さまざまな角度から浮上したWebアプリケーション脆弱性問題2005年アクセストップ10

クロスサイトリクエストフォージェリ、SQLインジェクションと、Webサイトの構造やWebアプリケーションの脆弱性を狙った攻撃が多発した一年だった。

» 2005年12月27日 07時35分 公開
[ITmedia]

 エンタープライズチャンネルで2005年最も注目された話題は何かを振り返るこの企画。年間ページビューランキングの5位は「大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?」という記事だ。

 この記事は、ソーシャルネットワーキングサイトの「mixi」の設定上の問題を悪用され、リンクをクリックするだけで「ぼくはまちちゃん!」という日記を勝手に書き込まれてしまう、という現象について解説したものだ。文面の奇抜さが話題を呼んだようだが、問題の本質は「クロスサイトリクエストフォージェリ」(CSRF)という脆弱性にある。

 CSRFは、外部に用意された攻撃サイトを通じてWebアプリケーションにリクエストを送り込み、さまざまなコマンドを実行させるという問題だ。

 たいていのWebアプリケーションでは、正規ユーザー以外のリクエストは受け付けない仕組みになっている。しかしCSRFの問題が存在すると、正規ユーザーがログインしている状態で外部サイトへのリンクをクリックした際に、攻撃者が仕掛けたさまざまな意図しない結果がもたらされる。「はまちちゃん」のようにスクリプトを通じて日記や掲示板への書き込みが行われることもあれば、悪くするとユーザー自身の登録情報を変更されたり、オンラインショップで商品を注文される、といった可能性もある。

 いずれにしても問題は、Webサイトの作りにある。そのリクエストが本当にそのユーザーから送られてきたものかを、前後のページでセッションIDを参照したり、Refererをチェックすることによって対策は可能だ。

 一連のランキングには登場していないが、2005年はWebアプリケーションの脆弱性を攻撃されて顧客情報が流出するという事件が相次いだ。5月に発生したオンライン価格比較サイトの価格.comへの不正アクセスを皮切りに、OZmall、静岡新聞社など複数のWebサイトに対し、Webアプリケーションを狙った攻撃が仕掛けられた。

 中でも目立ったのは「SQLインジェクション」を悪用した不正アクセスだ(関連記事)。セキュリティ企業のラックでは、SQLインジェクション攻撃が急増した背景として、この脆弱性を用いた攻撃ツールが流通していることを挙げている。またワコールのように、一連の事件を知って緊急に設定を見直したはずのWebサイトでも、システムに対策漏れがあり、そこを突かれたというケースも浮上した。

 WebサイトやWebアプリケーションの役割は広がり、そこで扱われる個人情報や金銭的価値は増大する一方だ。しかし、そのことに十分な配慮が払われているだろうか? 今運用されているWebアプリケーション、そしてこれから構築されるWebアプリケーション、それぞれに、役割や扱う情報に応じて適切な対策が求められている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ