【Webアプリケーションのセキュリティ 5】〜 Webシステムの脆さ 〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.23(木)

【Webアプリケーションのセキュリティ 5】〜 Webシステムの脆さ 〜

特集 特集

 10月5日、6日、ネットワークの攻防に関するイベント、A.D.2002[1]が行われた。筆者はイベントの主催団体A.D.200xのメンバーとしてこのイベントに参画し、最先端のネットワーク攻防技術についての発表やデモを目の当たりにすることができた。A.D.2002の発表には、この「Webアプリケーションのセキュリティ」の連載内容と関わりが深い話題もいくつかあったので、その中からいくつかを要約して紹介したい。

 前回記事で、「Web改竄」は何もWebサーバへの侵入によってのみ行われるのではなく、ドメインジャックなどによっても「Web改竄」が可能であることをお話した。片山氏の「ソーシャルによるWeb改竄」という発表は、まさにこの脅威について述べたものであった。その発表内容は、ソーシャルハッキングによって騙されたJPNIC(JPRS)が、如何に安易にドメイン所有者を(悪意ある)人物に変更してしまうかを述べたものである。

 近々その発表資料はA.D.200Xのサーバで公表される予定であるが、その資料に記述されている「ソーシャルハッキング実験」後に変更された、現状のJPNIC(JPRS)のシステムにおいても、ソーシャルハッキング可能であると、片山氏はA.D.2002会場にて述べていた。この発表から「ドメイン」の維持システムが如何に脆いものかを思い知らされ、「Webシステム」の防御の難しさがまた新たに明らかになった。

 「セキュリティホールmemo」[2]の作者として知られる小島肇氏の発表[3]は、Webやftpによるコンテンツ配信の信頼性に関しての問題提起であった。その内容は、ソフトウェアや重要情報の配布に関して、ユーザが信頼できる情報送信手法がとられていない現状を説明したものである。

 その発表では、SSL、MD5 digital signature、あるいはPGP/GPG 署名などにって配布する情報の信頼性、真正性が証明されていた場合でさえも、その配布されている情報を信頼できない理由あることがまず説明されていた。さらに、多くのサイトでSSL、MD5 digital signature、PGP/GPG 署名がとられていない状況を明らかにされた。

 小島氏のこの警笛に対して「ソフトウェアの配布ごときに、そんな神経質になる必要はないだろう」と思う人もいたかも知れない。しかし、この発表が行われていたその時まさに、インターネット関連の最重要ソフトウェアともいうべきsendmailの公式配布サイト[4]おいて、配布されているソフトが密かに書き換えられてトロイの木馬が混入されていたのだ。そしてそのことに、誰も気づいていないままであり、そしてそれを信頼しきって多くの人々がダウンロードして利用していたのだ[5]。小島氏の警報は、大げさでも誇張でもなく、真実だったのである。

 小島氏の発表に対して筆者が質問して確認したことであるが、SSLを使っていても安心できないその理由の一つに、ブラウザの信頼性の問題がある。ブラウザには、いくつかのPKIベンダの公開鍵が最初から含まれている。この鍵を信頼してSSL通信を行い、サーバの真正性を確認するわけであるが、ブラウザ入手の段階からユーザが騙されていて、本物ではない鍵を保有するブラウザを利用している場合などには、「SSL通信」だからといって信頼性はないことになる。


office
office@ukky.net
http://www.office.ac/

[1] http://www.ad200x.org
[2] http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
[3] http://www.st.ryukoku.ac.jp/%7Ekjm/security/20021005-ad2002/real-info.pdf
[4] http://www.sendmail.org/
[5] http://www.cert.org/advisories/CA-2002-28.html


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×