新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表：HTTP Desync攻撃が際立つ

サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。

[＠IT]

　サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2020年2月17日（現地時間）、2019年の新しいWebハッキング技術のトップ10を発表した。

　同社は、2006年からほぼ毎年、トップ10を発表している。今回はまず、Redditコミュニティー「Web Security Research」のメンバーが51件の候補を推薦し、メンバーの投票で最終選考対象を15件に絞り込んだ。最後にPortSwiggerのリサーチディレクターを務めるジェームズ・ケトル氏を含む4人の専門家パネルが協議、投票を行ってトップ10を選出した。

　なぜトップ10を発表するのだろうか。「重要な」攻撃とそうでないものの見分けが付かなくなっているからだ。

　毎年、研究者やベテランのペネトレーションテスター（ペンテスター）、賞金獲得を目指してチャレンジする技術者、学者が、サイバー攻撃手法についてBlogやプレゼンテーション、ビデオ、ホワイトペーパーを大量に発表している。新しい攻撃手法であっても、古い手法の再構成であっても、これらの発表の中には新たな攻撃に適用できる新しいアイデアが多数含まれている。

　だが、マーケティングチームを備えた企業の発表がどうしても目立ってしまう。このため、革新的なテクニックやアイデアがノイズの中に埋もれてしまう可能性がある。このような事態を避けるために、コミュニティーと協力して、時の試練に耐え得ると考えたトップ10を発表しているのだという。

　トップ10に選ばれたWebハッキング技術は、2019年に発表されたWebセキュリティ研究成果の中でも革新的なものであり、いずれも、セキュリティの最新動向に関心を持つ全ての人に、洞察を提供すると、ケトル氏は述べている。

コミュニティーが最も支持：HTTP Desync攻撃

　コミュニティーの投票で大差の首位を獲得した「HTTP Desync攻撃」は、長い間忘れられていたHTTPリクエストスマグリングという手法をケトル氏が復活させたものだ。この攻撃はPayPalのログインページの守りを2回にわたって破った。

　同氏は、「私の研究としては最高のものだと自負しているが、自らの研究を候補として選ぶことはできないので、トップ10から除外した」としている。トップ10の概要は以下の通り。

• 10位　nullバイトバッファーオーバーフローのエクスプロイト

　Sam Curry氏と友人が発見した攻撃は、メモリ安全性の脆弱（ぜいじゃく）性を利用するHeartbleedのような手法を採る。この脆弱性は重大だが、見過ごされやすい。このWebハッキング技術はさまざまなWebサイトでも、ほぼ確実に有効だ。この脆弱性から分かることは、Webセキュリティに関しては、想定外のことが起こっていないか常に目を光らせるべきだということだ。

• 9位　Microsoft Edge（Chromium版）の権限昇格によるリモートコード実行

　Abdulrhman Alqabandi氏は、Web攻撃とバイナリ攻撃を組み合わせ、Chromiumベースの「Microsoft Edge」の脆弱性を突く攻撃を発見した。

　このWebハッキング技術によって明らかになった脆弱性は、既に修正されている。この技術は、深刻度の低い複数の脆弱性を突く攻撃を連鎖（エクスプロイトチェーン）させることで、重大な影響を引き起こせることを示す好例だ。また、権限昇格によって、Web脆弱性がデスクトップを危険にさらす場合があることも浮き彫りにしている。

• 8位　企業イントラネットへの侵入、SSL-VPNにおける非認証リモートコード実行の脆弱性によるエクスプロイト

　Orange Tsai氏は、SSL-VPN（Virtual Private Network）に存在する、非認証のリモートコード実行を許す複数の脆弱性を利用した。

　VPNの通信先は通常、インターネットに接続されて特権が付与された場所に配置される。このため、攻撃に成功した場合の影響が大きい。つまりVPNは格好の標的になる。今回のWebハッキング技術では、主に古典的な手法が使われているが、創造的な仕掛けも施されている。この技術の発表をきっかけに、SSL-VPNに対する監査が盛んに行われるようになったほどだ。

• 7位　CIサービスの探索で機密情報が見える

　モダンなWebサイトは多くのサービスと接続されており、それぞれの間でお互いを特定するために機密情報を使用する。だが、CI（継続的インテグレーション）のリポジトリ／ログから機密情報が見えてしまう場合がよくある。信頼の環が切れてしまうのだ。

　自動化によってこのような「漏れ」を発見しようとする試みも広く行われている。だが、EdOverflow氏による研究は、これまで見過ごされていたケースや、今後重要な研究成果が生まれる可能性がある分野に新たな光を当てた。

• 6位　.NETの脆弱性を突いたXSS

　Paweł Hał drzyński氏によるWebハッキング技術は、.NETフレームワークのほとんど知られていないレガシー機能を使ったものだ。任意のエンドポイント上でURLパスに任意のコンテンツを追加することが可能だ。

　相対パス上書き攻撃を思い出させる今回のハッキング技術は、発表者の投稿ではXSS（クロスサイトスクリプティング）攻撃に使われている。だが、他にもさまざまな攻撃に道を開くと予想できる。

• 5位　Google検索ボックスのXSS

　Google検索ボックスは恐らく地球上で最も動作チェックを重ねた入力だろう。当初、Masato Kinugawa氏がどうやってこのWebハッキング技術（XSS攻撃）を見つけたのかは謎だったが、同僚のLiveOverflow氏とともに手法を明らかにした。

　ひたすらドキュメントを読み込み、ファジングによってDOM（Document Object Model）の構文解析のバグを発見したのだ。

• 4位　メタプログラミングのエクスプロイトによる非認証のリモートコード実行

　Orange Tsai氏が発見した今回のJenkinsハッキングでは、さまざまな環境制約の中でメタプログラミングを用いた。こうしてコンパイル時に実行されるバックドアを作成した。これは優れたイノベーションだといえるだろう。今回の脆弱性はその後、複数の研究者によって改良されており、研究継続の優れた例でもある。