代表的な 10 種類の脆弱性 (ソフトウェア等におけるセキュリティ上の弱点)

近年、個人情報漏洩のニュースは頻発しており、攻撃の手は多岐に及び、巧妙かつ複雑になってきています。個人情報の漏洩は、いったん起きてしまうと個人はもちろんその組織全体に非常に大きなダメージを与えてしまいます。2020年に入ってからも被害は途切れることなく、行政や大学、企業などさまざまな組織で事件は起きています。

個人情報漏洩を引き起こす要因の一つにシステムの脆弱性を悪用した攻撃があります。今回は「脆弱性」をテーマとして、代表的な10種類の弱点について取り上げていきます。

１．SQLインジェクション

SQLとは、データベースに問い合わせる命令文（Q）を組み立てて（S）実行するためのコンピュータの言語（L）を指しています。SQLインジェクションとは、悪意のある攻撃者がこうした命令文の中に細工したSQLを埋込み、データベースを不正に操作できるようにしてしまうということです。

この攻撃を受けて2020年も既に企業で顧客情報を漏洩する被害が出ているということは、データベースであるサーバー自体を保守・管理するだけでは不十分であることがわかります。さらにデータベースにアクセスするWebアプリケーションのセキュリティ対策を講じることは大切です。主なセキュリティ対策は、アプリケーションのプログラム開発時にSQLインジェクション脆弱性が入らないような開発をすることが一般的な対策になります。また、運用側はWebアプリケーションの脆弱性を定期的にチェックし、パッチやアップデートが公開されたら迅速に適用することが大切です。

２．クロスサイト・スクリプティング

クロスサイト・スクリプティングとは、Webサイトで利用されるアンケート、掲示板、サイト内検索などの脆弱性やそれを悪用した攻撃です。Webサイトにおいて、きちんとセキュリティ対策がされていないと、悪意を持った命令が埋込まれてしまい、偽ページが表示されます。これには、cookie情報を利用した不正アクセスやHTMLタグを使った入力フォームによる情報収集、偽サイトを使ったフィッシング詐欺につながるので注意が必要です。実際、海外・国内を問わず最新の話題商品を利用しての偽サイトが増加し続けています。対策方法としては入力値の制限やサニタイジング（スクリプトの無害化）を施したり、Webアプリケーション層を保護することが出来るWAF（Webアプリケーションファイアウォール）の導入です。

３．CSRF（クロスサイト・リクエスト・フォージェリ）

ユーザーがSNSなどのWebサイトにログイン中に、並行して、別のWebサイトやメール内に記載されている不正リンクをクリックすると、悪意あるリクエストがユーザーの要求であるかのように偽って、ログイン中のWebサイトに送信されます。このような、ユーザーの意思とは別の操作をする「クロスサイト・リクエスト・フォージェリ」攻撃により、攻撃者に非公開の個人情報を公開する設定に変えリクエストをさせられたり、パスワードを書き換えるなどの被害があります。攻撃者がユーザーになりすまして操作してしまうので、ユーザー側には、Webサイトにログインしているときは、怪しいURLや身に覚えのないメールやメッセージに注意しアクセスしないようにします。また、作業が終わればログアウトすることが大切です。

４．パス名パラメータの未チェック/ディレクトリ・トラバーサル

ファイル名を扱うプログラムに対して不正な送信がなされると、監理者が非公開にしているファイルなどの内容が取得されるディレクトリ・トラバーサル攻撃は、コンピュータシステムへの攻撃手法の一つです。Webアプリケーションなどで、パラメータとして外部からファイル名などの指定を受ける場合に、文字列に問題があると攻撃対象となり被害を受けます。

この攻撃は、近年、プラグイン による拡張性が魅力的なWordPressでよく見られます。拡張機能を悪用してWordPressの設定ファイルを不正に読み込む攻撃がなされています。対策としては、使用する言語やシステムによって異なりますが、「/」や「\」を含むパス名の禁止、入力されたパスの前方・部分を一致させること、ディレクトリのアクセス権を設定するなどディレクトリパスを適切に処理することが大切です。また、直接入力された文字列をそのまま使用しないことで攻撃を防ぐことができます。

５．OSコマンド・インジェクション

OSコマンドとは、パソコンの基本ソフトウェア（OS）を操作するための命令のことです。つまり、あるソフトウェアに存在する虚弱性に対して、悪意のある攻撃者が不正に埋め込んだ要求がOSコマンドに入り込み、攻撃者によって基本ソフトウェア（OS）を不正に操作されてしまう状態になります。

実際、国内の某テレビ局がこの手口で被害にあったと言われています。このセキュリティ対策は、Webアプリケーションのプログラム開発時には、脆弱性が入らないように開発をすることです。また、開発後は運用側でWAFによって、攻撃から防御をすることができます。

６．セッション管理の不備

ネットショッピングなどでは、Webサイトが複数の利用者から商品の注文を受け付けるため、利用者ごとに区別できるようにセッションIDというものを発行し管理します。本来であれば、セッションIDは利用者以外には秘密にされますが、セッション管理の脆弱性をついた攻撃がみられます。例えば、推測しやすいIDの場合、悪意のある攻撃者は違うセッションIDを使ってWebサイトにアクセスし、元々の利用者になりすましてログインするのです。 この対策としては、Webサイトを運営する側のセッション管理が重要なカギとなります。

７．HTTPヘッダ・インジェクション

HTTPとは、ブラウザとウェブサーバーの間で通信する上での手順を取り決めたものです。その中でHTTPヘッダは、どういう情報がリクエストされ、どのようなコンテンツを返すかを定義する役割を担っています。このHTTPヘッダに悪意を持って細工された情報を埋め込む攻撃のことをHTTPヘッダ・インジェクションといいます。Webアプリケーションの中には、ブラウザから送信される情報を基に作成するものがあり、HTTPヘッダを操作されると偽ページが表示されたり、別ページにリダイレクトされたりします。ユーザーが知らずに偽ページから個人情報を攻撃者に送ってしまい、詐欺などに悪用される被害が発生しています。主な対策として、運用側では改行コードの取扱いやAPIの利用、リクエストヘッダへの攻撃から守るためデータの中身をアプリケーションレベルで解析するWAFの導入です。

８．HTTPSの不適切な利用

ブラウザとWebサイト間で情報を取り交わすHTTPをより安全に行うために、通信内容の暗号化と通信相手の正当性の確認ができるようにしたHTTPSは、信頼された第三者機関によって保証され、その信頼された第三者機関は証明書を発行します。こうしてWebサイトは安全にユーザーの前に提示されます。ただし、証明書に問題があるかないかのチェックをブラウザが自動で行っており、証明書の期限が切れていたり、証明書が信頼された第三者機関から発行されたものでなかったりすると、問題があるということをセキュリティの警告としてダイアログ表示します。攻撃者はそのシステムを利用するので、警告を表示されたサイトはDDoS攻撃の主要な標的になっていると、近年報告されています。第三者機関から発行される証明書の更新を忘れないようにしましょう。

９．サービス運用妨害(DoS)

サービス運用妨害であるDoS攻撃は、Webアプリケーションに脆弱性がある場合、攻撃者がWebサイトに悪意を持って不正リクエストを送り付け、WebサーバーのメモリやCPUを全稼働させてWebサーバーの処理速度を低下させプログラムを異常終了させます。

Webサイトの応答がなくなってしまうため、Webサイトで電子商取引を行っている場合には、攻撃をうけたWebサイトを利用しているユーザーにとって、機会損失や不利益を受けることになります。 近年では、DoS攻撃の進化版であるDDoS攻撃と呼ばれる悪質なサイバー攻撃も流行しています。これは、「分散型サービス妨害攻撃」とも呼ばれ、マルウェアなどを使って複数のマシンを乗っ取り、DoS攻撃を仕掛けるものです。対策として、攻撃を仕掛けるIPアドレスを特定して遮断する、海外からのアクセスを停止する、DDoS攻撃対策ツールを導入する、といった方法があります。

１０．メール不正中継

メールサーバーの運用やお問合せページなどを設置している企業へ攻撃者からSPAMメールなどが送り付けられると、サーバーが本来必要のないメール配信処理をすることになります。メール配信処理の負荷が大きくなりサーバーのパフォーマンスが低下することで企業のサービスにも影響が出たり、悪用されると間接的な加害者となり企業の信用を失うことになります。 対策としては、使用しているメール配信プログラムで、メール中継に関する制限の設定をすることやメール送受信の情報のログを確認することが大切です。

以上が代表的な脆弱性の種類ですが、ほとんどのOSやソフトウェアはアップデートを繰り返して行っているため、脆弱性を完全に無くすことは大変難しいと言えます。従って、このような脆弱性に対し、持続的に脅威を監視、検出するといった対応が大切です。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave（トラストウェーブ）社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。