PCIDSS適合次世代WAF
:Web攻撃の事例紹介
Open Web Application Security Project(OWASP)という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしており、その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。
- インジェクション(SQLインジェクション、OSインジェクション等)
- クロスサイトスクリプティング
- 不完全な認証とセッション管理
- 危険な直接的オブジェクト参照
- クロスサイト リクエスト フォージェリ (CSRF)
- セキュリティ設定の間違い
- 安全ではない暗号保管
- URLアクセス制限の不備
- 安全ではない通信
- 安全ではないリダイレクトとフォワード
Webアプリケーションの脆弱性をついた攻撃のうち、およそ8割がこのランキングのトップ1、2の攻撃といわれております。これらの攻撃がどのような攻撃なのかを見ていきましょう。
【SQLインジェクション】
SQLインジェクション攻撃は、主にWebアプリケーションと連動して動いているデータベースをターゲットにした攻撃です。データベースを操作するための言語である「SQL」を、Webアプリケーション開発者が想定していないような形で利用することで、データベース内部を不正に操作することを目的とした攻撃です。
登録されている個人情報の漏えいや、価格情報の改ざんといった、企業にとって致命的となる損害を引き起こす可能性の高い攻撃のひとつです。
攻撃例
このようなログインページが用意されていた場合、通常であれば適切なログイン名とパスワードを入力することで利用可能となります。しかし、ここでログイン名やパスワードの内容にSQLを入力することが可能であった場合、特殊な文字列を入力することでログイン認証そのものを無効化することが可能となり、ユーザー名とパスワードを知らなくてもログインすることが可能となります。また、ここでSQLが使用できるということはデータベースを操作することも可能となるので、データベース内部のすべての情報を抜き出したり改ざんしたりすることが可能となることを意味します。
【クロスサイトスクリプティング】
ブログや掲示板に対して悪意のある利用者が書き込みを行う際に、プログラム(スクリプト)を埋め込むことで、第三者がその内容を閲覧したタイミングで埋め込まれたプログラムを勝手に実行させてしまうという攻撃です。
プログラムの内容によっては、さまざまな個人情報や機密情報を悪意のある利用者へ送信するようなものや、サイト内の情報を書き換えるようなものがあります。
また、他の種類の攻撃のための準備となる情報を取得するために使用されます。
攻撃例
攻撃スクリプトに対してリンクを張っておき、利用者がそのリンクをたどっていった場合、サイト内容が改ざんされてしまうケースや、その改ざん内容によってはフィッシングサイトへ勝手にアクセスさせられることがあります。
また、ECサイトだった場合はアクセス情報を再利用され、勝手に買い物をされてしまうようなケースがあります。
【攻撃被害事例1(SQLインジェクション)】
海外からの不正アクセスにより5,964件のクレジットカード情報が流出か
EC用のWebサイトに対して海外サーバからの不正アクセスがあり、調査の結果、同サイトの利用者のクレジットカード情報の一部が流出したことを確認したと発表した。同社では現在、第三者のセキュリティ専門会社の指導の下で不正アクセス対策の強化を実施しており、環境整備に努めている。なお、同社での通販業務は、よりセキュリティ効果の高いシステムを導入するまで運用を停止するとしている。
調査結果によると、6月10日3時25分から6月21日5時32分にかけて海外(中国・韓国)のIPアドレスよりWebサイトに対し不正アクセスが行われ、データベース上のクレジットカード情報を窃取したものと確認されたという。この不正アクセスにより流出した可能性のある顧客情報は、同サイトで2008年3月4日から2010年6月21日までの期間に商品をクレジットカード決済にて購入した顧客5,964件のクレジットカード情報(カード番号、名義、有効期限)で、その他の個人情報の流出の形跡はないとしている。
【攻撃被害事例2(クロスサイトスクリプティング)】
YouTubeにXSS攻撃、不正ポップアップなどの被害広がる
動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが伝えた。
それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング(XSS)の脆弱性が悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報:(歌手の)ジャスティン・ビーバーが交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。
Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。
SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったとみられる。