小林:山下君,それで指摘された問題とは何だったんだ?

山下:うちのオンライン・ショッピング・サイトのユーザー掲示板にクロスサイト・スクリプティングのぜい弱性があるそうなんです…。

小林:どんな危険性があるんだ?

山下:ユーザーのブラウザでユーザーの意図しないスクリプトが実行されてしまう可能性があります。その結果,場合によってはユーザーの個人情報が漏洩する可能性があります。

小林:ウチのサイトを利用しているお客様に何らかの被害が出たってことなのか?

山下:IPAからの情報では,問題が指摘されただけで実際に被害が出たかどうかについて触れられていませんが…。

小林:う~む,心配だ…。それは確認できないのか?

山下:まずはログを確認してみます。

 外部から届けられる情報からは,被害が実際に発生しているかはわからないのが普通だ。少なくともすべての被害は外部からの情報ではわからない。ただし,問題自体が存在しているなら,発見者からの情報に記載はなくとも,被害が発生している可能性はある。

 そこでまずは,ログなどを通じて実際の被害が発生していないかどうかを確認する。例えば今回のような「クロスサイト・スクリプティング」のぜい弱性の場合,不審なアクセスや掲示板への書き込みがないかを確認する必要がある。

 もし顧客に何らかの被害が発生した可能性が明らかになった場合,特に顧客の個人情報が漏洩した,もしくは漏洩した可能性がある場合は,被害の拡大を抑える目的で事実の公表とユーザーへの謝罪を検討する。

技術解説

 Webサイトには,掲示板などのようにユーザーからの入力内容などを処理して改めてWebページとして出力 (表示) するものがある。ここで,Webアプリケーションの出力処理に問題があると,出力されたWebページにスクリプトが埋め込まれてしまう可能性がある。このような問題を悪用した攻撃手法の1つに「クロスサイト・スクリプティング」があり,その影響はWebサイト自身に対してではなく,Webサイトのページ閲覧者に及ぶ。

図5●クロスサイト・スクリプティングのぜい弱性
図5●クロスサイト・スクリプティングのぜい弱性
[画像のクリックで拡大表示]

 ちなみにIPAから公開されている統計データによると,IPAに届けられるWebサイト(Webアプリケーション)のぜい弱性として最も多いのがこの「クロスサイト・スクリプティング」のぜい弱性である。

[参考]
脆弱性関連情報に関する届出状況(IPAのプレスリリース)
http://www.ipa.go.jp/security/vuln/report/press.html

山下:部長,残念ですが不審な書き込みがありました…。

小林:それで被害の状況は?

山下:今回埋め込まれたスクリプトは非常に簡単なもので閲覧者のブラウザから機密情報などを盗み取るというものではありませんでしたが,このようなスクリプトの埋め込みが可能だとすると,悪用も可能かも知れません…。どういたしましょうか? まずはサービスを停止した方が良いのでは?

小林:そうだな…。お客様を危険にさらすわけにはいかないし,「ユーザー掲示板」なら代わりにメールで問い合わせてもらうようにしておけばお客様の最低限のニーズは満たせるだろう。「保守作業のためしばらく停止する」旨,掲示して「ユーザー掲示板」を閉じてくれ。

山下:了解しました。

技術解説

 Webサイト(Web アプリケーション)のぜい弱性は,Webサイト利用者の機密情報の盗難に悪用されるケースが極めて多い。したがって顧客保護の観点から,問題が指摘されたサービスは,問題がないことが確認されるまで停止するのが望ましい。

 しかし例えばオンライン・ショッピング・サイトを停止することは事業全体に影響を及ぼす。本連載の第1回でも解説したように,CIO は常にサービスを停止することによるメリットとデメリットを慎重に判断して対応方針を決定しなくてはいけない(図6)。今回のいろは物産のケースでは,対象となる「ユーザー掲示板」サービスがメールでの問い合わせ受付に代替可能だったことから,停止の判断が比較的簡単だった。

図6●サービス停止は慎重に
図6●サービス停止は慎重に

 またCIOは,対応方針が確定したところで,ことの経緯,対応内容を経営陣へ報告することを忘れてはならない。


押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。