近年のセキュリティインシデントインターネットにおける事件が多様化ウェブサイトにおけるセキュリティ事件も多発時期報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20

(1)

ウェブサイト構築における

発注と受入れの勘所

2014年5月15日

独立行政法人情報処理推進機構

技術本部セキュリティセンター

主任研究員渡辺貴仁

～セキュアな構築はじめの一歩～

(2)

近年のセキュリティインシデント



インターネットにおける事件が多様化



ウェブサイトにおけるセキュリティ事件も多発

時期

報道内容

2013/3

環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ（朝日新聞）

2013/4

ドコモ、米の顧客情報流出か在米邦人ら対象のサービス（朝日新聞）

2013/5

ヤフーに不正アクセスＩＤ２２００万人分、流出の恐れ（朝日新聞）

2013/5

大分空港HP、ウイルス感染させるよう改ざん（読売新聞）

2013/5

三越サイトで不正アクセス８３００人分の情報流出も（産経新聞）

2013/5

阪急阪神百貨店、通販サイトで会員情報流出か（読売新聞）

2013/6

ニッセン通販サイトに不正ログイン個人情報漏洩の恐れ（読売新聞）

2013/6

札幌市の観光ＨＰ、不正アクセス受け閉鎖（読売新聞）

2013/7

企業の監視強化迫られる任天堂不正アクセス、手口巧妙に（日経新聞）

2013/8

「ロリポップ！」でWordPressを利用しているサイトが改ざん被害約4,800件が対象（朝日新聞）

2013/10

セブン通販サイトに不正アクセス１５万人の情報流出か（朝日新聞

(3)

ウェブサイトへの攻撃



ウェブサイトへの攻撃と被害



水飲み場攻撃：ウイルス感染サイト化



他攻撃への踏み台：フィッシングメール送信



情報漏えい：個人情報や機密情報



ウェブサイトの改ざん多数

JPCERT/CC が2013年に受け付けた、国内外で

発生したウェブサイトの改ざん件数は

7,409 件

1日平均：20件もの被害が発生していることになる

JPCERT/CC インシデント報告対応レポート（2013年1月1日～ 2013年12月31日集計）

(4)

ウェブサイトのどこが狙われ、どう考えるか



特定の部分だけに注目

するのではなく、全体を

みて

バランスの良く

、そ

れぞれの

部分に適した

対策

_が必要



ウェブサイトは様々な

機器やソフトウェアで

構成されており、

攻撃者は一番弱く利用

しやすい

脆弱な箇所

を

攻撃する

(5)

セキュアなウェブサイト構築基準



PCI DSS

（Payment Card Industry Data Security Standard）

クレジット業界におけるグローバルセキュリティ国際基準



カード会員データを保護するために、基本設計概念・設計・手続き・管理・

運用などの基準を12の「要件」として規定している

PCI データセキュリティ基準 v3.0 – 概

要安全なネットワークとシステムの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないカード会員データの保護 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限するネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポリシーを維持する

(6)

ウェブサイトのセキュリティ対策概要



ネットワークのセキュリティ対策



ファイアウォール利用により適切なフィルタリング



ルータやスイッチによる区分け



ソフトウェアのセキュリティ対策



サーバのセキュリティ対策



不要なサービスの停止



不要なアカウントの削除



パスワード強化



ファイルやディレクトリへのアクセス制御



ログの収集

(7)

ウェブサイトのソフトウェア構成とその対策



ソフトウェアのセキュリティ対策



脆弱性が解消された最新バージョンの利用

7

• ウェブアプリケーション

–

独自開発するケース

–

既製品を使用するケース



WordPress, EC-CUBE, …

• ミドルウェア、プログラム実行環境

–

ウェブサーバ



Apache, IIS, nginx

–

アプリケーションサーバ・言語



Tomcat, PHP, Perl, ColdFusion, …

–

データベース



Oracle, PostgreSQL, MySQL, …

• OS（オペレーティングシステム）

–

Windows, Linux(CentOS, Ubuntu, …),

Mac OS, BSD, …

ウェブサイトを構成する

ソフトウェア

(8)

ウェブアプリケーションの脆弱性



主な脆弱性の種類

1 _{SQLインジェクション}

2 OSコマンド・インジェクション

3 パス名パラメータの未チェック／ディレクトリ・トラバーサル

4 セッション管理の不備

5 クロスサイト・スクリプティング

6 CSRF（クロスサイト・リクエスト・フォージェリ）

7 HTTPヘッダ・インジェクション

8 メールヘッダ・インジェクション

9 アクセス制御や認可制御の欠落

高い危険性

外部から直接データベースを不正操作

内部データの

漏えい・改ざん・破壊

に繋がる

見つかりやすい

利用者が誘導される事で

ニセ情報が表示

され、

情報漏えい

に繋がる

(9)

ウェブアプリケーションの対策



セキュリティ面から見た開発工程

受注者

発注者

要件

設計～開発～テスト

受入れ～公開準備

機能・

非機能・

シ

ス

テ

ム

テ

ス

ト

セ

キ

ュ

リ

テ

ィ

テ

ス

ト

セ

キ

ュ

ア

シ

ス

テ

ム

設計

ウ

ェ

ブ

の

健康診断

ウ

ェ

ブ

ア

プ

リ

の

精密診断

サポートが

続く最新の

ソフトウェア

製品を導入

セキュア

コーディング

セ

キ

ュ

リ

テ

ィ

要件



既製品を使用

するケース



独自開発

するケース

公開へ

【安全なウェブサイトの作り方】の利用

【ウェブ健康診断】の利用

ウェブアプリケーションの

利用形態

(10)

「安全なウェブサイトの作り方」



脆弱性対策を盛込んだ設計を！



IPAに届出られた脆弱性関連情報を

もとに、対策をまとめたガイド



脆弱性ごとに解説と

「根本的解決」

や

「保険的対策」

を記載（9種類）

 「ウェブサイトの安全性向上のための

取り組み」

を記載（7項目）

 「失敗例」

として解説と修正例に

ついて記載（8種類）



ウェブセキュリティの実装状況の

チェックリスト

つき

http://www.ipa.go.jp/security/vuln/websecurity.html

失敗例から学ぶ

(11)

「安全なウェブサイトの作り方」構成①

各脆弱性における深刻度（CVSS基本値）の例

※ 個別の製品等によって深刻度は異なります



脆弱性とその解消

 １章

では、届出が多かった種類の脆弱性を中心に、深刻なものから順に記載



脆弱性が生じる仕組みを図解し、本質に迫る解決策を提示

(12)

「安全なウェブサイトの作り方」構成②



ウェブサイトの安全性向上

 ２章

では、ウェブサイトの安全性向上のための

取り組みを記載



サーバ設定やDNS、フィッシング、WAFなど

幅広いテーマを採り上げ



先人に学ぶ

 ３章

には失敗例を記載



プログラムコードを交えて

確実な修正までを紹介

(13)



チェックリストで安全性を確認！

「安全なウェブサイトの作り方」構成③

網羅性



巻末にはチェックリストを記載



対策の網羅性確保のために使用できる



Excel 版も公開

設計指針として



設計段階からの考慮を要する点を一望

できるので、アプリケーション設計時の

指針として使用可能

発注要件として



発注者がウェブアプリケーション発注時

の要件として本チェックリストを使用すれ

ば、セキュリティ上の注意点を明確化して

契約できる

(14)

外部にウェブアプリケーション制作を

委託発注する場合



ウェブアプリケーションの実装に関する要件

(15)

ウェブアプリケーションを診断してみる



「ウェブ健康診断仕様」とは

ウェブアプリケーションにおける

基本的な脆弱性対策

ができているか

を

確認する方法

を解説した資料



実績

地方公共団体 1,200 団体の診断に

活用（LASDEC）された実績あり



仕様検討

有識者10名による「検討委員会」で

作成された仕様

(16)

「ウェブ健康診断仕様」の診断内容

判定基準

1 SQL インジェクション 2 クロスサイト・スクリプティング 3 CSRF（クロスサイト・リクエスト・フォージェリ） 4 OS コマンド・インジェクション 5 ディレクトリ・リスティング 6 メールヘッダ・インジェクション 7 パス名パラメータの未チェック／ディレクトリ・トラバーサル 8 意図しないリダイレクト 9 HTTP ヘッダ・インジェクション 10 認証 11 セッション管理の不備 12 認可制御の不備、欠落 13 クローラへの耐性

診断項目

検出パターン

(17)

診断例（SQLインジェクション）検出方法

【検出パターン1】

「‘」 (シングルクォート1つ)

○○ウェブサイト

'

検索

ウェブサイト内の入

力項目に、検出パタ

ーンを入力して送信

する。

（この例の場合、検索フォ

ームに「'」と入力して検

索ボタンを押す）

注意：許可無く診断しない

(18)

【正常】

機能が正常に稼働していれ

ば、正常と判定。

【脆弱性あり】

データベース関連のエラーが

発生していれば、脆弱性あり

と判定。

○○ウェブサイト

■ 「'」の検索結果は 3 件です

・xxxxxxxx

・xxxxxxxx xx xxxxxx

・xxxxxxxxxx xx xxxx xx

データベースエラーが

発生しました！

診断例（SQLインジェクション）検出結果

(19)

「ウェブ健康診断仕様」利用タイミング例

システムテスト

_納品

受入れテスト

検収

公開準備・公開テスト

公開

【ウェブ健康診断の利用】

 納品から検収までの

短期間で、可能な検査

を実施

 基本的な脆弱性対策

に対する検査

 このレベルで問題が

発生するのでは、精密

検査をするレベルでは

ない

 改めて見直しを要望す

るべき

【精密検査の実施】

 セキュリティベンダー

等の専門家に精密検

査を依頼し実施する

 リスクと判断した脆弱

性等の問題を取り除く

 問題が解消した時点

で公開

【受注側で十分な検査】

 受注者は要件に則り

ウェブアプリケーション

に関する十分なテスト

を行う必要がある

 セキュリティベンダー

等の専門家に実施を

委ねるのも良策

(20)

「ウェブ健康診断仕様」

できること／できないこと



できること



コストや時間をかけない診断



基本的な対策ができていない所を発見



できないこと



網羅的な、漏れのない診断

⇒ 例：入力項目ではないパラメータは、健康診断の対象外



脆弱性の存在箇所を特定

⇒ ソースコードを確認する必要がある



ウェブサイト全体の安全性を評価

⇒ 健康診断ではなく、別途精密検査で行う



脆弱性の修正

(21)

「ウェブ健康診断仕様」使用上の注意

1. 「ウェブ健康診断仕様」

検査パターンを絞り込んだ診断

であり、

安全宣言

には繋がりません

。

2. できるだけ低いコストで診断が実施できるように、

必要かつ最小限の診断

項目、検査パターン

を採用した診断です。

3. 健康診断の結果、

脆弱性が検出された場合

は、

詳細な診断を行う

、又は

改修

を検討してください。

4. 健康診断の結果、脆弱性が検出されなかった場合でも、検査パターンを

絞り込んだ診断であることから、

脆弱性が存在する可能性

は残ります。

5. 健康診断の結果、脆弱性が検出された場合でも、

実際には脆弱性ではな

い可能性

があります。

6. 健康診断を行うことにより、診断対象の

ウェブサイトが停止したり、ウェブ

サイトに意図しないデータが登録

される可能性があります。

7. ウェブサイトが停止する際は、診断対象のウェブサイトだけにとどまらず、

インフラを共有している

別のウェブサイトにも影響が及ぶ可能性

がありま

す。診断を行う際は必ず、サーバやデータセンター等、インフラ管理者の

許可を事前に得て

ください。

(22)

まとめ



ウェブアプリケーション

_{には、SQLインジェクションや}

クロスサイト・スクリプティングなどの

脆弱性が作り込

まれることがある



脆弱性を狙った攻撃をされるとデータの漏洩、改竄、

破壊、その他被害に繋がる



「安全なウェブサイトの作り方」を

発注時要件

に

盛り込むことで、対策を実施できる



「ウェブ健康診断」によって、

基本的な脆弱性対策

が

できていない部分を見つけられる



検収時、時間がない中でも健康診断ならできる



でも公開前には、より精密な診断を

(23)

IPAからのお願い

Windows XPのサポートが、2014年4月9日に終了しました。

まだ移行していない方は、不正アクセス等を回避するためサポート

ウェブサイト構築における

発注と受入れの勘所

2014年5月15日

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

主任研究員 渡辺貴仁

～ セキュアな構築 はじめの一歩 ～

近年のセキュリティインシデント



インターネットにおける事件が多様化



ウェブサイトにおけるセキュリティ事件も多発

時期

報道内容

2013/3

環境省の二酸化炭素排出計算サイト改ざん 情報流出恐れ（朝日新聞）

2013/4

ドコモ、米の顧客情報流出か 在米邦人ら対象のサービス（朝日新聞）

2013/5

ヤフーに不正アクセス ＩＤ２２００万人分、流出の恐れ（朝日新聞）

2013/5

大分空港HP、ウイルス感染させるよう改ざん（読売新聞）

2013/5

三越サイトで不正アクセス ８３００人分の情報流出も（産経新聞）

2013/5

阪急阪神百貨店、通販サイトで会員情報流出か（読売新聞）

2013/6

ニッセン通販サイトに不正ログイン 個人情報漏洩の恐れ（読売新聞）

2013/6

札幌市の観光ＨＰ、不正アクセス受け閉鎖（読売新聞）

2013/7

企業の監視強化迫られる 任天堂不正アクセス、手口巧妙に（日経新聞）

2013/8

「ロリポップ！」でWordPressを利用しているサイトが改ざん被害 約4,800件が対象（朝日新聞）

2013/10

セブン通販サイトに不正アクセス １５万人の情報流出か（朝日新聞

ウェブサイトへの攻撃



ウェブサイトへの攻撃と被害



水飲み場攻撃：ウイルス感染サイト化



他攻撃への踏み台：フィッシングメール送信



情報漏えい：個人情報や機密情報



ウェブサイトの改ざん多数

JPCERT/CC が2013年に受け付けた、国内外で

発生したウェブサイトの改ざん件数は

7,409 件

1日平均：20件もの被害が発生していることになる

JPCERT/CC インシデント報告対応レポート（2013年1月1日～ 2013年12月31日集計）

ウェブサイトのどこが狙われ、どう考えるか



特定の部分だけに注目

するのではなく、全体を

みて

バランスの良く

、そ

れぞれの

部分に適した

対策

が必要



ウェブサイトは様々な

機器やソフトウェアで

構成されており、

攻撃者は一番弱く利用

しやすい

脆弱な箇所

を

攻撃する

セキュアなウェブサイト構築基準



PCI DSS

（Payment Card Industry Data Security Standard）

クレジット業界におけるグローバルセキュリティ国際基準



カード会員データを保護するために、基本設計概念・設計・手続き・管理・

運用などの基準を12の「要件」として規定している

技術本部セキュリティセンター

主任研究員渡辺貴仁

～セキュアな構築はじめの一歩～

環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ（朝日新聞）

ドコモ、米の顧客情報流出か在米邦人ら対象のサービス（朝日新聞）

ヤフーに不正アクセスＩＤ２２００万人分、流出の恐れ（朝日新聞）

三越サイトで不正アクセス８３００人分の情報流出も（産経新聞）

ニッセン通販サイトに不正ログイン個人情報漏洩の恐れ（読売新聞）

企業の監視強化迫られる任天堂不正アクセス、手口巧妙に（日経新聞）

「ロリポップ！」でWordPressを利用しているサイトが改ざん被害約4,800件が対象（朝日新聞）

セブン通販サイトに不正アクセス１５万人の情報流出か（朝日新聞

_が必要

_{SQLインジェクション}