Webアプリに潜むセッション管理の欠陥を検査、ソフテック

2003/11/19

 ソフテックは、Webアプリケーションの脆弱性検査ツール「WebProbe」を2003年12月1日に発売すると発表した。同製品は、独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長 高木浩光氏との共同研究から生まれた。IPA(情報処理進行事業協会)の「2002年度電子政府情報セキュリティ技術開発事業」の1つとして採択された事業の成果を製品化したものだ。

 同製品は、Webサイトを構築・運用するうえで、利用者個人を特定するために用いられる「セッション管理」の脆弱性に的を絞った検出・検証ツール。

 現在、ECサイトや電子政府・自治体などは多くの個人情報などの情報を保存している。それらのWebサイト上でセッション管理に欠陥がある場合、個人情報やクレジットカード番号の漏えい、なりすましによるショッピング詐欺などの犯罪にもつながる危険性がある。Webサイトの欠陥は多くの場合、見かけ上は正常に動作しているため、問題が明らかになりにくい。Webサイトの管理者は、情報漏えいが起きたことすら気付かないこともあり、事件に発展して初めて問題に気付くこともある。

ソフテック 代表取締役社長 加藤努氏

 ソフテック 代表取締役社長 加藤努氏は、「多くのWebサイトは、情報漏えいにつながりかねない欠陥を抱えたまま運用されている。その欠陥が見逃されてしまう原因は、Webアプリケーションの開発段階で十分なテストが行われていないためである」と、開発工程に問題があることを指摘した。

 Webアプリケーションの欠陥としてはクロスサイトスクリプティングや、SQLインジェクション(リクエストにSQLコマンドを挿入し、任意のSQLコマンドを実行させる攻撃)などがあり、既存のスキャン方式の検査ツールは、これらの検査を得意としていた。しかし「セッション管理の欠陥」の有無を検査する場合は、専門的なスキルを持つ人員が手作業で膨大な時間をかけて調査する必要があった。

 WebProbeの主な特徴は、第1のポイントとして、セッション管理の脆弱性検査を行う場合に必須となる、セッションを追跡するパラメータを、自動で推定できることが挙げられる。第2のポイントは、セッション管理パラメータの推定に基づき「アクセス制御の欠如」「ユーザー識別の欠如」「ID空間の小さすぎるセッション追跡パラメータ」「暗号化されないアクセスにセッション追跡パラメータが含まれる」「セキュアでないCookieの使用」など、20項目を超える脆弱性診断が可能なこと。検査を行う場合にハンズオンのアドバイスどおりに動作させるだけで、自動的にWebサイトを検査できる機能もある。

 加藤氏は同製品の利用法として、Webアプリケーション開発における出荷前の最終チェックや、発注サイドでの受け入れ検査の補助ツール、さらにはセキュリティ監査ビジネスにおける検査ツールなどを提案するという。

 WebProbeの価格は、1カ月利用ライセンスで9万8000円から。また、同製品を用いたWebサイト検査サービス「One-Shot検査サービス」も用意されている。検査報告書に合わせて、簡易コンサルティングを行うという。価格は、1Webサイト当たり25万円から。

[関連リンク]
ソフテックの発表資料

[関連記事]
Webアプリケーションの脆弱性検査を低価格で、ISS (@ITNews)
IDSを"オオカミ少年"にしないシスコの新技術 (@ITNews)
[eWEEK] Webアプリの脆弱性ワースト10とその対策 (@ITNews)
Webアプリを"手作業"で検査、三井物産のセキュリティサービス (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)