安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全なWebサイトの作り方【7版】と

Androidアプリの脆弱性対策

独立行政法人情報処理推進機構 (IPA)

技術本部 セキュリティセンター

Androidアプリの脆弱性体験学習ツール

「AnCoLe(アンコール)」の紹介

Androidアプリに関する届出状況



毎年Androidアプリの脆弱性の届出が報告

20

32

117

18

100

139

136

161

20

52

169

187

0

20

40

60

80

100

120

140

160

180

200

0

50

100

150

200

250

300

2011

2012

2013

2014

図 Androidアプリの届出件数の年別推移

Androidアプリの届出

その他ソフトウェアの届出

Androidアプリの届出累計

件数

_累計件数

脆弱性体験学習ツールの提供



Androidアプリの脆弱性体験学習ツールAnCoLe

対象は、Androidアプリ

攻撃と修正が体験可能

ソースコードの点検が可能

Copyright © 2015 独立行政法人情報処理推進機構

脆弱性体験学習ツールとは

5

アプリ

検査

対策

学習

アプリ

修正



実習形式で脆弱性の対策方法を学ぶツール

学習効率を高める２つの工夫

•

検査、対策、修正のサイクルで学習する

– 実務に近い流れで学ぶ

•

手を動かして体験する

– より理解を深められる



脆弱性（セキュリティ上の弱点）の存在を知る

脆弱性を見つけることから始める

•

脆弱性が存在しなければ対策する必要はない！

•

通常は

見つけることができていないだけ

で存在はする

見つける方法（検査方法）を学ぶ

•

ツールによる検査

•

人の手による検査

学習ツール活用の流れ

～アプリの点検・検査～

アプリ

検査

対策

アプリ

修正



脆弱性の対策の必要性や方法を理解する

疑似環境を用いて脆弱性への攻撃を体験する

•

実際の攻撃のイメージができるようになる

•

被害体験により、対策の必要性を理解

する

脆弱性の対策方法を学ぶ

•

適切な対策方法をテキストベース

で学ぶ

学習ツール活用の流れ

～脅威と対策方法の学習～

アプリ

検査

対策

アプリ

修正



脆弱性対策をアプリに実施する

サンプルアプリを用いて修正（対策）を体験する

•

ソースコード例をもとに

サンプルアプリを修正し、実践

的な対策方法を学ぶ

対策の効果を体験する

•

サンプルアプリを攻撃し、適切に

対策されたかどうかを確認する

学習ツール活用の流れ

～アプリの修正～

アプリ

検査

対策

アプリ

修正



学習できる脆弱性の紹介

IPAへの届出が多い脆弱性を中心とした7テーマ

No. 学習対象となる脆弱性等

脆弱性等がもたらす想定被害

1

ファイルのアクセス制限不備

アプリが保有する情報の漏えい、改ざん

2

コンポーネントのアクセス制限不備

3

暗黙的Intentの不適切な使用

アプリが出力する情報の漏えい

4

不適切なログ出力

5

WebViewの不適切な使用

端末内の情報の漏えい、改ざん等

6

SSL通信の実装不備

通信内容の漏えい、改ざん

7

不必要な権限の取得

利用者が不正なアプリと誤認

別の脆弱性が悪用された際の被害拡大

AnCoLe

～Androidアプリの脆弱性の点検・学習～

まとめ



脆弱性対策を理解するために、学習ツールの

利用が効果的です



アプリ開発時に脆弱性を作りこまないように

ご活用ください



AnCoLeのセットアップの仕方が分からない方

は動画を参考にしてください

Android アプリの脆弱性の学習・点検体験ツール「AnCoLe」

セットアップ編

https://www.youtube.com/watch?v=FtZog6Qaur4

Android アプリの脆弱性の学習・点検体験ツール「AnCoLe」

セットアップ編

「安全なウェブサイトの作り方」 【7版】

の改訂内容

安全なウェブサイトの作り方とは



IPAに届出られた脆弱性関連情報

をもとに、対策をまとめたガイド



ウェブサイトの運営に関わる

全ての

人

に向けた内容



主要な脆弱性を解説し、

「根本的

解決策」

と

「保険的対策」

を記載



「失敗例」

として解説とソースコード

レベルの修正例を記載



ウェブセキュリティの対策状況を

把握ができる

チェックリスト

つき

第7版における主な改訂内容

区分

項目

改訂内容

新規追加

1章

クリックジャッキング

脆弱性の概要、対策

新規追加

バッファオーバーフロー

脆弱性の概要、対策

新規追加

クロスサイト・スクリプティン

グ

ブラウザのセキュリティ機

構を有効にする保険的対

策

内容更新

入力値の内容チェックに

よる保険的対策

内容更新

2章

DNSに関する対策

DNSサーバーの設定や

運用時の注意点

内容更新

ネットワーク盗聴への対策

通信経路の暗号化の解

説

パスワードの保管方法の

クリックジャッキング

罠ページの上に、サイトAをiframeで

重ね合わせ、見た目を透明にする

罠ページ

ココをクリック

ココと

ブラウザから閲覧した際には、罠ペー

ジのみ表示されているように見える

罠ページ上のコンテンツをクリック

したつもりが、実際にはサイトA上の

コンテンツをクリックしてしまう

想定される脅威



利用者が意図しない操作

設定変更

商品購入

退会処理

対策



根本的対策

X-Frame-Optionsヘッダの出力

処理の実行前に再度パスワードを入力させる



保険的対策

重要な処理はマウス操作のみで実行できないよ

うにする

パスワードに関する対策



ソルトつきパスワードハッシュとは

ソルトつきパスワードハッシュ

P@ssw0rd

P@ssw0rd

ユーザー X

ユーザー Y

yKQkZc6qsPH8

qKwHPPYjHgwG

f705c11d4865

eb4f60f9……

d22d220492cb

09f06fd8……

パスワード

ソルト

ソルト付きハッシュ値

パスワードとソルト

を連結した文字列

のハッシュ値を計算

ソルトは乱数等により

利用者毎に異なる文

字列を生成

同じパスワードの利用者

_{がいてもハッシュ値は別}

メリットとデメリット



メリット

ハッシュ値が盗まれてもパスワードクラックが困

難

同一パスワードでも異なるハッシュ値を生成



デメリット

実装が複雑

新規追加項目まとめ



クリックジャッキング



バッファオーバーフロー

Windows Server 2003のサポートが、2015年7月15日に終了します。

サポート終了後は

修正プログラムが提供されなくなり

、脆弱性を悪用した攻撃が

成功する可能性が高まります。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの

影響調査や改修等について

計画的に迅速な対応

をお願いします。

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA win2003

検索

詳しくは

脆弱性が

未解決なサーバ

脆弱性を

悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003のサポート終了に伴う注意喚起

「ｉパス」は、ITを利活用する

すべての社会人・学生

が備えておくべき

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）