無償かつ高機能な「ModSecurity」をもっと活用しよう!:OWASP AppSec USA 2013 レポート(後編)(2/2 ページ)
前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。
「SQLインジェクション対策」への対策も?
ここからは、3日目および4日目に開催された講演の中から、筆者らが注目したセッションを幾つか紹介します。
HTML5: Risky Business or Hidden Security Tool Chest?
リッチなWebエクスペリエンスの提供が可能となることや、Tizen、Firefox OSといったスマートフォン向けOSでも採用されていることから注目の高い「HTML5」ですが、高機能であるが故に、セキュリティ上の懸念がいろいろと指摘されています。
このセッションでも、「Local StorageはXSSで簡単に漏えいするリスクがある」とか、「Geolocationは偽装が容易である」といった、HTML5の新機能とそのセキュリティ上への懸念が紹介されました。
逆に、HTML5の新機能をセキュリティ向上に積極的に役立てる可能性についても言及がありました。例えば、canvas機能を用いてグラフィカルな認証を実現したり、クライアントサイドでの暗号化機能を用い、情報を暗号化した上でクラウドサービスに送信するといった活用例が紹介されました。
なお、開発者の立場からはブラウザーごとの各機能の対応状況が気になりますが、この講演の中で使われていたhttp://caniuse.com/というサイトはそのような情報を簡単に確認でき、有益であると思います。
【関連記事】
重要! まずは「オリジン」を理解しよう
http://www.atmarkit.co.jp/ait/articles/1311/26/news007.html
単純ではない、最新「クロスサイトスクリプティング」事情
http://www.atmarkit.co.jp/ait/articles/1312/17/news010.html
‘) UNION SELECT `This_Talk` AS (‘New Exploitation and Obfuscation Techniques’)%00
「SQLインジェクション」はOWASP TOP 10でも1位に挙げられている脅威です。それを取り上げた本講演も満席となり、立ち見が出るほどでした。内容は攻撃者側のテクニックに関するもので、ブラインドSQLインジェクションを高速に実行する手法やさまざまなSQLインジェクション対策ツールの回避テクニックの紹介です。
ブラインドSQLインジェクションの高速化では、英単語として頻繁に出てきやすい文字列の並びに着目することで、情報を抜き出すために必要なクエリの回数を減らす技法について実演がありました。
また、SQLインジェクション対策ツールの回避テクニックでは、一例として、DBMSによってホワイトスペースとして扱う文字セットが異なることに着目する手法が紹介されました。DBMSによっては、ASCII制御文字のほとんどをホワイトスペースとして扱うものがあります。これに着目することで、対策ツールの標準ルールをくぐり抜け、意図しないホワイトスペースの挿入が行われる事例があるという解説でした。
対策をくぐり抜ける手法が非常に多く例示され、脆弱性を含まないようにWebアプリを作成すること、そしてWAFによる対策を実施することの困難さを実感させる内容でした。
Why is SCADA Security an Uphill Battle
SCADA(Supervisory Control And Data Acquisition)は産業制御システムの一種であり、水道、電気、ガスなどの機器をネットワーク越しに制御し、機器の動作状況を人が理解しやすく提示するシステムです。
この講演ではSCADAに存在する脆弱性を分析した結果が報告されました。
物理センサー部、アナログデジタル変換部、通信部、表示部の4つに大きく分類して分析した結果、22%の脆弱性は「通信部」、そして66%もの脆弱性が「表示部」に存在するとのことでした。
これまでは隔離された環境やベンダー固有の仕様、プロトコルであることが障壁となって攻撃を受けにくかった産業制御システムですが、今や、他のオープンなシステムと同様にセキュリティに関する意識を常に高く持つ必要があるといえます。
OWASP Hackademic: a pricatical environment for teaching application security
「Hackademic」とは、脆弱性を探し、攻撃演習を行えるeラーニングシステムの1つで、大学における情報セキュリティの講義でも利用されています。受講生は講師が用意した課題を解くことで、効果的な防御のために、攻撃手法についての理解を深めることができます。
例えば、講師はSQLインジェクションの脆弱性があるWebアプリケーションを作成し、生徒はその脆弱性を悪用して攻撃を行い、データベースから解答となる情報を取得できれば課題をクリアしたことになります。昨今、日本でもセキュリティ人材の技術不足が指摘される中、実践的な攻撃手法を迅速に学ぶ観点で有効な方法であると思います。
また、このシステムの興味深いところは、生徒が課題に取り組む上で発生するイベントを記録し、統計情報を表示できるところです。例えば、正答までの回数が多すぎる場合は「総当たりで回答にありつけただけだ」と分かりますし、逆に課題ページへのアクセスが極端に少ないのに回答できている場合は、「誰かから答えを聞いたのではないか」ということが推測できるようになっています。
終わりに〜ますます重要性を増すWebセキュリティ〜
2013年は、大手のポータルサイトやSNSサイト、大企業の顧客サービス用ページなどを狙ったパスワードリスト攻撃が頻発し、大きな問題になりました。また、改ざんされたWebページを介したマルウェア感染も後を絶ちません。スマートフォン、タブレット端末など、Webにアクセスする手段が豊富になった今、Webセキュリティはますます重要になっています。
OWASPはWebセキュリティに特化しているため、AppSecのようなイベントは、この分野の情報を集めたり、関係者との交流を深めたりするのにはうってつけの場です。筆者らは今回が初の参加でしたが、今後も継続して参加したいと強く感じました。次回の「OWASP AppSec USA」は2014年9月16日から19日にかけてコロラド州デンバーで開催されます。
「そうはいっても、なかなかアメリカまでは行けないよ」という方にも朗報があります。AppSecにはアジア・太平洋地域版である「AppSec APAC」があり、次回の開催地は何と東京です。
「AppSec APAC 2014」は、2014年3月17日から20日に東京の御茶ノ水ソラシティカンファレンスセンターで開催されます。OWASPの各種コンテンツは通常は英語ですが、同時通訳付きで日本語で聞ける機会はAppSec AsiaPac 2014の他にありません。関係者からは「『OWASPって何?』という初心者の方から、Webセキュリティのプロまでをカバーした、充実した内容で開催されます!」とうかがっています。
またとないこの機会をきっかけに、Webセキュリティの世界に足を踏み入れてみては(あるいはもっと深く深くはまってみては)いかがでしょうか。
【関連記事】
OWASP AppSec USA 2012 レポート:
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは?
http://www.atmarkit.co.jp/ait/articles/1302/12/news013.html
Copyright © ITmedia, Inc. All Rights Reserved.