情報漏えいに繋がる危険な脆弱性のうち、5割は悪用が比較的容易
−セキュリティ診断の開始から5分で重要情報に不正にアクセスできたケースも−

1. 一般のWebサイトも不正アクセスの脅威にさらされている

金融機関のWebサイト(オンライントレードやオンラインバンキングなど)への不正アクセスは、成功すれば金銭的な利益を得ることができるため、インターネット上の犯罪者にとっては多大な労力(コスト)をかけてでも実行する価値があるといえます。このため、一般のWebサイトと比較して高いセキュリティが要求され、それを達成するために多くの努力がなされてきました。

近年多発している「フィッシング詐欺」と呼ばれる新しい手法は、WebサイトのログインID、パスワード、クレジットカード番号などを不正に取得し、その情報を元に金銭をだまし取ることを目的としています。その対象となるサイトは、金融機関以外のWebサイトにも拡大しています。さらに、セキュリティ上の問題点(脆弱性)が放置されている Webサイトに対して、そのWebサイトの性質に関わらず無差別に侵入、改ざんを行い、ウイルス(特定のサービスのログインIDやパスワードを他サイトに送信するトロイの木馬)を埋め込む大規模な事件も発生しています。これについても同様に、ウイルスによって不正に入手した情報をもとに、不正に金銭を得ることが目的と推測されます。

このような現状より、Webサイトの性質や扱う情報に関わらず、すべてのWebサイトが高度なスキルを持った犯罪者から狙われるようになってきたといえます。

2. 4割以上のサイトで重要情報に不正にアクセスでき、そのうち5割は悪用が比較的容易

NRIセキュアが2004年度に実施した105システムへのセキュリティ診断サービス (Webアプリケーション診断)の結果を集計した結果、クロスサイトスクリプティング脆弱性や、パスワードの取扱いに問題があるなど、情報漏えいに繋がる可能性のある脆弱性が発見されたWebサイトは76%ありました(弊社基準の危険度※1が「高」または「中」)。また、43%のWebサイトについては、発見された脆弱性を悪用して、重要情報に不正にアクセスできることを実際に確認しました。

重要情報に不正にアクセスできたケースでは、「関連チェック不足によるなりすまし」、「権限昇格による管理者機能へのアクセス」、「SQLインジェクションによるデータベースの不正操作」の3つの脆弱性が比較的多く発見されています。

さらに、重要情報に不正にアクセスできたケースにおいて、発見された脆弱性を弊社基準の攻撃難易度※2（その脆弱性が誰にでも簡単に悪用できるかどうか）という指標で分析すると※3、50%のケースで脆弱性を利用した攻撃が比較的容易に実行できるという結果が得られました。実際、セキュリティ診断を開始してから5分程度で重要情報に不正にアクセスできたケースも少なくありません。

• ※1 危険度の目安 (弊社基準)
  • 高：情報漏えいに直接的に繋がる脆弱性（なりすまし、権限昇格、SQLインジェクションなど）
  • 中：情報漏えいに間接的に繋がる可能性がある脆弱性(脆弱なパスワードの許容、クロスサイトスクリプティングなど)
  • 低：攻撃に直接的には繋がらない脆弱性（プロダクト情報の漏えい、不適切なエラーメッセージなど）
• ※2 攻撃難易度の目安 (弊社基準)
  • 易：専門的な知識がない攻撃者でも悪用することが可能な脆弱性
  • 中：悪用には専用に開発されたツール、もしくは専門的な知識が必要となる脆弱性
  • 難：悪用には何らかの前提条件、あるいは高価な専用機器や十分な資金・人的リソースを必要とする脆弱性
• ※3 1つのサイトで複数の危険度の高い脆弱性が発見されたケースでは、最も悪用が易しい脆弱性をカウントしています。

3. 発生頻度が高く、情報漏えいに繋がる危険性の高い3つの脆弱性

重要情報に不正にアクセスできたケースうち、75%のケースで任意もしくは特定のユーザになりすまして操作を行うことができる脆弱性が発見されました。また、半数近くのケースでSQLインジェクションによりデータベース上の重要情報に不正にアクセスできる脆弱性が発見されました。

これらの危険性の高い脆弱性が発見されたシステムでは、複数の脆弱性が同時に発見されるケースが多いことも特徴として挙げられます。それぞれの脆弱性の概要は以下の通りです。

1. 関連チェック不足によるなりすまし
   ログインに成功したユーザが、何らかのIDを変化させることにより別のユーザの重要情報にアクセスできる脆弱性です。例えば、ショッピングサイトにおいて、購買履歴を表示する機能があり、購買履歴の詳細な情報を表示する画面に遷移する際、内部的に利用されている「購買ID」をWebブラウザからWebサイトに送信しているケースを想定します。このようなサイトにおいて、「購買ID」に関連付けされた情報がログイン中のユーザのものであるかどうかの確認 (関連チェック)が適切に行われていないケースが多数発見されました。それに加えて、内部的に利用されるIDが連番で発行されていることも多く、その場合 IDを1つ増やしてアクセスするだけで他ユーザの購買履歴といった重要情報にアクセスできるため、悪用が比較的容易であり、かつ非常に危険性が高いといえます。
2. 権限昇格による管理者機能へのアクセス
   多くのWebサイトでは、ユーザの登録や購買状況の確認などのサイト管理者専用の機能や画面が用意されています。一般ユーザとしてログインした状態、あるいはログインしていない状態で、このような管理者機能にアクセスし、特権操作を行うことができるケースが多数発見されました。例えば、管理者機能にログインした後の画面のURLに直接アクセスするだけで、誰でもログインすることなく管理者機能を利用できるといった、悪用が容易なケースが多数発見されました。管理者機能には登録されているユーザの個人情報一覧を表示するといった機能が含まれている場合が多く、不正なアクセスを受けると大量の重要情報が一度に漏えいするため、非常に危険性が高いといえます。
3. SQLインジェクションによるデータベースの不正操作
   Webアプリケーションがデータベースへアクセスする際、ユーザからの入力値を適切にチェックせずに文字列連結してSQLを生成すると、この脆弱性が発生します。利用しているデータベース製品にもよりますが、SQLインジェクション攻撃により、データベース中に蓄積されているすべての情報が不正に取得されたり、サーバ上で任意のコマンドが実行されたり、データベースが破壊されたりするといった被害に繋がるため、非常に危険性が高いといえます。

4. 効果的なセキュリティ対策は現状の把握から

2004年頃から、大企業を中心としたいくつかの企業が、セキュリティ対策状況の現状を把握するため、自社やグループ企業が公開しているWebサイトに対して一斉にセキュリティ診断を実施するようになってきました。開発中もしくは最近公開されたWebサイトに比べると、過去に開発されたWebサイトのセキュリティ対策は見落とされがちですが、危険度の高い脆弱性はこのような古いシステムに多く発見される傾向にあります。企業全体のセキュリティレベルを底上げするためには、このように網羅的なセキュリティ診断を実施することが効果的といえます。

また、新しいWebサイトを公開する際にセキュリティ診断を受けることを義務付ける、開発ガイドラインを策定するといった取り組みを行なう企業も増えてきました。現状を把握し、個別のWebサイトへの対策を完了した企業が、次のステップとして脆弱性を生み出さないための仕組み作りを模索している段階といえます。

5. 脆弱性を生み出さないための組織的な取り組みを

安全なアプリケーション開発を実現させるためには、開発ライフサイクルのすべてのフェーズにおいてセキュリティを考慮する必要があります。具体的には、要件定義、設計、実装、配備、運用といった各開発フェーズにおいて、セキュリティ設計書の作成、開発ルールの遵守、適切なポイントにおけるレビューおよび承認、マネージャや担当者間の情報共有などが必要となります。 また、そのサイクルが適切に機能しているかどうかをチェックすることも必要です。

Web サイトの開発者は、さまざまな脆弱性の存在や性質について知っている必要があり、そのような脆弱性を生み出さないための実装方式についても熟知している必要があります。このためには、開発ルールなどを定めてそれを遵守することが効果的ですが、適切な教育を定期的に受けることも重要です。

また、企業のセキュリティ管理者は、現在公開しているWebサイトすべてを把握しておく必要があります。各Webサイトがいつ実装されたのか、セキュリティ診断の実施状況・結果・対応状況などの情報を整理し、それぞれのWebサイトについて順次適切な施策を行なっていく必要があります。

6. おわりに

このように、自社が提供するWebサイトのセキュリティを向上させるには、さまざまな視点からの施策が必要となります。まずは現状のセキュリティ強度を把握し、対策が必要な点を見極めることから始めることを推奨します。

• サービスの詳細はこちら