ここが危ない!Web2.0のセキュリティ

第12回 [最終回]拡散するWebの脅威

この記事を読むのに必要な時間:およそ 3 分

デスクトップアプリケーションとWebアプリケーションの融合

Flashを提供しているAdobeはAdobe AIRをリリースし,Webアプリケーションの技術でデスクトップアプリケーションを作成できる概念を発表しました。一方,Windowsを提供するMicrosoftはSilverlightをリリースし,デスクトップアプリケーションからWebアプリケーションの分野に進出しました。また,第11回で紹介したガジェットウィジェットもWebの技術でデスクトップアプリケーションを作成するものでした。

このようにWebアプリケーションはデスクトップアプリケーション側へ進出し,デスクトップアプリケーションはWebアプリケーション側に進出することで,Webアプリケーションとデスクトップアプリケーションの境が徐々になくなってきています。

これらの説明にはデスクトップアプリケーションという単語が出てくるので,EXE形式の実行ファイルと同等の脅威が存在することはわかると思いますが,Webアプリケーションに存在したSame-Originポリシーも一筋縄ではいかなくなり,新たなセキュリティモデルが必要になります。まだ正式版ではないということもあり,各社セキュリティモデルを試行錯誤している段階です。今後,どのような仕様になっていくか要注目です。

また,FlashやSilverlightに代表されるように,ブラウザプラグインが多様化していることも脆弱性を生む原因となっています。過去にはAdobe ReaderQuickTimeにクロスサイトスクリプティングの脆弱性が存在していました。また少し性質は違いますが,Firefoxのアドオンも使い方を誤ると危険です。

●過去の事例

Flash Playerにおいて任意のRefererヘッダが送信可能な脆弱性
http://jvn.jp/jp/JVN%2372595280/index.html
Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa07-01.html

ワープロ,表計算ソフト,OSのWeb化

GoogleがGoogle Docs & Spreadsheetsをリリースしました。これにより,有償だったMicrosoft WordやExcelとほぼ同等の機能を無償で,Web上で使えるようになりました。それをきっかけにしたかのように,同様の機能を提供する企業もいくつか出てきました。

また,あたかもOSが動いているかのようなデスクトップ環境をWebで実現したものもあります。ブラウザでサーバにアクセスすれば,一般のOS並の画面が表示されます。なるべくノートPCには情報を入れないようにするために,Webサーバ上に環境を構築する使い方をするようになって広まりました。

これらにはAjaxが多用されており,多くのリクエストレスポンスが発生します。そのため対策漏れが起こってしまい,脆弱性が存在していることがあります。また,Ajax関連の脆弱性対策に気を取られるあまり,ディレクトリトラバーサルのように単純な脆弱性で被害が大きいものに対しての対策を忘れているようなケースもありました。

●過去の事例

eyeOS におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2346244305/index.html

プロトコルハンドラを経由した脆弱性

Webブラウザのプロトコルハンドラを使用して,コンピュータにインストールされたDLL等を呼び出し,情報を取得することができたり,プログラムを実行されたりすることがあります。このとき呼び出されるプログラムにバッファオーバーフロー等の脆弱性が存在することがあります。

たとえば,SecondLifeをインストールした際に追加されるプロトコルハンドラを利用した脆弱性が見つかりました。このように一見Webとは関係ないように見えるアプリケーションでも,Webから呼び出すことができるものがあります。

●過去の事例

IE pwns SecondLife | GNUCITIZEN
http://www.gnucitizen.org/blog/ie-pwns-secondlife
Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性
http://jvn.jp/cert/JVNVU%23715737/index.html

Web2.0セキュリティの未来

このように,Webの技術は至るところで使われるようになり,多様化の一途を辿っています。とくにWeb2.0という言葉が作られてから,その傾向が急速に進んだように思います。また,今まではクロスサイトスクリプティングといえば,認証情報の盗難や画面の見かけ上の変更といったものでしたが,今やローカルファイルの盗難や任意のコマンド実行にまで被害が及ぶケースも出てきています。攻撃により発生する被害の幅も,またその深刻さも増加したことが,Web2.0の特徴ではないでしょうか。

今後ますます多様化が進み,Webアプリケーション開発者以外の人でも,Webの技術を使ったアプリケーションやブラウザを利用したアプリケーションを開発する機会が増えると思います。その時にはWebアプリケーションの脆弱性を認識しておくこと,被害を見誤らないことが重要です。その一方で,フレームワークや開発キットを作成する人は,ユーザがセキュリティの知識を十分に持っていないことを前提として,安全側に倒れるような設計をしておくなど,それぞれの立場から積極的にセキュリティ対策に取り組んでいきましょう。

著者プロフィール

福森大喜(ふくもりだいき)

株式会社セキュアスカイ・テクノロジー CTO。大学の授業で作成したプログラムのセキュリティホールを指摘されたのがきっかけでセキュリティの道に進む。セキュリティベンダーでIDS,IRT等に従事した後,Webアプリケーションのセキュリティ検査サービスを立ち上げる。2006年4月に株式会社セキュアスカイ・テクノロジーを設立。

URLhttp://www.securesky-tech.com/

コメント

コメントの記入