ニュース
» 2005年06月10日 09時53分 公開

フィッシング、ボット、Webアプリ……いまそこにある脅威への対処は?

Interop Tokyo 2005の「セキュリティパビリオン」では、最近注目されるセキュリティ上のトピックに沿って、いくつかの講演が行われている。

[高橋睦美,ITmedia]

 Interop Tokyo 2005の「セキュリティパビリオン」では、最近注目されるトピックに沿った講演が行われている。6月9日には、ディアイティの製品事業本部シニアシステムエンジニアを務める坂本慶氏と三井物産セキュアディレクション(MBSD)事業開発センターCTOの伊藤良孝氏が、被害が拡大している「フィッシング」と「ボット」をテーマにしたセッションを行った。

 この中で坂本氏は、「フィッシングは人間の勘違いを悪用するもので、対策が難しい。いろいろと対策製品はあるが、『これを使っていれば被害には遭わない』ということはない」と指摘。フィッシングの被害に遭わないためにはユーザー自身が注意することが一番であり、ツールは補完的な機能を提供するものだとした。

 また、ワームは感染すると、次の犠牲者を求めて大量のトラフィックを吐き出すため検出が容易なのに対し、ボットはPCに忍び込んでも攻撃者による指令が下るまでじっとしている。「感染した時点から、ユーザーがそれに気がつくまでの時間が長い点がやっかい」(坂本氏)。

坂本氏 講演の中では、Interop TokyoのShowNetで行われているセキュリティ対策の概略も紹介された

 では、こうした脅威を迅速に検出し、システムを保護することは可能だろうか? MBSDの伊藤氏は、残念ながら「監視サービスやIDSでフィッシングやボットを捕まえられるかというと難しい」と述べた。

 「フィッシングというのは通常の攻撃とは異なり、ユーザーがメールの中にあるリンクをクリックすることで発動する一種のパッシブアタック。こういった類の攻撃は発見しにくい」(同氏)。

 一方ボットについては、攻撃者がボットに指令を下す際にIRCを利用するケースが多いことから、IRCの起動状況を監視することで検出できそうに見えるが、「通常の業務の中でIRCを利用している場合は、正当なサービスかどうかの見分けが難しい」という。しかも今後、偽装通信(Covert Channel)を使う、非常に検出しにくいボットが登場してくる可能性は否定できないとも付け加えた。

 結局のところこうした脅威から身を守るには、「怪しいリンクはクリックしない」「Webブラウザの設定を見直し、外部に接続する際にはJava関連の機能をすべてオフにする」「Webブラウザを使い分ける」といった基本的な手段が第一だという。

Webアプリの対策には「まず正しい知識を」

 また同日午後には、MBSDシニアコンサルタントの国分裕氏がWebアプリケーションの危険性と対策をテーマとしたセッションを行い、「正しい知識を持って開発を行うこと」の重要性を訴えた。

 クロスサイトスクリプティングやSQLインジェクションといったWebアプリケーションの脆弱性を突いた攻撃は、前述の2つの脅威同様、ファイアウォールやIDSで防ぐことは困難だ。にもかかわらず、同社が行った検査結果をまとめたところ「150サイトのうち9割以上に何らかの脆弱性が存在した」(国分氏)。

 たとえばクロスサイトスクリプティングは「どのサイトを見ても1つは残っている」(国分氏)ような状態だし、本来ならばユーザーに見せる必要のない情報を表示させてしまう情報露呈(Information Linkage)も多く見受けられるという。また、価格などの重要なデータの書き換えを許す「Data Manipulation」やセッション管理の不備、HTTPSが適切に使用されていない例も多いということだ。

 なお、Webアプリケーションの脆弱性には多種多様な種類があるが、中でも危険性が高く「致命的」なものは、「セッション管理の不備」「SQLインジェクション」、それに「Data Manipulation」だという。

 こうした実態にもかかわらず、「IDとパスワードで認証をかけているから大丈夫」「ファイアウォールやIDSを入れているから大丈夫」と考えているケースも多いと思われる。しかしこうした対策は、Webアプリケーションの脆弱性という本質とはあまり関係がない。

 根本的に対策するには、まず「どのようにWebアプリケーションを作っていけばいいかを正しく知っておく必要がある」と国分氏。それも、Webアプリケーションのプログラミングを行う側だけでなく、発注側もしっかり理解すべきだという。

 また、既にWebアプリケーションが稼動している場合は、「どんなアプリケーションが動いているのか」「どんなことに注意すべきか」を把握したうえで、検査および対策を施していくべきという(関連記事)

 とにかくまずは、Webアプリケーションの危険性について正しい知識を持つこと。そして「プログラミングの段階だけでなく、要件定義や構築、公開後の運用という一連の流れの中で、一般的なセキュリティ対策だけでなく、Webアプリケーションに対する対策を施していくこと」が必要だと国分氏は述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -