徳丸氏といえば、Webアプリケーションセキュリティの第一人者です。2018年には、「OWASP Top10 2017」などの新たな項目を踏まえた『体系的に学ぶ安全なWebアプリケーションの作り方 第二版』が出版されました。
「第二版では、最近のWebの作りを踏まえ、Web APIとJavaScript、CORS(Cross-Origin Resource Sharing:オリジン間リソース共有)についてきっちり説明しました」と徳丸氏。OWASP Top10 2017に新たに加わった「XXE(XML External Entity)」と「安全でないデシリアライゼーション」についても、紙幅を割いて説明しています。
特に後者はこれまであまり日本では注目されてこなかった問題ですが、「以前、ブログ記事で安全でないデシリアライゼーションの問題があるWordPress向けプラグインを取り上げたのですが、そのプラグインには、以前にも同じ種類の脆弱性が含まれているという前科がありました。サイトを作る側からすると、プラグインの選定と、使っているときの脆弱性管理が大事になるでしょう」(徳丸氏)。
なお徳丸本では、パスワードの管理についても説明しています。最近、ファイル共有サービスが不正アクセスを受け、平文で保存されていたパスワードが漏えいする事件が発生したばかりですが、「平文のままパスワードを保存しているサービスは、実は他にも結構残っていると思います」と徳丸氏は語ります。
「初版を執筆した2010年当時は、『どのようにWebサイトのパスワードを保護すべきか』という方法論が確立しておらず、日本語で参考になる文書もなかったため、英文の文書を参考にしながらまとめた覚えがあります。
もう一つ大きいのは、その時点ではパスワードリスト攻撃が流行っていなかったことです。例えば、2011年のゴールデンウイーク前に起こったプレイステーションネットワーク(PSN)に対する攻撃では、一時的とはいえ『漏えいしたパスワードがもともと平文で保存されていた』という情報が出回り(のちにハッシュ値による保存と訂正)、注目が高まりました。それ以前からの古いシステムでは、けっこうまだ平文パスワードがあるのではないでしょうか」(徳丸氏)
一方で、ヤフーのようにパスワードを使わない方式を採用するサイトも登場し始めましたが、「見よう見まねで形だけまねても、危険な実装になる恐れがあります。ある程度方法論が確立してからでも遅くはないのではないでしょうか」と徳丸氏は述べ、確立されたベストプラクティスを実践することが大切だと呼び掛けました。
Copyright © ITmedia, Inc. All Rights Reserved.