Webアプリケーションの安全性を確保するためのツールやガイドラインを公開しているOWASP(Open Web Application Security Project)。その日本チャプターが3カ月に1度の頻度で開催しているミーティング「OWASP Night」の第8回が、2013年11月14日に日本ヒューレット・パッカードの本社で開催された。
プログラムは大きく5つ。場所柄からか米Hewlett-Packard社からのゲストスピーカーによるセッションが2つあった。Enterprise Security Servicesでアジアパシフィック・日本担当Head of Security Consultingを務めるRichie Tan氏は「PCI Data Security Standard」(PCI DSS)と題するセッションに登壇した(写真1)。
PCI DSSはクレジットカードなどカード支払いに関するセキュリティ標準を定めたもので、ちょうど3.0版が11月13日に公開されたばかり。PCI DSSに準拠することの必要性を訴えた。ただ「PCI DSSは万能ではない。これに準拠したから安全というのは誤解だ。また1つの製品を入れたからPCI DSSに準拠できるわけではない」(Tan氏)などと語った。
もう1つはHP Security ResearchでVulnerability ResearchのManagerであるBrian Gorenc氏による「Into the Crystal Ball」と題された、Javaの脆弱性についてのセッション(写真2)。米国国土安全保障省が2013年1月に「最新のセキュリティパッチを適用していても、JavaをWebブラウザーで使うべきではない」と警告を発したことを紹介し、実際に2012年後半からJavaの脆弱性を突いた攻撃が増えていると語った。
中でも悪用されている脆弱性は、危険なリフレクション機能を使ったものであり、多くの攻撃キットが流通しているという。「こうした攻撃キットの多くは、2~3個の脆弱性を突く形で作られている」(Gorenc氏)。今後はJavaが持つサンドボックス機能を回避する攻撃が増えると見ている。セッションでは、実際にサンドボックスを回避してプログラムを外部から実行させたり、キーストロークを取得するデモを見せた。
これら以外に国内メンバーによるセッションがあった。はせがわようすけ氏は「HTML5セキュリティその2:オープンリダイレクト、CSRF」と題して、HTML5で記述する際のセキュリティ問題として、オープンリダイレクトやCSRFを避けるためのテクニックを披露した(写真3)。はせがわ氏はJPCERTコーディネーションセンターが公開した「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を執筆している。
スマートフォンアプリでSSLを使う通信をする際には、通信相手の確認が必須だと訴えたのが谷口隼祐氏。「スマホアプリのSSLサーバ証明書の検証不備について」というセッションで解説した。
アプリが通信の際にSSLを使っていると、ユーザーは盗聴されないはずだと考える。ところがアプリの一部は、SSLを暗号化のためだけに使っているという。サーバー証明書を検証して通信相手が正当であると確認しないと、ダミーの証明書を備えた偽のサーバーに情報を盗まれる懸念があると説明した(写真4)。さらにスマートフォン用アプリの場合、パソコンのWebブラウザーと違ってアドレスのチェックができない場合が多く、より危険が高いと指摘した。
HASHコンサルティングの徳丸浩氏は「ログイン前セッションフィクセイションの脅威と対策」として、セッションをログイン前に発行することの危険性を解説(写真5)。本来は暗号化が必要な部分だけセッションを持たないと、セッションIDを盗まれて偽装サイトに誘導される危険があると指摘した。
なおOWASPは2014年3月17-20日に、国際イベント「APPSEC APAC 2014」を東京で開催する。早期登録者募集を開始しており、参加費は個人会員が一般予約3万円のところを2万円、非会員が3万5000円のところを1年間の個人会員権付きで2万5000円とする。
