ZEALOTエンジニアブログ

日本Verisign主催のセミナーに行ってきました

Pocket

今日は、日本Verisign主催の安全なWebアプリケーションの要件~脆弱性の正しい評価と対応策~ というセミナーに行ってきました。

セッションの内容は次の3つです。

  • 第1部 開発現場の担当者に求められている脆弱性の現状把握と対策の要点
  • 第2部 最新セキュリティソリューションを活用するウェブサイト防衛策
  • 第3部 脆弱性アセスメント レポート結果の読み解き方

以下セッションの内容を箇条書き程度にまとめておきたいと思います。(まとまりはあまり無いです、すみません)

第1部 開発現場の担当者に求められている脆弱性の現状把握と対策の要点

まずは徳丸さんによる脆弱性についての説明と、攻撃の実演から。
まず、安全なWebサイトを構築するには以下の2つを参考にすると良いとのことです(どちらも徳丸さんが制作に関わっています)

脆弱性は重要な箇所にあれば問題かというとそうではなく、どんな些細な場所にあったとしても全体に影響が及ぶ場合もあるそうです。

Webサイトへの侵入経路は次の2種類しかないということを意識していると、考え方の整理をするときに有効だそうです。

  • 認証を突破される
  • 脆弱性を突かれる

Webアプリケーションを構築する場合、ミドルウェアやフレームワークなどすでにあるソフトウェアを利用する場合と、独自実装したアプリケーションの部分があるので、それらに依って対策する方法もことなります。

  • 基盤ソフトウェアの脆弱性を悪用(Apache、PHP, Tomcatなどオープンなもの)
    • 既知の脆弱性が、これらのソフトウェアにあるのかないのかを把握しておく必要がある
  • 個別サイト等のアプリケーションの脆弱性を悪用される
    • 脆弱性を探すところからさがさないといけない(未知の脆弱性)
    • SQLインジェクションなど

脆弱性の変遷(歴史)

  • 侵入経路は変わってないが、トレンドは変わってる
  • 2013年、パスワードリスト攻撃による不正ログインが多かった
    • いずれにしても、「認証を突破」されたか、「脆弱性をつかれた」か

攻撃対象はどんどん変わっている。ソフトウェアのバグや脆弱性が枯れてくる事によって、攻撃者はもっと弱くて、影響の大きい所を探して攻撃してきます。

  • Apacheなどの脆弱性をつく攻撃
  • SQLインジェクション攻撃
  • フレームワーク(Struts2, RoRなど)の脆弱性をつく攻撃
  • パスワードリスト攻撃

攻撃のデモとして、日本で一番売れているという、ある言語の教科書のバグをついた攻撃を幾つか実演してもらいました。簡単なスクリプトの実行から、wgetで攻撃用のスクリプトをダウンロードしてWebサイトを書き換えるということまで出来てしまい、脆弱なアプリケーションが如何に危険であるかということが分かります。

あるサイトは、(多分JSが)改竄され、クレジットカード番号がぬかれたという事例もあり、改ざんも結構あぶないということです。(jQueryが改竄されPOSTされるときに、攻撃者のサイトへカード番号を送信するなど)

どういうところが狙われやすいか

  • SSH, FTP
  • プラットフォームの脆弱性
  • フレームワーク
  • SQLインジェクション

攻撃は必ずくるので、来ても大丈夫な様にする設計方針が大事です。

  • プラットフォーム、セキュリティの脆弱性
    • フレームワークの置き換え
    • 影響確認、テスト
       - ゼロデイ、ワンデイで攻撃が来ることもあるので出来ないこともある
       - WAF(シマンテック製品)も有力な緩和剤となる

攻撃しやすくて、影響の大きなものを狙ってくる

狙われやすいアプリケーションとしては有名で機能が多いもの

  • MovableType
  • WordPress
  • phpMyAmin

どこを重点的に守るか

  • 認証口をしっかりまもる(できればパスワード以外の認証も考える)
  • 脆弱性のあるところはきっちり対応する
    • そもそもいらないものはいれない、アップデートはなるべく早く行う

第2、3部について

第2部と3部については日本ベリサインが提供するWAFという製品についての紹介と、脆弱性アセスメントサービスの紹介とレポートの読み方などでした。

今日はじめて知ったのが、EV SSLという日本ベリサイン(シマンテック)のSSL証明書を使っていると次の2つのサービスが受けられるということです。

  • 脆弱性アセスメント
  • マルウェアスキャン

脆弱性アセスメントは、週1回2,3時間ほど時間をかけてEV-SSLの導入されているサイトに対し脆弱性チェックを行なってくれるサービスです。このチェックは負荷も低いようで、1,2人がアクセスしている程度の負荷でしかないそうです。
マルウェアスキャンは、対象のサイトにマルウェアが埋め込まれていないかチェックしてくれます。

上記のサービスは、初期設定ではOFFになっているようですが、ONにすることで有効になるそうです。

まとめ

SSLといえばただの証明書という認識でしたが、脆弱性アセスメントやマルウェアスキャンというサービスも一緒にできるということで、安全で信頼できるサービスの構築がこれまでよりも簡単に行えるようになりつつあるという印象を受けました。

今回は、大企業向けのセミナー&サービス紹介な感じがしましたが、脆弱性アセスメントやマルウェアスキャンなどのサービスを中小企業やスタートアップ向けにも出してくれると、結構需要ありそうな気がしました。セキュリティ的な影響は大企業ほど大きくないかもしれませんが、それでも重要なデータを扱っている中小企業もあると思いますし、そういった企業がこれらのサービスを利用することで全体としてのセキュリティレベルも底上げされるんじゃないかなと思いました。(もちろん、これだけで全てが守られるという類のものではないのですが、ある一定の効果はあるように思います。)

Pocket