Webサイトやカスタムアプリの脆弱性を見つけるには：SANS代表が紹介

企業のWebサイトやカスタムアプリケーションは、「安全性を考慮した開発がなされるべきだ」とSANSのパーラー代表は話す。

[國谷武史，ITmedia]

　「自社で用意したWebサイトやアプリケーションが攻撃されないためには、実装段階で脆弱性を排除すべきだろう」――このほど来日した米SANS Instituteのアラン・パーラー代表は、急増する企業のWebサイトや特定アプリケーションの脆弱性を狙った攻撃に対処策として、開発初期からセキュリティを強く意識していくことの重要性を呼びかけた。

パーラー代表

　パーラー氏は近年のサイバー犯罪の傾向について、金銭取得を目的に手口が多様化していると指摘。「ユーザーのシステムを乗っ取り、スパムメールを大量に配信にしたり、企業のシステムにDoS（サービス停止）攻撃をしかけたりする。例えば、“DoSを仕掛けほしくなければ金を払え”とWebサイトを人質にとるようなケースもある」（同氏）

　このほかにも、キーローガーを仕掛けてユーザーがオンラインバンキングサービスで入力した個人情報を盗み取るケースや、公的機関を名乗ったスパムメールでユーザーを悪質サイトに誘導し、偽サイト上に個人情報を入力させるといった手口も日常化しつつある。

　「盗まれた個人情報はオークションにかけられ、高値で売買される。攻撃者は犯罪集団やテロリスト、国家の諜報機関が関わるケースもある。彼らは利益や資金源の獲得を目的にこうした攻撃をしかけてくる」（同氏）

企業サイトやカスタムアプリがターゲットに

　パーラー氏によれば、サイバー攻撃者が企業のWebサイトや業務などに使用するカスタマイズアプリケーションを狙う背景には、これらのシステムが開発者や管理者が気付いていない脆弱性を多数抱えていることがあるという。

　年初に米国や日本を含む多数の企業サイトを標的にした大規模なSQLインジェクション攻撃が仕掛けられたのは記憶に新しく、脆弱性を突かれたサイトでは攻撃者がシステムを乗っ取り、ユーザーをマルウェア感染サイトに誘導するための不正リンクを埋め込むなどしている。SANS Internet Storm Centerの観測では、50万以上のサイトが被害に巻き込まれた。

　「当初はオンラインゲームの個人情報を盗むマルウェアが確認された。しかし、オンラインゲームをしない人にとっては関係のない不正プログラムであり、油断した人も多い。だが、3週間後にはオンラインバンキングの情報を盗むマルウェアに姿を変え、多くの人が被害に巻き込まれたようだ」（パーラー氏）

　SANSが任意に抽出した約3万サイトの脆弱性を調査したところ、約86％のサイトにクロスサイトスクリプティングの脆弱性が見つかった。「注目すべきことは、（サイト利用者が被害を受ければ）攻撃された企業自身にも責任が及ぶ点だ」とパーラー氏は話した。

脆弱性をなくす術

　「初めから脆弱性を作ることを想定してはいないだろうが、人間の手で作る以上は脆弱性が生まれる」とパーラー氏は、企業自身が用意するシステムでのセキュリティ対策の難しさを指摘した。脆弱性に対処する上で同氏は、実装済みシステムでは修正を試みる、開発中のシステムでは初めから脆弱性を生まないようにする環境作りが重要だとアドバイスする。

　「システムの内部構造を見るホワイトボックステストや、仕様書を基に動作を見るブラックボックステストをいかに徹底しても、開発者自身が考えた基準では必ず抜け落ちる点がある。それを補うためにも、既知の手法などを利用して不正侵入を試みるぺネトレーションテストを徹底すべきだろう」（パーラー氏）。しかし、ぺネトレーションテストのスキルに長じた人材が少ないという課題もあるという。

　SANSはこうした課題解決に向けて、開発者のセキュリティスキル向上やセキュリティの重要性を啓蒙する「Secure Programing Consortium」という組織をITベンダーやITサービス企業などと共同で運営している。同組織では、開発者が安全性を考慮したプロミング技術を習得するための支援や認定プログラムなどの提供も行っている。

　「例えばインドの開発受託大手のTata Consultancy Serviciesは、コンサルタント自身がSecure Programing Consortiumで安全なプログラミング技術を習得し、認定を受けている。開発品質を顧客に証明するのが狙いだ」（パーラー氏）。ドイツのSiemensもこうした活動へ熱心だという。

　パーラー氏は、最後に「セキュリティに通じた開発者は不足しており、スキル向上の支援や啓蒙を図っていくことで、サイバー犯罪に対処できる環境を目指したい」と話した。

過去のニュース一覧はこちら