「安全なウェブサイトの作り方」と
届出られたウェブサイトの脆弱性の実情
独立行政法人情報処理推進機構 (IPA) 技術本部 セキュリティセンター
「安全なウェブサイトの作り方」 【7版】
の内容と資料活用例
Copyright © 2016 独立行政法人情報処理推進機構
2016年のウェブサイトにまつわる事件
3 時期 報道 2016/1 セキュリティー会社不覚、顧客情報が流出 金銭要求届く(朝日新聞) 2016/1 厚労省サイト、再び閲覧不能 サイバー攻撃か(日経新聞) 2016/2 ホームページからウイルス感染注意 京都動物愛護センターサーバー に不正アクセス、閉鎖し調査(産経新聞) 2016/3 江崎グリコ、顧客情報が流出 不正アクセスで最大8万件(朝日新聞) 2016/4 日テレHP、攻撃受け個人情報43万件流出か(読売新聞) 2016/4 J-WAVE、個人情報64万件流出か 不正アクセスで(朝日新聞) 2016/4 エイベックスで個人情報35万件流出か 公式サイトに不正アクセス(産 経新聞) 攻撃者からのウェブサイトへの攻撃は24時間365日いつ行われもおかしくない 安全なウェブサイトの構築と運用が求められる!884 1,118 413 85 7,585 8,703 9,116 9,201 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 10,000 0 200 400 600 800 1,000 1,200 2013 2014 2015 2016(~3月) 届出件数 累計件数
ウェブサイトに関する届出状況
• 毎年多くのウェブサイトの脆弱性の届出が報告 約12年で1万件近くのウェブサイトの脆弱性の届出が報告 → 脆弱性の解説と対策をまとめた資料の必要性!Copyright © 2016 独立行政法人情報処理推進機構
目次
5
• 「安全なウェブサイトの作り方」とは
安全なウェブサイトの作り方とは(1/4)
ウェブサイトの運営に関わる全ての人に 向けた内容 “11種類の脆弱性”の説明とその対策を 説明 運用面からのウェブサイト全体の安全性 を向上させるための方策を説明 7版から“パスワードの運用方法”の内容 を拡充 ウェブセキュリティの対策状況を把握が できるチェックリストつき https://www.ipa.go.jp/security/vuln/websecurity.htmlCopyright © 2016 独立行政法人情報処理推進機構 7 1 SQLインジェクション 2 OSコマンド・インジェクション 3 パス名パラメータの未チェック/ディレク トリ・トラバーサル 4 セッション管理の不備 5 クロスサイト・スクリプティング 6 CSRF(クロスサイト・リクエスト・フォージェ リ) 7 HTTPヘッダ・インジェクション 8 メールヘッダ・インジェクション 9 クリックジャッキング 10 バファオーバーフロー 11 アクセス制御や認可制御の欠落 高い危険性 外部から直接データベースを不正操作 内部データの 漏えい・改ざん・破壊 に繋がる 高い危険性 外部から直接ウェブサーバを不正操作 内部システム・データの 漏えい・改ざん・破壊 に 繋がる 脆弱性の解説とともにその対策を 「根本的解決」および「保険的対策」で説明 「失敗例」として解説とソースコードレベルの 修正例を記載
安全なウェブサイトの作り方とは(2/4)
11種類の脆弱性安全なウェブサイトの作り方とは(3/4)
根本的解決、保険的対策、失敗例 脆弱性を作りこまない実装を実現する手法 根本的解決 保険的対策 攻撃による影響を軽減する対策(原因そのも のを無くすわけではない) 失敗例Copyright © 2016 独立行政法人情報処理推進機構
安全なウェブサイトの作り方とは(4/4)
チェックリストでの確認 9 巻末のチェックリストを活用し、セキュリティ実装の対応状況 を確認目次
• 安全なウェブサイトの作り方とは
Copyright © 2016 独立行政法人情報処理推進機構
活用例(1/2)
脆弱性を修正する際(開発者向け) 11 ウェブサイトに脆弱性が見つかった際の修正に活用 “根本的解決”にて修正することを推奨活用例(2/2)
セキュリティ要件の参考に(発注者向け)
今やセキュリティ要件を考慮する事が重要 RFPに盛り込む際の参考に活用
Copyright © 2016 独立行政法人情報処理推進機構
ここまでのまとめ
13 ●ウェブサイトの脆弱性が数多く IPA に届出報告されている状況 から、多くのウェブサイトが潜在的に脆弱性を抱えている可能性 があります。 ●ウェブサイトの構築等を発注する際に、セキュリティ要件を考慮 することが重要となってきました。発注者側と開発者側ともに セキュリティを理解する必要があります。 「安全なウェブサイトの作り方」を活用いただき、ウェブサイトの セキュリティ問題を解決する一助となれば幸いです。アンケートに回答するとプレゼント
•
「安全なウェブサイトの作り方(改訂第7版)」
•
「安全なSQLの呼び出し方」
届出られたウェブサイトの脆弱性の実情
はじめに (1/2)
•
IPAでは一般の方からソフトウェア製品やウェブサ
イトの脆弱性の届出を受付け、調整する業務を行っ
ています。
一般の方 ウェブ 製品 業務内容 一般の方から届けられた脆弱性 情報を運営者・JPCERT/CCに 連絡します。 製品 JPCERT/CCへ ウェブ 運営者へ 16Copyright © 2016 独立行政法人情報処理推進機構
はじめに (2/2)
•
「安全なウェブサイトの作り方」は、この届出
受付業務で、多く届出られた問題や影響度
が大きい問題を解説しているものです。
•
この発表では、IPAに実際に届出られている
ウェブサイトの脆弱性について、いくつか事
例をご紹介します。
17脆弱性別の届出状況
• 四半期に統計情報を公表しています。 56% 15% 12% 2% 2% 2% 11% クロスサイト・スクリプティング(56%) DNS情報の設定不備(15%) SQLインジェクション(12%) ディレクトリ・トラバーサル(2%) ファイルの誤った公開(2%) HTTPSの不適切な利用(2%) その他(11%) 2016年3月末時点の8,995件の内訳 18Copyright © 2016 独立行政法人情報処理推進機構 ケース1
脆弱性が存在する製品を利用
• 脆弱性が存在する製品をウェブサイトで利用しているケース。 その製品特有のURLや、記述等がなされている。 http://ipa.go.jp/ipaproduct/xxx.php • 一件発見できれば、他も探せば見つかることから、対象のウェ ブサイトをリスト化して大量に届出られることがあった。 届出の例 ・ アンケートプログラム ・ 日記プログラム ・ コンテンツ管理システム 等 存在していた脆弱性の影響 ・ クロスサイトスクリプティング ・ ディレクトリトラバーサル ・ SQLインジェクション 等 19ケース2
誤った設定で運用していた
• 通常、管理者のみアクセスできるように制限すべき管理画 面がインターネット上に公開されていた。 ファイル管理ソフトウェア 管理画面 ・ 通常は公開されない画面 ・ 正しく設定されていなかった 20Copyright © 2016 独立行政法人情報処理推進機構 ケース3
急増したディレクトリトラバーサルについて
• http://ipa.go.jp/file.php?filename=xxx.pdf このようなウェブサイトで、対策がされていない。 • ディレクトリトラバーサルは4番目に多く届出られている脆弱性。 • 2014年4Qで全体(219件)の半分近くが 届出られている。 残りはそれ以外の期間。 • 世の中に存在する脆弱性の傾向と一致す るものではない。 • ただ発見されていないだけで、他にも危険 な脆弱性が数多く存在するのでは? 21 70 133 16 0 20 40 60 80 100 120 140 2014年7月 ~2014年3Q 2014年4Q 2015年1Q ~2016年1Q ディレクトリトラバーサルの届出時期ケース4
情報漏えいの届出について
• 脆弱性の影響によって情報漏えいをしてしまうケースもあるが、単にインター ネット上で機微な情報が公開されているケースが届出られることがある。 • 原因について伺ってみると…. - 削除することを忘れていた - 管理を外注していてセキュリティ設定をしていなかった - プログラムの不具合が原因だった - 設定途中のサーバを公開していた 等 設定のミスや漏れ、プログラムの不具合に起因していた 誰でも閲覧可 22Copyright © 2016 独立行政法人情報処理推進機構
まとめ
利用している製品に脆弱性が存在する可能性があります。 脆弱性情報の収集、製品をアップデートを心がけてください。 設定ミスや製品の思わぬ不具合で、予期せず情報漏えいが 発生することがあります。 今一度「安全なウェブサイトの作り方」に記載されている脆弱 性が対応済みがどうかご確認ください。 IPA から突然連絡がいくことがありますが お話しだけでも聞いてください 23新試験はじまる!
情報セキュリティマネジメント試験
◆28年度秋期試験実施時期◆ ・実施日 2016年10月16日(日) ・申込受付 2016年7月11日(月)から ・個人情報を扱う全ての方 ・業務部門・管理部門で 情報管理を担当する全ての方 ◆受験をお勧めする方◆ 初回応募者 約2万3千人!! 情報セキュリティの基礎知識から管理能力まで、 組織の情報セキュリティ確保に貢献し、脅威から 継続的に組織を守るための基本的スキルを認定する試験「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター 上峰亜衣(うえみねあい)