Tweet

NRIセキュアがWebサイトのセキュリティ診断結果を公表

ぎりぎりまでの仕様変更が脆弱性の「対策漏れ」を招く

2008/07/28

　NRIセキュアテクノロジーズ（NRIセキュア）は7月28日、同社が実施しているWebサイトのセキュリティ診断サービスの結果をまとめた。SQLインジェクションによる不正アクセスが急増し、Webアプリケーションセキュリティの重要性が叫ばれるようになって久しいこともあり、危険性や対策方法は認知されるようになったが、依然として「対策漏れ」が存在することが明らかになったという。

　NRIセキュアでは以前より、Webサイトの脆弱性を検査する「セキュリティ診断サービス」を提供してきた。2007年4月から2008年3月までの1年間に、48社／169サイトを対象にサービスを実施。このうち41％に、「なりすまし」や「権限昇格」「SQLインジェクション」など、個人情報を含む重要な情報に不正にアクセスできる脆弱性が存在していたという。また、初めて検査を受けた企業の場合、この比率は54％に上った。

NRIセキュア コンサルティング事業部 主任コンサルタント 岡博文氏

　同社コンサルティング事業部主任コンサルタントの岡博文氏によると、危険度の高い問題が発見されなかった「安全なWebサイト」は着実に増加している。だが一方で、危険な脆弱性を抱えたWebサイトの比率に大きな改善は見られない（2006年度は42％）。

　その理由の1つとして岡氏は、「セキュリティ対策が定着しつつある企業は増えてきているが、対策漏れで問題を作り込んでしまう」ことを挙げた。例えば、全体としてSQLインジェクションへの対策を施しても、「検索機能の追加といった小規模な改修により、問題を作り込んでしまうケースもある」（同氏）という。

　背景には、開発者側の理解／スキル不足とともに、システム開発そのものの複雑化がある。よりスピーディな開発が求められるようになり、カットオーバーぎりぎりまで仕様変更や画面追加などが行われる結果、時間に追われ、セキュリティチェックが不十分な部分まで本番システムに上げられ、脆弱性につながるケースもあるという。こうした事態を防ぐため、本番環境でのモジュール管理が重要になるとともに、万一チェック漏れがあったとしてもその被害を最小限に留めるような、システム全体としての取り組みも求められるとした。

　また今回の調査では、関係者のみが利用するWebベースの業務システムでは、不特定多数が利用するWebサイトに比べ、特に「権限昇格」の問題が発見される割合が高いことが明らかになった。

　携帯向けサイトとの傾向比較も行われた。携帯向けサイトでは、PC向けサイトに比べSQLインジェクションやクロスサイトスクリプティングなどの問題の発見割合は低いが、逆に「推測可能なセッションID」の問題は多く発見されたという。携帯サイトでは、PCで一般的なCookieの代わりに、URLにセッションIDを含めることで利用者を識別する方法が一般的だが、このセッションIDが十分にランダムではないケースが見受けられる。この結果、第三者がほかのユーザーのセッションIDを推測し、「なりすまし」して情報を盗み見たり、システムを不正に利用する恐れがある。市販のコンテンツ変換サーバ製品の中にも、同様の問題を抱えるものが複数あるため、注意が必要だ。