注目の書籍好評発売中!
計画・管理偏 現場のノウハウが 詰まった“禁じ手集” 必聴講座ご紹介 Cloud Days Tokyo 2012 エムオーテックス Cloud Days Tokyo 2012 ヴイエムウェア Cloud Days Osaka 2012 アマゾン データ サービス ジャパン |
|
 |
| 図4●クロスサイト・スクリプティングに関する検証 [画像のクリックで拡大表示] |
その結果,ライブドアにおいては,HTTP Traceメソッドを悪用するタイプのクロスサイト・スクリプティングの脆弱性が発見された。これは,すぐにでも対処すべき脆弱性である。
攻撃者が,Webページの入力フォームを通じて,SQL構文の特性を悪用した情報をサーバーに送ったとする。そのSQL構文がサーバーでそのまま実行されると,データの破壊や改竄,情報漏洩などを引き起こす。この攻撃を「SQLインジェクション」と呼ぶ。
SQLインジェクションを防ぐには,入力情報に悪意あるSQL構文が含まれていないかどうかをチェックしたり,適切なエスケープ処理(悪意あるSQL構文の無効化)を施したり,入力情報をそのままデータベース・クエリーに投入しないよう前処理を行ったりするなどの必要がある。
検証実験で,そうした対処策を講じているかどうかを調べたところ,ライブドアでは脆弱性が発見されなかった。しかし油断は禁物である。SQLインジェクションによって甚大な被害を出したセキュリティ事件は,過去に数多く存在する。ソフィア総研でSQLインジェクションに関する脆弱性が見つかったこともあり,SQLデータベースを利用するWebアプリケーション・サービスにおいて必ず対処すべき項目であることを再認識した。
今回の検証実験では,ライブドアは,セキュリティ・コンサルティングを手がける攻撃チームから「システム全般およびWebを除くネットワーク・サービスにおける脆弱性について,よく対策していた」という評価を受けた。しかしバッファ・オーバーフローやDoS攻撃への対処が不十分なサーバーが比較的多く見つかった。また,いくつかのサーバーではクロスサイト・スクリプティングの脆弱性も発見された。
またライブドアは防御チームの他の2社と同じく,攻撃チームによる疑似攻撃を全く捕捉できなかった。膨大な台数のサーバーに対する不正アクセスをリアルタイムで検知することは実質的に不可能だが,少なくとも日次でログ・ファイルを参照し,攻撃の痕跡があれば素早く対処策を講じる仕組みが必要だと思う。
その仕組みの実現には,IDS(侵入検知システム)/ IPS(侵入防御システム)が有力なツールになるはずだ。そこで新たに,別の検証実験を行う計画を進めている。攻撃チーム,防御チームに加えて,セキュリティ機器メーカーやセキュリティ対策ソフトのメーカーなどから成るソリューション・チームを編成し,今回の検証実験の結果を開示。結果を基に,IDS/IPSなどを使ったソリューションを提案するように要請した。そのうえで,ソリューション・チームが提案したIDS/IPSなどを実際に導入し,攻撃チームによる疑似攻撃を再び実施して,実効性を検証する。
この検証実験も現場スタッフに秘密裏に行うため,「オデッサ作戦」という暗号名で呼んでいる。その結果は,次週に報告する。
