市場調査会社の米Spire Securityと,Webサービス・セキュリティを手掛ける米Forum Systemsが,Webサービス関連のセキュリティ攻撃について調査した結果を,米国時間2月16日に発表した。それによると,顧客サービスやサプライ・チェーン管理などを他社と連携して行う際に,Webサービスを利用する企業が増加している。しかし,情報がネットワーク間を自由に行き来するようになるに伴い,Webサービスを悪用したセキュリティの脅威も増しているという。
Forum Systems社CTOのMamoon Yunus氏は,「Webサービスの普及を後押ししている柔軟性は,セキュリティ上の脆弱点にもなり得る。例えば,多くの企業が互いのネットワークに接続するために公開しているWSDLファイルには,セキュリティ攻撃を仕掛けるために悪用できる情報が満載されている」と指摘した。
Webサービスを推進するための標準仕様の確立は進んでいるが,Webサービスを狙ったセキュリティ攻撃の特徴や種類を特定する取り組みは限られているという。両社は,Webサービス関連のセキュリティ攻撃の多くが,複数のコンポーネントを対象にすると予測している。
「Webサービスの全容と特徴が明らかになるにつれ,個別のコンポーネントを狙ったセキュリティ攻撃が既に始まっている。Webサービス関連の攻撃パターンを理解し,各機能を保護することが重要だ」(Spire Security社リサーチ・ディレクタのPete Lindstrom氏)
両社は,Webサービス関連のセキュリティ攻撃を以下の五つのカテゴリに分類している。
・脆弱性の悪用:
Webサービスの脆弱性を発見し,それを他者に売りつけたり,インターネットで公開する。「WSDLのスキャン」などが該当する
・探索攻撃:
ネットワークに入り込んで情報を盗む。「パラメータの改ざん」や「リプレイ攻撃」など
・強制的アクセス:
XMLパーサーに入り込んで,ネットワークにアクセスする。Webサービス拒否攻撃(Denial of Web service)も含む。「強制的変換」「再帰的ペイロード」「迂回ルーティング」など
・なりすまし攻撃:
企業間のコラボレーションを狙う
・悪意のあるコンテンツ:
ウイルスに感染したXMLなどを送りつけ,個人情報の盗難,機密情報の漏洩,電子商取引の詐欺などを行う。「SQLコードの挿入」など
◎関連記事
■Webサービスのセキュリティ仕様「SAML」,電子政府や金融分野での実用化に向け検討開始
■OASISがシングル・サインオン仕様「SAML」をOASIS標準として承認
■IBM,Microsoft,VeriSignがWebサービスのセキュリティ標準化で協力
■Webサービスのセキュリティ仕様策定に向け,米IBMや米MSなどが委員会を発足
■Webサービスのセキュリティ標準を先取り,日本BEAがWebLogic新版
■Webサービスを『導入済み』または『導入予定』が8割」,米ボーランドの調査から
■Webサービス普及のカギはセキュリティ,Webサービス向けセキュリティ市場は2006年に44億ドル規模
■「Webサービス関連の専門サービス市場,年平均116%成長で06年には71億ドル規模」,と米IDC
[発表資料へ]