ここが危ない!Web2.0のセキュリティ

第5回 番外編:Black Hat USAレポート

この記事を読むのに必要な時間:およそ 2.5 分

もはや「ブラウジング」ではない

Jeremiah Grossmanと'RSnake'ことRobert Hansenの「Hacking Intranet Websites from the Outside (Take 2)-"Fun With and Without JavaScript Malware"」では,クロスサイトスクリプティングを用いた攻撃の話が行われました。この2人は現在のWebアプリケーションセキュリティを引っ張るトップ2であり,要注目です。

クロスサイトスクリプティングによってどのような攻撃が考えられるでしょうか。認証情報の盗難と画面の改ざんだけではありません。ブラウザのアクセス履歴の盗難,プライベートIPアドレスの取得,キーロガー,ポートスキャン等,さまざまな攻撃が考えられます。Webページを閲覧することはブラウジング(ざっと見る)と呼ばれますが,多くのリスクが存在するため,もはやブラウジングというほど軽い気持ちでは閲覧できない状況になっています。

またクロスサイトスクリプティングに対するユーザ側の防御策として,JavaScriptを無効にするという手段があります。しかしJavaScriptを無効にしているブラウザに対してどれだけ攻撃できるかという研究も進んでいます。たとえば,ブラウザのアクセス履歴を盗む攻撃はJavaScriptを用いて行われていましたが,スタイルシートを利用することで,JavaScriptを無効にしていても盗まれてしまうことがわかりました。

そんな危険なWebの世界でユーザが自衛する手段として,以下の方法が紹介されました。

2種類のブラウザを使う
ブラウザ自体の脆弱性によってセキュリティが脅かされることが多くあります。そのようなブラウザは使わないようにするのが一番よい対策です。
Patch,Disable
セキュリティパッチが出るとすぐにパッチを適用し,使わない機能は無効にします。
アドオン
ブラウザのエクステンションやアドオンにはセキュリティ向上に役立つものがあります。
ログアウト,Cookieクリア
こまめにログアウトし,Cookieを削除することでブラウザが保持している情報をなるべく少なくします。

Ajaxによる攻撃

Billy Hoffmanの「The Little Hybrid Web Worm that Could」ではいかに優秀なWebワームを作るかについて講演が行われました。Billy HoffmanはJiktoというWebアプリケーション脆弱性検査ツールを作成し,漏えいさせて話題になった人物です。

Ajaxは動的でインタラクティブなサイトを作る際に非常に便利ですが,攻撃者から見ても非常に便利な仕組みです。そのためAjax,とくにJavaScriptで作成されたワームが出現しています。2005年にMySpaceに感染したSamyワームはその代表例です。ウイルスベンダやIDSも対応しはじめているのですが,その多くは単純なパターンマッチによって検出するものです。一方でワームも進化し続けており,いかにウイルス対策ソフトやIDSに検知されないかという研究が行われています。

現在はハイブリッドワームというものが考えられています。サーバとクライアントの両方を利用して感染活動を行うため,ハイブリッドと呼ばれています。サーバ側で発生するコマンドインジェクションの脆弱性と,クライアントのブラウザで発生するクロスサイトスクリプティングを利用して伝播していきます。

また,感染ターゲットを見つける方法として,セキュリティ情報を提供しているSecuniaというWebサイトから,クロスサイトスクリプティングが存在するファイル名,パラメータ名を取得し,攻撃のターゲットとする例が紹介されました。このようにすれば,既知のクロスサイトスクリプティングの脆弱性が修正されたとしても,日々新たなクロスサイトスクリプティングの脆弱性が見つかっていますので,感染活動を続けることができます。

このように攻撃手法の話題に多くの時間が割かれ,防御の話題は少ないのもBlack Hatの特徴です。

Web2.0は世界的にも大流行

昨年,一昨年はWebアプリケーションのセキュリティの中でもとくにSQLインジェクションのトピックが多かったのですが,今年はWeb2.0とくにAjaxやJavaScriptに関するトピックが多数ありました。この理由として,SQLインジェクションについては一通り議論され対策も進んでいるのに対し,Web2.0は新しいサービスが次々に登場していることもあり,セキュリティについてあまり議論が進んでいないためだと思います。そのため,今後も新しい攻撃手法が発表されていくことになるでしょう。

Webの世界も日進月歩であり,今まで安全だと思われていたことが急に危険であることがわかる場合もあります。Webに限った話ではありませんが,サービスを開発,提供する場合には,一度できあがってもそれで終わりではなく,新しい脆弱性が見つかっていないかをウォッチし続ける必要があると再認識させられるカンファレンスでした。

会場内の様子

会場内の様子

Black Hat Japan 2007 Briefings & Training 10月に開催

Black Hat USAの多くのセッションもそのままやってくる,Black Hat Japanの概要を紹介しています。あわせてご覧ください。

著者プロフィール

福森大喜(ふくもりだいき)

株式会社セキュアスカイ・テクノロジー CTO。大学の授業で作成したプログラムのセキュリティホールを指摘されたのがきっかけでセキュリティの道に進む。セキュリティベンダーでIDS,IRT等に従事した後,Webアプリケーションのセキュリティ検査サービスを立ち上げる。2006年4月に株式会社セキュアスカイ・テクノロジーを設立。

URLhttp://www.securesky-tech.com/