ここが危ない!Web2.0のセキュリティ

第6回 WebAPI,認証APIのセキュリティ

この記事を読むのに必要な時間:およそ 2 分

WebAPIの公開

APIとは,何らかの機能を提供するプログラムのことです。WebAPIとは,Webで提供されたAPIということです。たとえば,地図データを提供するAPIや商品の検索結果を提供するAPIが有名です。なるべく多くの人にアクセスしてほしい情報を持っている企業は,WebAPIとして情報を提供することが多くなりました。WebAPIという便利なインターフェースを用意することで多くのユーザにアクセスしてもらい,広告ビジネス等につなげていくのが狙いです。

またWebAPIは,多くの形式に対応していたほうが,多くのユーザに利用してもらうことができるため,なるべく多くの出力形式に対応しようとする傾向があります。以前はSOAPという形式が多く使われていましたが,実装方法が煩雑であったため,現在ではREST,JSON,JSONPのように実装がシンプルな形式のものが多く使われています。

WebAPIを公開する際のセキュリティ

WebAPIを公開する場合に発生しやすい脆弱性を紹介します。発生原理はすでに紹介したものもありますが,WebAPIという観点から見て,もう一度まとめておきたいと思います。実際にWebAPIを公開しているサイトで多く見つかっているものです。

WebAPIのクロスサイトスクリプティング対策

たとえば,JSONP形式で出力を行うWebAPIは,パラメータとしてコールバック関数名を取得します。

http://www.example.com/json?func=callback

レスポンスは,以下のようにJSONPのデータになります。

callback( { "name" : "Fukumori" } );

この場合,コールバック関数名を指定可能なのですが,関数名の中に不正なスクリプトを挿入することが可能です。

http://www.example.com/json?func=<script>alert('xss')</script>

すると,レスポンスは次のようになります。

<script>alert('xss')</script>( { "name" : "Fukumori" } );

このレスポンスはJSONPのデータであって,HTMLファイルではないので,本来であればスクリプトは実行されません。しかし第1回で紹介したように,Internet Explorerの「内容によってファイルを開く」仕様があるため,HTMLとして解釈されてしまいます。その結果として,スクリプトが実行されてしまいます。

WebAPIを公開するドメイン

WebAPIを公開するドメインは,他のサービスとは別のドメインにするほうが安全です。クロスドメインアクセスを許可するドメインと,そうでないドメインを分離することで,Flash等を利用した意図しないクロスドメインアクセスによって,情報が漏えいすることを防ぐためです。

WebAPIでの認証

機密情報を提供する場合には,ユーザ認証を行う必要があります。WebAPIでの認証は一般のWebアプリケーションとは異なる点があります。基本的に,WebAPIを利用するのは人間ではなくプログラムです。そのため一般のWebアプリケーションと同じようなログイン,セッション管理,ログアウト等を考える必要がない場合もあります。その場合はBasic認証や,Digest認証を使用することができます。

WebAPIへのクロスドメインアクセス

第3,4回で説明したように,機密情報をJSON,JSONP形式のデータとして提供する場合には,SCRIPTタグから読み込まされた際にデータが漏洩しないように注意が必要です。

機密情報の通信

機密情報を含んだデータをやりとりする場合には,WebAPIをHTTPSで提供する必要があります。最も初歩的なことのように思われますが,不備のあるサイトが意外と多く存在します。

認証キーの利用

WebAPIはプログラムから利用されることを前提として作られているため,攻撃者から見ても攻撃に役立つ便利な機能になります。そこで,不正利用されにくくする手段として,認証キーの利用が考えられます。メールアドレス等をもとにユーザ登録を行い,WebAPIを利用するための認証キーを発行し,WebAPI利用の際には認証キーを必須にします。その結果,不正利用のハードルを上げ,不正利用された場合には発見しやすくなります。しかし,簡単に他人の認証キーを利用することができたり,使い捨てのメールアドレスでユーザ登録されたりと,完全に不正利用を防ぐことはできません。あくまで不正利用のハードルを上げるためという位置づけで考えてください。

また,WebAPIはプログラムから利用されるため負荷が高くなりがちですので,認証キーを利用して,利用回数制限を設けることもできます。

著者プロフィール

福森大喜(ふくもりだいき)

株式会社セキュアスカイ・テクノロジー CTO。大学の授業で作成したプログラムのセキュリティホールを指摘されたのがきっかけでセキュリティの道に進む。セキュリティベンダーでIDS,IRT等に従事した後,Webアプリケーションのセキュリティ検査サービスを立ち上げる。2006年4月に株式会社セキュアスカイ・テクノロジーを設立。

URLhttp://www.securesky-tech.com/

コメント

コメントの記入