RSA Conference 2009 レポート(2)
浸透しつつある仮想化環境をどう守る? どう使う?
高橋 睦美
@IT編集部
2009/5/19
複雑化するWebアプリケーションの脆弱性
Webアプリケーションを狙う攻撃にも、勢いが潜む気配はない。米ホワイトハット・セキュリティ(WhiteHat Security)のCTO、ジェレミア・グロスマン氏は、2008年に指摘されたWebアプリケーションの脆弱性、ワースト10を紹介する「Top Ten Web Hacking Techniques of 2008」というセッションを行った。
同氏によると、クロスサイトスクリプティングやSQLインジェクションといった攻撃が自動化されるようになった一方で、新たに、Flashなどのプラグインを悪用するなど、より手の込んだ手法が登場している。また、SafariやGoogle Gearsといったソフトウェアが、早速攻撃のターゲットになっていることも明らかになった。
| 1位 | GIFAR |
| 2位 | Breaking Google Gears' Cross-Origin Communication Model |
| 3位 | Safari Carpet Bomb |
| 4位 | Clickjacking/Videojacking |
| 5位 | A Different Opera |
| 6位 | Abusing HTML 5 Structured Client-side Storage |
| 7位 | Cross-domain leaks of site logins via Authenticated CSS |
| 8位 | Tunneling TCP over HTTP over SQL Injection |
| 9位 | ActiveX Repurposing |
| 10位 | Flash Parameter Injection |
第4位には、複数のWebブラウザに存在する「クリックジャッキング」の脆弱性が挙げられた。これは、通常のコンテンツの上に、IFRAMEの要素として、透過指定して「見えなく」したコンテンツを配置することにより、ユーザーをだまして意図しない、不正な操作が可能になるという問題だ。
例えば、オンラインショップなどのサイトを装い、「購入を取りやめる」というボタンの上に透明なボタンを配置しておけば、ユーザーは「いいえ」と選択しているつもりなのに、実際には何らかの商品を購入したことになってしまう。悪くすれば個人情報を意図せず送信してしまう可能性もある。Twitterでクリックジャッキングが悪用されたケースでは、「Don't Click」というメッセージをクリックすると、意図しないのに、そのユーザーのアカウントでスパムメッセージが投稿される仕組みになっていた。
 |
| 米ホワイトハット・セキュリティ(のCTO、ジェレミア・グロスマン氏によるクリックジャッキングのデモ |
グロスマン氏は実際に、この脆弱性を悪用することでPCに接続されたカメラを操作し、勝手に写真を撮影できてしまうという様子をデモして見せた。対処策は、クリックジャッキング対応を済ませたInternet Explorer 8にアップデートして設定を行うこと、あるいはFlash Player 10にアップデートすることなどだという。
またワースト1位には「Gifar」攻撃が挙げられた。これは、Javaアーカイブファイルの「JAR」を埋め込んだGIFファイルを用いて攻撃を仕掛ける手法だ。実体は2つの異なるファイルが含まれているのだが、見た目はただの画像ファイル。これを開くと、警告などが表示されることなく、中に仕込まれたJavaアプレットが実行されてしまう。
グロスマン氏は、Gifar攻撃の問題点として、クロスドメイン制限を回避できてしまうことを挙げ、対策はJVMを最新のものに更新することだと述べている。
| 【関連記事】 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編) http://www.atmarkit.co.jp/fsecurity/column/ueno/55.html Webアプリケーションを作る前に知るべき10の脆弱性 http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html |
■NECシステムテクノロジーがブラックリスト方式のWAFを紹介
一方展示会場では、Webアプリケーションの脆弱性を狙った攻撃からシステムを守る、Webアプリケーションファイアウォール(WAF)製品をいくつか見ることができた。
日本企業としてはおそらく唯一の出展となったNECシステムテクノロジーは、ソフトウェアのWAF製品「SiteShell」を紹介した。ネットワークゲートウェイに置くタイプではなく、サーバに直接インストールして利用する。
WAFの多くは、あらかじめその企業で利用されている正当なアプリケーションを登録し、それ以外のものをブロックする「ホワイトリスト方式」を採用している。ただしこの方法では、導入までに手間と時間を要することが多い。
これに対しSiteShellは、ウイルス対策ソフトなどでおなじみの「ブラックリスト方式」を利用。同社が作成したシグネチャに基づいて、SQLインジェクションなどの攻撃をブロックする。手軽に、必要最低限の攻撃に対処できることがメリットになる。また、精度が高く、誤検知が少ないこともメリットになるという。同社ではこの製品を直接販売するほか、SaaSモデルとして展開することも考えているという。
またIntelは、SOA/XMLを活用したWebサービスの保護を念頭に置いた「Intel SOA Expressway」を紹介した。Webアプリケーションファイアウォール兼XMLファイアウォールのような製品で、SOAP/RESTメッセージを検査し、SQLインジェクションをはじめとする攻撃からシステムを保護するとしている。
ソーシャルネット事業者は「もっとアクティブに取り組むべき」
会場では、あちこちで、FacebookやTwitterといったソーシャルネットワークを活用している来場者の姿が見られた。また、RSA Conference 2009自体が公式のアカウントを用意しており、その浸透度が伺えた。
しかし、普及しているサービスは、攻撃者にとっては絶好のターゲットになる。英ソフォス(Sophos)のシニアセキュリティコンサルタント、グラハム・クルーレイ氏は「Social Networks: The Frontier for Malware, Spam and Identity Theft」と題し、ソーシャルネットワークに存在する脆弱性についてのセッションを行った。
クルーレイ氏が注意を呼び掛けたサービスの1つがTwitterだ。「攻撃者は、スパムやマルウェアを広げ、IDを盗むためにソーシャルネットワークを利用している。Twitterはいま問題を抱えている」(同氏)。クリックジャッキングが悪用され、ユーザーのアカウントで勝手に書き込みがなされるという攻撃が発覚したほか、TinyURLやBit.lyのように短縮されたURLが利用されると検出が困難という問題もあるという。
では、対策はあるのだろうか。Facebookなどいくつかのサービス事業者は、スパムの可能性が高いアカウントを見つけたら警告し、停止するという措置を取ってはいるが、結局は後手に回ってしまう。また短縮URLについては、クリックする前に「外部のサイトにジャンプします、本当にアクセスしますか?」といった警告を表示するという手もあるが、ユーザーは結局、見たいものを見たいだけなので、無視されるケースは珍しくない。
「例えばGmailやHotmailなど、スパムメールをあらかじめフィルタするWebメールサービスのように、ソーシャルネットワーク事業者ももう少しアクティブに取り組むべきではないか」と同氏は述べた。
企業では、主に生産性の観点から、ソーシャルネットワークの利用を制限するところもある。また、ある調査によれば、企業の63%は、ソーシャルネットワークによる情報を共有が過度に至るのではないかと懸念しており、66%は、企業のセキュリティを危険にさらす恐れを感じているという。また、実際に被害に遭っている割合を見ると、、ユーザーの33%はソーシャルネットワークを通じてスパムを受け取っているし、21%はマルウェアなどを送り付けられた経験があるという。
だが、だからといって一連のサービスを禁止してしまうのもナンセンスだ。クルーレイ氏は「適切に利用しているかどうかを常にレビューすることだ。常にセキュリティ設定をチェックし、場合によってはWebフィルタリングを考慮すべき。そして、従業員にこうしたサービスのリスクについて教育すべきだ」とアドバイスしている。
 |
2/2 |
| Index | |
| RSA Conference 2009 レポート(2) 浸透しつつある仮想化環境をどう守る? どう使う? |
|
| Page1 仮想化技術、どう守る? どう使う? |
|
 |
Page2 複雑化するWebアプリケーションの脆弱性 ソーシャルネット事業者は「もっとアクティブに取り組むべき」 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
