 査 文 字 列 が 出 力 される 場 合 脆 弱 と 判 定 します - 7 -
(C) クロスサイト リクエスト フォージェリ(CSRF) 特 定 副 作 用 を 持 つ 機 能 において 以 下 のいずれかを 満 たす 場 合 に 脆 弱 と 判 定 します トークン 等 のパラメータが 存 在 しない 1 ログイン 状 態 において 特 定 副 作 用 を 持 つ 画 面 に 対 トークン 等 を 削 除 しても 特 定 副 作 用 が 実 行 される 特 定 副 作 用 が 実 行 される して 外 部 からパラメータを 強 制 する トークン 文 字 列 の 推 測 が 可 能 別 ユーザのトークンが 使 用 できる 特 定 副 作 用 が 実 行 されたかは 画 面 に 表 示 されるメッセージ 等 により 判 断 します (D) OS コマンド インジェクション 1../../../../../../../sbin/ifconfig を 入 力 ifconfig の 実 行 結 果 が 表 示 される レスポンスに 127.0.0.1 等 の 文 字 列 が 含 まれる 場 合 ifconfig が 実 行 され たと 判 定 します 2 ;/sbin/ifconfig を 入 力 ifconfig の 実 行 結 果 が 表 示 される 同 上 3../../../../../../../windows/system32/ipconfig を 入 力 ipconfig の 実 行 結 果 が 表 示 される 4 &/windows/system32/ipconfig を 入 力 ipconfig の 実 行 結 果 が 表 示 される レスポンスに Ethernet, adapter 等 の 文 字 列 が 含 まれる 場 合 ipconfig が 実 行 されたと 判 定 します 同 上 (E) ディレクトリ リスティング 1 URL をディレクトリまでで 終 端 しリクエストする URL の 末 尾 のファイル 名 部 分 を 削 除 してリクエストを 送 り ファイル 一 覧 ディレクトリ 一 覧 が 表 示 される ファイ がレスポンスされるか 確 認 します icons 等 明 らかに 無 害 なものは 報 告 し ル 一 覧 の 表 示 のみでは 低 危 険 ません 抜 き 取 りにて 一 覧 ファイル 内 のバックアップファイル 等 を 探 して 度 重 要 情 報 があれば 高 危 険 度 発 見 されたものを 報 告 します - 8 -
(F) メールヘッダインジェクション Subject From To 欄 に %0d%0aTo:SecXXX@xxxx.jp 改 行 文 字 の 後 に 追 加 した To アドレス(@xxxx.jp のアドレス)にメールが 届 1 (XXX は 数 値 2~3 桁 )を 入 力 することで 新 たなあて 新 たなあて 先 を 指 定 できる く 場 合 に 新 たなあて 先 を 指 定 できたと 判 定 します 先 を 指 定 できるか 2 Subject From To 欄 に %0d%0a%0d%0akensa を 入 力 @xxxx.jp のアドレスに 届 いたメールの 本 文 部 分 に kensa という 文 字 列 が 本 文 内 容 を 改 ざんできる することで 本 文 内 容 を 改 ざんできるか 含 まれている 場 合 本 文 内 容 を 改 ざんできたと 判 定 します (G) パストラバーサル 1 UNIX 系 OS 向 け レスポンスに 127.0.0.1 localhost 等 の 文 字 列 が 含 まれる 場 合 /etc/hosts が 表 示 される../../../../../../../../../etc/hosts /etc/hosts が 表 示 されたと 判 定 します 2 UNIX 系 OS 向 け 同 上 /etc/hosts が 表 示 される../../../../../../../../../etc/hosts%00 3 Windows 向 け レスポンスに[extensions] 等 の 文 字 列 が 含 まれる 場 合 win.ini が 表 示 され win.ini が 表 示 される../../../../../../../../../windows/win.ini たと 判 定 します 4 Windows 向 け 同 上 win.ini が 表 示 される../../../../../../../../../windows/win.ini%00 (H) 意 図 しないリダイレクト 1 Location ヘッダ META タグの Refresh JavaScript コード(location.href, クエリストリング 等 に URL を 保 持 している 場 合 に 指 定 した 別 ドメインの URL に 遷 移 さ location.assign, location.replace)によるリダイレクト 部 分 に 検 査 文 字 列 が URL を 別 ドメインのもの(http://www.xxxx.jp/)に 変 更 せられる 出 力 される 場 合 にリダイレクト 可 能 と 判 定 します ログイン 機 能 以 外 でも してリクエストする 脆 弱 性 として 判 定 します - 9 -
(I) HTTP ヘッダ インジェクション レスポンスヘッダに xxxxtest=xxxxtest という Set-Cookie ヘッダが 存 在 Cookie に 相 当 するパラメータに 改 行 コードを 入 力 Set-Cookie のパラメータに 改 行 が 挿 1 する 場 合 改 行 が 挿 入 されたと 判 定 します 元 の 値 %0d%0aSet-Cookie:xxxtest%3Dxxxxtest%3B 入 される 2 リダイレクト 先 URL に 相 当 するパラメータに 改 行 コー ドを 入 力 元 の 値 %0d%0aSet-Cookie:xxxxtest%3Dxxxxtest%3B Location ヘッダのパラメータに 改 行 が 挿 入 される 同 上 (J) 認 証 1 パスワードの max 文 字 数 が 8 文 字 以 上 確 保 されてい - 8 文 字 未 満 の 場 合 は 指 摘 るか 2 パスワードの 文 字 種 が 数 字 のみ 英 字 のみに 限 定 さ - 数 字 のみ 英 字 のみの 場 合 は 指 摘 れていないか 3 パスワードが 入 力 時 に 伏 字 になっているか 伏 字 になっていない 場 合 は 指 摘 - 4 パスワード 間 違 いの 際 のメッセージは 適 切 か ユーザ ID とパスワードのどちらが 間 違 いか 分 かるようなメッセージの 場 合 指 摘 ログアウト 機 能 がない あるいはログ 5 ログアウト 機 能 はあるか 適 切 に 実 装 されているか アウト 後 戻 る ボタンでセッションを 再 開 できる 場 合 は 指 摘 6 意 図 的 に 10 回 パスワードを 間 違 える アカウントロックされない 場 合 は 指 摘 - - - - 10 -
(K) セッション 管 理 の 不 備 1 ログインの 前 後 でセッション ID が 変 化 するか セッション ID が 変 わらない 場 合 は 指 摘 - 2 言 語 ミドルウェアの 備 えるセッション 管 理 機 構 を 使 セッション ID のパラメータ 名 等 で 言 語 ミドルウェアのセッション 管 理 機 手 作 りのセッション 管 理 機 構 を 使 用 用 せず 手 作 りのセッション 管 理 機 構 を 使 っていない 構 を 使 用 しているかを 判 断 します 判 断 がつかない 場 合 には " 手 作 りの している 場 合 は 指 摘 か 疑 いあり"として 報 告 します 3 SSL を 使 用 するサイトの 場 合 セッション ID を 保 持 す Cookie のセキュア 属 性 が 付 与 されて - る Cookie にセキュア 属 性 が 付 与 されているか いない 場 合 は 指 摘 4 Cookie をオフにしてアクセスした 場 合 セッション ID セッション ID が URL 埋 め 込 みの 場 合 リファラから 漏 洩 するおそれがある 場 合 にのみ 脆 弱 と 判 定 します (5 を が URL 埋 め 込 みにならないか は 指 摘 参 照 ) 5 PC/ 携 帯 サイト 両 方 が 対 象 外 部 へのリンク( 検 査 対 象 とは 異 なるホスト 携 帯 電 話 向 けサイト 等 でセッション ID を URL 埋 め 込 Referer からセッション ID が 漏 洩 する 上 のページへのリンク)が 存 在 する 場 合 にのみ 脆 弱 と 判 定 します セッシ みにしている 場 合 外 部 リンクから Referer 経 由 でセ 場 合 は 指 摘 ョン ID の 漏 洩 が 問 題 とならない 場 合 ( 認 証 等 の 機 能 が 無 いケースや ワ ッション ID が 漏 洩 しないか ンタイムなセッション ID を 使 用 しているケース)は 報 告 から 除 外 します (L) アクセス 制 御 の 不 備 欠 落 貸 与 アカウントでは 実 行 権 限 が 無 いと 推 測 されるページ( 管 理 者 機 能 等 ) 1 URL 操 作 により 現 在 のユーザでは 実 行 権 限 のない の URL が 特 定 できる 場 合 に 検 査 を 実 施 します 権 限 が 無 いと 推 測 され 実 行 可 能 の 場 合 は 指 摘 機 能 が 実 行 可 能 るページ( 管 理 者 向 けメニュー 等 )が 表 示 された 時 点 で 脆 弱 性 として 判 定 します 2 文 書 ID 注 文 番 号 顧 客 番 号 等 がパラメータにより 指 閲 覧 権 限 がない 情 報 の ID 類 が 特 定 できる 場 合 に 検 査 を 実 施 します 特 ID 類 の 変 更 により 閲 覧 権 限 のない 定 されている 場 合 その ID 類 を 変 更 して 元 々 権 限 定 できない 場 合 は ID 類 の 末 尾 数 値 を 操 作 する 等 の 方 法 で 参 照 権 限 情 報 が 表 示 された 場 合 は 指 摘 のない 情 報 を 閲 覧 できるか がないと 推 測 される 情 報 が 表 示 されたら 脆 弱 と 判 定 します hidden, Cookie に 現 在 権 限 が 指 定 されており その 変 admin 等 権 限 クラスを 示 すと 推 測 されるパラメータが 存 在 する 場 合 に 3 更 により 現 在 のユーザでは 実 行 権 限 のない 機 能 が 実 行 可 能 の 場 合 は 指 摘 検 査 を 実 施 します 実 行 可 能 - 11 -
2.5 診 断 対 象 画 面 ( 機 能 )とその 定 義 について 診 断 を 実 施 するにあたっては 全 ての 画 面 ( 機 能 )を 調 査 するのは 困 難 なため 本 事 業 では 診 断 対 象 のページ 数 に 上 限 を 設 けており 診 断 対 象 となる 画 面 ( 機 能 )の 選 定 に 関 して 以 下 のような 定 義 を 設 けています また 各 画 面 ( 機 能 )で 最 低 限 実 施 する 診 断 項 目 を 規 定 しました なお 平 成 20 年 度 事 業 では ここに 定 めた 最 低 限 実 施 する 範 囲 よりも 若 干 広 く 診 断 をしました 診 断 対 象 画 面 ( 機 能 ) 名 称 ログイン ログアウト DB アクセス 入 力 内 容 確 認 エラー ファイル 名 Cookie リダイレクト 診 断 対 象 画 面 ( 機 能 )の 定 義 ユーザ ID とパスワードを 入 力 する 等 して 認 証 を 行 う 画 面 パ スワードの 代 わりに 暗 証 番 号 等 の 表 記 になっている 場 合 もある 認 証 機 能 のある Web サイトの 場 合 は かならずどこ かにログイン 画 面 がある(はず) 認 証 状 態 を 廃 棄 するための 機 能 認 証 機 能 があれば ログ イン 機 能 は 必 ずあるが ログアウト 機 能 を 有 しているとは 限 らない ログアウトボタン 等 が 見 当 たらない 場 合 は よく 探 す か サイト 管 理 者 に 問 い 合 わせる 等 で 調 べる 検 索 機 能 やデータ 登 録 参 照 機 能 等 SQL を 利 用 していると 想 定 される 画 面 のこと 実 際 に SQL を 使 っているか 他 の 手 段 (ファイル オブジェクト DB 等 )を 利 用 しているかは 分 からな いので 通 常 SQL を 利 用 していると 想 定 されるものを 列 挙 す ればよい ユーザが 入 力 した 値 を 次 の 画 面 で 表 示 し 確 認 できるように なっている 画 面 一 般 的 に データ 入 力 の 画 面 は 入 力 確 認 登 録 の 3 画 面 構 成 になっていることが 多 く その 場 合 の 2 番 目 の 画 面 を 指 す Web サイトによっては 入 力 登 録 という 構 成 の 場 合 もある(この 場 合 は 確 認 画 面 がない) ので その 場 合 は 別 の 画 面 を 探 す エラー 表 示 に 特 化 した 画 面 のこと 意 図 的 にエラーを 発 生 さ せることにより エラーに 特 化 した 画 面 が 現 れるかどうかを 確 認 すること そのような エラー 専 用 画 面 がない 場 合 もある ファイル 名 と 想 定 されるパラメータを 引 き 回 している 画 面 のこ と xxxxx.txt 等 拡 張 子 が 値 に 付 与 されている 場 合 や パラメ ータ 名 が xxxxfile filexxxx 等 のネーミングになっていることに より 見 分 ける Cookie 設 定 を 行 っている 画 面 レスポンスヘッダを 調 べて Set-Cookie:が 発 行 されている 画 面 を 探 す ミドルウェアの 発 行 するセッション ID 以 外 の Cookie を 優 先 して 探 す Location ヘッダや <meta http-equiv="refresh"... により 他 画 面 に 遷 移 している 画 面 - 12 - 最 低 限 実 施 する 診 断 項 目 (H) 意 図 しないリタ イレクト (J) 認 証 (K) セッション 管 理 不 備 (K) セッション 管 理 不 備 (A) SQL インシ ェクション (B) クロスサイト スクリフ ティンク (B) クロスサイト スクリフ ティンク (D) OS コマント インシ ェクション (G) ハ ストラハ ーサル (I) HTTP ヘッタ インシ ェクション (I) HTTP ヘッタ インシ ェクション
診 断 対 象 画 面 ( 機 能 ) 名 称 診 断 対 象 画 面 ( 機 能 )の 定 義 最 低 限 実 施 する 診 断 項 目 パスワード 変 更 DB 更 新 メール 送 信 アクセス 制 御 有 文 字 通 り ユーザが 自 分 のパスワードを 変 更 する 画 面 のこ と データの 新 規 登 録 や 変 更 により データベースに 更 新 処 理 を 行 っていると 想 定 される 画 面 を 探 す 実 際 に DB 更 新 を 行 っ ているかどうかは 外 部 からは 判 別 できないので DB 更 新 と 想 定 される 画 面 を 探 せばよい 重 要 な 処 理 (パスワード 変 更 申 し 込 み 処 理 等 )の 際 に 確 認 メ ールが 送 信 される 場 合 がある そのように アプリケーション がメールを 送 信 している 画 面 を 探 す 情 報 アクセスのための 認 可 システムが 実 装 されている 箇 所 を 指 す (C) クロスサイト リクエスト フォーシ ェリ (C) クロスサイト リクエスト フォーシ ェリ (F) メールヘッタ インシ ェクション (D) OS コマント インシ ェクション (C) クロスサイト リクエスト フォーシ ェリ ( 注 1) (L) アクセス 制 御 不 備 注 1 メール 送 信 機 能 における (C) クロスサイト リクエスト フォーシ ェリ の 検 査 については ログイン 後 の 状 態 でメール 送 信 機 能 が 利 用 可 能 な 場 合 に 限 る 注 2 (E) テ ィレクトリ リスティンク に 関 しては 特 に 調 査 対 象 の 基 準 を 設 けていない 必 要 に 応 じて 診 断 する 注 3 (G) ハ ストラハ ーサル に 関 しては ファイルアクセスが 想 定 される 画 面 ファイル 名 を 想 起 させるパラメータ タがあった 場 合 に 診 断 する - 13 -
3 ウェブ 健 康 診 断 検 討 委 員 会 3.1 設 置 目 的 ウェブ 健 康 診 断 事 業 を 適 切 かつ 効 果 的 に 実 施 するため 有 識 者 による ウェブ 健 康 診 断 検 討 委 員 会 ( 以 下 検 討 委 員 会 という )を 設 置 した 3.2 検 討 委 員 会 の 検 討 事 項 検 討 委 員 会 では 主 に 次 に 掲 げる 事 項 の 検 討 を 行 った 診 断 方 法 診 断 範 囲 具 体 的 な 診 断 項 目 及 びその 検 査 パターン 診 断 事 業 者 の 選 定 基 準 及 び 選 定 審 査 方 法 地 方 公 共 団 体 へ 個 別 に 提 示 する 診 断 結 果 レポート 内 容 検 出 された 脆 弱 性 の IPA への 届 け 出 について 3.3 検 討 委 員 会 委 員 一 覧 ( 五 十 音 順 敬 称 略 ) 飯 島 輝 泰 埼 玉 県 毛 呂 山 町 情 報 推 進 室 係 長 加 賀 谷 伸 一 郎 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター ウイルス 不 正 アクセス 対 策 ク ルーフ 主 幹 木 村 修 二 財 団 法 人 関 西 情 報 産 業 活 性 化 センター 情 報 化 推 進 グループ 部 長 久 保 正 樹 有 限 責 任 中 間 法 人 JPCERT コーテ ィネーションセンター 情 報 流 通 対 策 グループ 分 析 官 芝 原 努 財 団 法 人 関 西 情 報 産 業 活 性 化 センター 情 報 化 推 進 グループ 係 長 高 木 浩 光 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 主 任 研 究 員 高 倉 弘 喜 京 都 大 学 学 術 情 報 メディアセンター ネットワーク 研 究 部 門 准 教 授 竹 内 美 知 千 葉 県 市 川 市 情 報 システム 部 地 域 情 報 推 進 担 当 森 岡 寛 志 総 務 省 自 治 行 政 局 地 域 情 報 政 策 室 電 子 自 治 体 推 進 係 長 渡 辺 貴 仁 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター 情 報 セキュリティ 技 術 ラホ ラトリー 研 究 員 - 14 -
ウェブ 健 康 診 断 仕 様 について ( 平 成 20 年 度 版 一 般 公 開 用 ) 2009 年 4 月 6 日 公 開 [ 技 術 アドバイザー 委 員 会 オブザーバ] HASHコンサルティング 株 式 会 社 徳 丸 浩 氏 [ 執 筆 協 力 者 ( 平 成 20 年 度 ウェブ 健 康 診 断 実 施 事 業 者 )] 三 井 物 産 セキュアディレクション 株 式 会 社 技 術 部 セキュリティアセスメントグループ 国 分 裕 氏 佐 々 木 博 氏 [ 編 集 事 務 局 ] 財 団 法 人 地 方 自 治 情 報 センター 自 治 体 セキュリティ 支 援 室 ( 担 当 : 百 瀬 ) 102-8419 東 京 都 千 代 田 区 一 番 町 25 番 地 ( 全 国 町 村 議 員 会 館 内 ) - 15 -