検索
ニュース

知っていますか? 脆弱性――アニメで見るウェブサイトの脅威と仕組み10個のツールで学ぶ、備える!情報セキュリティの脅威と対策

情報セキュリティ対策に活用できるIPAの10個のツールやコンテンツを紹介します。今回はWebサイトに関する脆弱性や対策を学べるアニメを取り上げます。

[情報処理推進機構] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 情報処理推進機構(IPA)は、ITの社会インフラとしての信頼性向上のため、情報処理技術者試験などによる人材育成、また、さまざまな脅威と対策の紹介といった活動をしています。本連載ではIPAの活動の中から、特にネットワークのセキュリティ対策についてIPAが提供している10個のツールやコンテンツを紹介します。

 ネットワークの脅威やセキュリティというと、どうしても大企業の情報システム部門の仕事と考えられがちですが、実際にはPC、あるいはスマートフォンや携帯ゲーム機のような端末を操作する個人ユーザーにも大きく関わってくる部分です。ネットワークシステムの運用・管理側ではない一利用者であっても、知らないうちに自分の個人情報が漏洩していくという事件に巻き込まれることもあり得るということを認識してください。

代表的な10の脆弱性をアニメーションで学習

 第1回目は、「知っていますか?脆弱性―アニメで見るウェブサイトの脅威と仕組み―」です。このコンテンツは、Webサイトの運営者や一般の利用者へ向けて、Webサイトにおける代表的な10種類の脆弱性(OSやソフトウェアにおけるセキュリティ上の弱点)と、その脆弱性を突く悪意を持ったクラッカー(攻撃者)の手口について、分かりやすくアニメーションで解説しています。

 解説されている脆弱性は次の10種類です。

  1. SQLインジェクション
  2. クロスサイト・スクリプティング※
  3. CSRF(クロスサイト・リクエスト・フォージェリ)※
  4. パス名パラメーターの未チェック/ディレクトリ・トラバーサル
  5. OSコマンド・インジェクション
  6. セッション管理の不備
  7. HTTPヘッダ・インジェクション※
  8. HTTPSの不適切な利用※
  9. サービス運用妨害(DoS)
  10. メール不正中継

 これら10種類の脆弱性はサイト運営者向けの内容ですが、IPAでは「注」としたの4種類については、一般的な利用者もぜひ知っておくべき情報と位置づけています。OSやソフトウェアの脆弱性については、運営者側できちんと対策を行うべきです。しかし利用者もどんな脆弱性が存在しているのかを知っておくことで,危険を回避して自分の情報を自分の手で守ることができます。

アニメは1話約10分。最後に小テストも

 アニメーションにはFlash版とHTML版があります。Flash版は1話10分程度です。実際にクロスサイト・スクリプティングのアニメを見てみましょう。

X社のS氏は、ミニコミ誌を発刊している出版社のWebサイト担当者。ミニコミ誌の反響を調べるために冊子にアンケートページのアドレスを記載し、Webサイトにアンケート回答のWebアプリケーションを設置しました。アンケート回答のWebアプリケーションには、以前無料配布されていたものを使用しました。

 アニメの冒頭部では、毎話このように「前提」の説明があります。基本的にサイト運営者向けの内容であるため、ほぼ全話が中小企業を対象にしています。あまりネットワークのセキュリティに詳しくない初心者のWeb開発者も登場します(図1)。クロスサイト・スクリプティングの回では、ダウンロードしてきたフリーウェアのアンケート・システムを自社のシステムに設置するS氏が主人公です。


図1:この回の主人公のS氏。フリーウェアのアンケート・アプリケーションを自社サイトに設置します

 このS氏のアンケート・システムが悪意を持ったユーザーによって利用され、クロスサイト・スクリプティングの脆弱性を突いて悪意あるスクリプトを埋め込まれて、アンケートに答えた利用者の個人情報を吸い上げます。いわゆるフィッシング詐欺の手口です。「どうしてこうなってしまったのか」……」。利用者からの問い合わせに苦慮するS氏をサポートするのが、「研究所の博士」と呼ばれる人物です。博士はこの回に限らず、毎回いろいろな脆弱性について仕組みを解説してくれます(図2)。


図2:話中にでてくるクロスサイト・スクリプティングについての解説図

 なおアニメの中での解説は脆弱性の概念までで、クロスサイト・スクリプティングの詳細な手口や具体的な手法は語られません。これはその他の回も同様です。「実際にこういうコマンドを送ると……」といった説明は、意図的に省略されています。安易な模倣犯を生み出さないための方法です。

 具体的な対策方法は、別のページへのリンクになっています。例えば、クロスサイト・スクリプティングでは「ウェブサイトにおける脆弱性解説 クロスサイト・スクリプティング」という説明のページに移動します。

 クロスサイト・スクリプティングは、URL表記だけでは正式なページとの区別が付きにくいという問題があり、普段から慎重にインターネットを使っているつもりの利用者でも簡単にだまされてしまうことがあります。ですから「自分は安全だ。そんなドジは踏まない」と思っている人にも、ぜひ一度このアニメーションを見ていただきたいと思います。

 アニメは10分ほどで終了し、最後には3問の○×式クイズが出題されます。今までの話を理解できたかどうかの確認にクイズに答えてみてください。問題はランダムに出題されますが、ちゃんと内容を見ていれば答えられる簡単なものです。

 「アニメーションの解説では遅い!」という方は、HTML版をご覧になるといいでしょう。HTML版はアニメーションではなく、会話形式で書かれた文章で脆弱性を解説しています(図3)。


図3:HTML版(抜粋)のクロスサイト・スクリプティング解説

クロスサイト・スクリプティングを回避するには

 クロスサイト・スクリプティングの対策ページでは「一般の利用者の方」向けとして、次のように説明しています。

利用時(被害に遭わないために)

  • この問題は、被害に遭わないようにすることは、非常に困難な問題です
  • Webサイトにアクセスする場合には、信頼できる情報源からURLを取得してアクセスした後、お気に入りに登録します。2回目以降のアクセスは、登録済みのお気に入りから行いましょう。

問題発生時(被害が発生したと気づいたら)

  • 運営者に問い合わせましょう
  • 金銭被害等があれば各関係機関に連絡をしましょう

 こうした対策内容も、クロスサイト・スクリプティングとは何なのかを知ってから見るのと、知らないうちに見るのとでは真剣さが変わってきますね。最初から対策だけを“こんこん”と説明されても正直、眠たくなりますが、自分の個人情報が「こうやって盗まれることもあるんだよ」と聞かされてからだと真面目に読んでみたくなります。

 昨今、爆発的に普及が進んでいるスマートフォンは、基本的にPCとほとんど性能が変わらないブラウザを搭載しています。クロスサイト・スクリプティングはスマートフォンでも起こり得る脅威です。スクリプトの実行が不可能であるか、あるいは多くの制限があった一般的な携帯電話よりもセキュリティに対する配慮が必要になってきます。

 また、Twitterなどで使われる短縮URLによって、アクセス先のドメイン名が今まで以上に不透明になっています。これはPCか、スマートフォンか、といった利用端末の種類とは別の次元で注意を必要とします。

 今回はクロスサイト・スクリプティングの回を例に解説しましたが、できれば10話全部を一度ご覧ください。10話のアニメを一気に見る必要はありません。1日1話ずつ、ランチ休憩時でもいいわけです。開発に関わる方はできれば全話を、個人ユーザーの皆さんは先ほどのリストで「※」がついている4話だけでも見てみることをおすすめします。ネットの中にどんな危険性があるのかを知っておくと、いろいろなことに注意が払えるようになってきます。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る