“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。
例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。
しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。
「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」
“そうはならんやろコード”はどうやって生まれるのか
サイバー攻撃に関する最新情報は、専門の調査機関などから日々発表されている他、カンファレンスの場などでも動向の情報を取得できる。徳丸さんはそれらに加えて質問サイトやQiitaをよく見るという。
日本の質問サイトとしてはレバテックの「Teratail」が有名だ。“プログラマー向けYahoo!知恵袋”のようにイメージするのが分かりやすい。
「『質問する人はこういう間違い方をするのか』と観察しています。Qiitaは本当に玉石混交で、『これはすごいな』ってものもあれば、『これはさすがにダメだろう』みたいなものも多くて……。いきなりTwitterでさらし上げるのはかわいそうなので、ご本人にコメントとかでお伝えしてます」(徳丸さん)
「たまに、『こんなソースコードどうやって思い付いたんだ』って思ってコードの出典を聞いてみると、プログラミングスクールのメンター(先輩指導員)が示したコードだって言うんです。普通にマニュアル通りに作れば脆弱性なんか入らないはずなのに、どこで習ったか知らないけどそんな書き方を教えちゃってるんですね」(徳丸さん)
質問サイトを観察することで脆弱性が生まれる考え方やプロセスを学ぶ。そうして生まれたのが、できる限りの脆弱性を詰め込んだサンプルアプリケーション「BadTodo」だ。
生々しい「脆弱性あるある」で現実を見よう
BadTodoは脆弱性診断実習用のアプリ。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「安全なウェブサイトの作り方」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。
徳丸さんは「『割と現実にあるよね』というパターンを詰め込むことにこだわりました」と語る。
情報系の大学生の中にはプログラミングの速さや技術力を見る競技プログラミングというイベントがある。情報セキュリティの分野でも技術を競うコンテストはある。徳丸さんによると、コンテストで出題されるコードは作問のために意図して作ったもののことも多く、リアリティーがあるとは限らないという。
「ベストプラクティスという言葉がありますけど、BadTodoはワーストプラクティス集みたいな感じにしています。作り物ではあるんですけど、現実的な“あるある”なんですね」(徳丸さん)
サイバー攻撃被害のニュースやインシデント報告を見て、「それはおかしいだろう」とツッコミを入れるのもいいが、そのエッセンスは自分の職場にも転がっているかもしれない。そう考えることで自社セキュリティの改善につなげることが重要だ。
関連記事
- 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。 - 中古ルーターは機密データの宝庫? 購入して検証、半数以上に企業秘密が残存 スロバキアチームが調査
セキュリティ企業ESETの研究者らは、テストのために購入した中古の企業向けルーターの半数以上(56.25%)が、前の所有者によって完全にそのままの状態で残されていたことを示した研究報告を発表した。 - 小学館で情報漏えいか 取締役が偽不在通知SMSにだまされパスワード入力
小学館が、同社取締役の社用スマートフォンから302人分の個人情報が漏えいした可能性があるとして謝罪した。宅配業者からの不在通知を装ったSMSメッセージを本物だと思い、アカウント情報を入力したところ、スマホ内の情報に不正アクセスされたとしている。
Copyright © ITmedia, Inc. All Rights Reserved.