OWASP JAPANチャプターが活動開始
「オープンソース形式でWebアプリセキュリティの向上を」
2012/04/10
Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project(OWASP)の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。
OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。
JAPANチャプターリーダーの1人、Benny Ketelslegers氏によると、OWASPは最近ではモバイル向けアプリにも活動の幅を広げており、Androidのリスクについて取りまとめた「OWASP Mobile Top 10」を公表したほか、WebGoatのAndroid版となる「Goatroid」の開発などに取り組んでいるという。
同じWebアプリケーションのセキュリティ向上という目的に向けては、すでにWeb Application Security Forum(WAS Forum)が国内で活動してきた。「WAS Forumはどちらかというと、かんたんログインや共通番号制度といった“日本オリエンテッド”な問題に深く切り込んでいた」(チャプターリーダー、岡田良太郎氏)。これに対しOWASP JAPANチャプターは、アプリケーションセキュリティ向上のための技術を共有し、成果を世界に提供していくパスという意味合いが強い。
OWASP JAPAN チャプターは2012年1月から活動を開始した。チャプターリーダーの上野宣氏は、存在が明らかになってからずいぶん時間が経つSQLインジェクションのような脆弱性がいまだに多数存在し、生み出されている状況を変えていくべきだと述べている。「単純な解決策があるのに知られていなかったり、面倒くさいものだと思われていたりする。セキュリティのツールやドキュメントについても、オープンソース形式で共有し、広めていきたい」(上野氏)。
CSPはXSS根絶の切り札?
3月27日の第1回Local Chapter Meetingでは、こうしたOWASPの活動を紹介するとともに、セキュリティ専門家らによるライトニングトークが行われた。
はせがわようすけ氏は「5分で分かるCSP」と題して、「クロスサイトスクリプティング(XSS)根絶の切り札」とも目されるCSP(Content Security Policy)について解説を行った。
CSPはFirefox 4/Google Chrome 18/Internet Explorer 10以降で実装される機能だ。あらかじめ、HTTPのレスポンスヘッダで許可するリソースを指定することにより、それ以外のリソース読み込みを制限できる。この際、画像などリソースの種類ごとに許可するリソースを指定することも可能だ。また、インラインスクリプトやeval関数も禁止できる。
はせがわ氏は、「CSPを活用し、ポリシー違反時にレポートを送信するような機能を作り込むことで、Webアプリケーションに対する攻撃の予兆をつかむことも可能になるかもしれない」と述べた。ただ一方で、ブラウザごとに実装が異なること、広告やアクセス解析用に埋め込んでいるJavaScriptが動作しなくなる可能性があることにも触れ、「運用はけっこう面倒かもしれない」という。
同氏はさらに、最も厳しいルールでCSPを適用していても、自ドメインのリソースを読み込むことは可能であることに目を付け、CSPを破ることは可能であることにも触れた。doctype宣言がなされていないなどの条件下では、ECMAScript for XMLを用いて、HTMLをJavaScriptとして解釈させることにより、スクリプトを実行させることは可能という。
「そもそもXSSをなくすことが大事。また、CSPによってXSSのリスクを減らすことができる」(はせがわ氏)。
Androidアプリの開発にWebの知恵を
Yoshitaka Kato氏が取り上げたテーマはAndroidアプリケーションだ。同氏は、Androidアプリの解析と改ざんが比較的簡単にできてしまう事実を紹介した。
プレゼンテーションでは自作アプリを対象に、Android SDKに含まれているdexdumpとバイナリエディタを使って、リバースエンジニアリングと改ざんが行える様子を紹介した。Androidアプリのリバースエンジニアリングは規約では禁止されているが、実際にはその操作は簡単であり、アプリに組み込んだチェックルーチンをバイパスすることも可能だ。
Kato氏は、「Androidアプリは、こうした事柄を考慮して開発すべき」と述べた。Webアプリケーションの世界では、クライアントサイドのみのチェックや、Web APIにアクセスしてOKを返すだけといったルーチンは「NG」とするのがお約束となっている。しかし「Androidの世界では、こうしたケースがけっこうある。Webの知識を生かしてほしい」(同氏)。
OWASP JAPAN 第1回 Local Chapter Meetingではほかにも、徳丸浩氏による「バリデーション至上主義」に対する疑問を呈するプレゼンテーションや、Webアプリケーション脆弱性スキャナの「テストサイト」の有効性を問う発表、「Webアプリケーションセキュリティ要件定義書」の作成、共有の呼び掛けなどが行われた。
ミーティングの最後には岡田氏が登壇し、「安全なWebサイトの作り方を理解し、それを手伝うことは、子孫に誇れる仕事。決しておろそかにできる仕事ではない」と会場に呼び掛けた。
今後は、3カ月に1回のペースでこのようなミーティングを開催し、知見の共有を支援していく。また、OWASPがグローバルに展開しているプロジェクトへの参加も後押しし、世界に向けて成果を出していきたいという。「Webセキュリティを1つのきっかけに、文化や言語の垣根を越えて、一緒に楽しんでいきたい」(同氏)。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
