Webサイト防御のためにできること今、見直すWebアプリケーションのセキュリティ

Webサイトへの攻撃が後を絶たない。改ざんや悪質サイトへと誘導するその手口はさらに巧妙化し、従来のIPSなどでは防ぎきれなくなった。サイトを脅威から守るために、今すぐできるセキュリティ対策を紹介する。

2008年07月10日 08時00分 公開
[大野祐一,ラック サイバーリスク総合研究所]

 2005年春、2007年春に猛威を振るったSQLインジェクション(※注1)の検知数が、2008年の3月上旬から当時の何倍もの規模にまで増えてきた(図1)。正直なところSQLインジェクションは「過去の遺物」であり、ほとんどのサイト運営者が何らかの手を打ち、もう絶滅したと思われていたが、現在も被害に遭うサイトは後を絶たない(図2)。

※注1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法

図1 図1●JSOC(ラックセキュリティ監視センター)で検知したSQLインジェクションの件数
図2 図2●被害サイトは予想以上(Googleの検査結果)《クリックで拡大》

 ここではWebアプリケーション(以下、Webアプリ)の脆弱性対策の話が中心であるため、攻撃の詳細にまでは触れないが、一連の攻撃で厄介だったのは、攻撃コードが難読化されていたことである(図3)。攻撃コードの難読化により、既存のベンダー製シグネチャが適用されたIDS/IPS(不正侵入検知/防御システム)などでは検知できないため、自組織では攻撃があったことに気付かなかった。利用者や第三者からの指摘があるまで放置されていたのである。

 その結果、Webページに利用されているデータベースの値(HTMLの一部になる値)が改ざんされ、ページを改ざんされたのと同じ状態となった。そのサイトにアクセスしたユーザーは知らないうちに悪質なプログラムをダウンロード・実行し、Webブラウザや音楽プレーヤーなどのプログラムの脆弱性を突いて攻撃者に情報を送信したり、ウイルスに感染したりしてしまう。さらに各サイトの攻撃コード(スクリプト)も難読化されていたため対応が遅れ、被害規模が大きくなってしまったのだ。

図3 図3●難読化されている攻撃コード

 皆さんのサイトは本当に大丈夫だろうか? もし不安なら、以下に挙げるようなIPA(情報処理推進機構)やわれわれのようなセキュリティベンダーが提供する無償ログチェッカーで、攻撃の有無を調べてみることをお勧めする。仮に攻撃があったと判定されたとしても、誤検知の場合もあるので慌てず内容を確認し、攻撃が本物か誤検知かを判断する。攻撃が本物ならその攻撃が成功していそうか否か、また攻撃されているWebアプリの脆弱性(設計/プログラミング上の欠陥)の有無などを調べてみるとよい(自組織で調べられない場合は後述を参照)。そのほか、とにかく不安なら最初から身近なセキュリティベンダーに相談するのもよいだろう。

対策の大前提――セキュリティ対策の要件化

 まず、セキュリティ対策を発注する側が注意する点を考える。Webアプリのセキュリティ対策に限らず、セキュリティ対策を考える際に重要なことは、発注者側が満たすべき要件をシステムインテグレーター側に要求することである。「インテグレーターの技術者は言われなくてもきちんと対策をやってほしい」と彼らの良心に期待するのは自由だが、セキュリティ対策はほとんどの場合、要求しなければ実装されない。なぜなら、アプリケーションの機能を追加したときと同様、セキュリティ対策にはお金が掛かるからである。

 では、どのように要求すべきか? まずは自社のセキュリティポリシーやシステム開発標準などを確認し、その上で日本ネットワークセキュリティ協会(JNSA)の「Webシステム セキュリティ要求仕様(RFP)」編 β版PCI DSS(クレジットカード業界のセキュリティ基準)などを参考に提案依頼書(RFP)を作成してみてはいかがだろうか。

 次に対策を行う側、つまり開発者側にとってWebアプリのセキュリティ対策の中心は、セキュアなアプリケーションを開発することである。しかし、そのアプリケーションが稼働するサーバが欠陥だらけでは、下位レイヤーのOSやミドルウェアから攻められてしまう。従って、従来言われている「サーバの要塞化(ハードニング)」「セキュリティパッチ適用の徹底」などの基本的な対策を怠ってはいけない。どの分野においても基本は大事である。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

製品資料 東京エレクトロン デバイス株式会社

クラウドセキュリティを強化する注目手法、WAAPとCNAPPを組み合わせるメリット

マルチクラウド化が進み、アプリケーションとインフラを効率的に保護する手法が求められる昨今。そこで注目したいのが、WAAP(Web Application and API Protection)とCNAPP(Cloud Native Application Protection Platform)の活用だ。

製品資料 LRM株式会社

標的型攻撃が増加傾向、“攻撃を受けても情報が漏れない”仕組みづくりが重要に

標的型攻撃は主にメールで行われ、企業側が気を付けていても防ぎきれないケースがある。そのため、対策には検知・防御だけでなく、“攻撃を受けても情報が漏れない”仕組み作りが重要であり、各従業員のITリテラシー向上が不可欠だ。

製品資料 LRM株式会社

従業員のセキュリティ教育「ToDoリスト」、実施に当たり注意すべきことは?

巧妙化を続けるサイバー攻撃から企業の資産を保護するには、従業員のセキュリティリテラシーを高める教育が不可欠だ。教育を実施するに当たって重要となるポイントを「ToDo」リストとしてまとめた。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/12 UPDATE

  1. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  2. IPA縲梧ュ蝣ア繧サ繧ュ繝・繝ェ繝�ぅ10螟ァ閼�ィ√€阪r蜊倥↑繧九Λ繝ウ繧ュ繝ウ繧ー縺ァ邨ゅo繧峨○縺ェ縺�婿豕�
  3. Apple繧偵□縺セ縺吮€應ク肴ュ」縺ェiPhone菫ョ逅�€昴�謇句哨縺ィ蜊ア髯コ諤ァ
  4. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  5. 繧シ繝ュ繝医Λ繧ケ繝医�騾イ蛹也ウサ�溘€€縲後ぞ繝ュ繧ケ繧ソ繝ウ繝�ぅ繝ウ繧ー迚ケ讓ゥ縲搾シ�ZSP�峨→縺ッ菴輔°
  6. 譌・譛ャ縺ァ繧ょッセ遲悶′驕�l繧九€後≠縺ョ萓オ蜈・邨瑚キッ縲阪′諤・蠅冷€補€墓判謦�げ繝ォ繝シ繝励�豢サ蜍募ョ滓�
  7. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ォ謔ェ逕ィ縺輔l縺溪€弩indows縺ョ遨エ窶昴→縺ッ�溘€€繝代ャ繝√〒逶エ繧峨↑縺�ф蠑ア諤ァ繧�
  8. 縺ゥ繧後□縺代〒縺阪※縺�k�溘€€縺セ縺輔°縺ョ縲後ョ繝シ繧ソ豬∝�縲阪r髦イ縺絶€�11蛟九�隕∫せ窶�
  9. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  10. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。