トップ > ITキーワード > 【3分ITキーワード】 OWASP Top 10

【3分ITキーワード】 OWASP Top 10

ITキーワード

f:id:PentaSecurity:20171106104145p:plain

OWASP Top 10

 

OWASP Top 10は、3年周期で発表される、様々なセキュリティ専門家たちが作成した、Webアプリケーションセキュリティ脅威動向に関する文書です。この文書を読むと現在、最も注意すべきの攻撃形式を把握できます。

 

ウェブ攻撃は日増しに多様になる同時に、行われる方式さえも徐々に複雑になる現在、最新サイバー攻撃の傾向を把握するのが、何よりも大事なことになっています。新たに発見された攻撃が何か、その攻撃のトレンドを知っていると、その攻撃と似ている他の攻撃に早く、そして戦略的に対応できるようになるからです。そのため、OWASP(国際ウェブセキュリティ標準機構、The Open Web Application Security Project)では、3年周期でウェブに関する情報漏洩、悪性ファイルやスクリプト、セキュリティ脆弱性などを研究して、その結果、ウェブセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のイッシュを発表しています。今までOWASP Top 10は2004年、2007年、2010年、2013年を基準に発表されました。

 

そして今年、OWASPで3つのセキュリティ脆弱性を新たに発表しました。 よって、すでに公開されたセキュリティ脆弱性と共に、新たに追加されたセキュリティ脆弱性について簡単に紹介したいと思います。

 

f:id:PentaSecurity:20171106104925p:plain

 

まず、大きく変更された物からみてみましょう。2017年に単一脆弱性で判断されているA4-Broken Access Controlは、2013年のA4とA7が統合されているものです。また、2013年の脆弱性だったA10は、2017年のリストから削除されました。ですが、2017年のリストには、A7-Insufficient Attack Protection(不十分な攻撃防御)およびA10-Underprotected APIs(保護されていないAPI)が新たに追加されました。以下は、各セキュリティ脆弱性の細部内容です。

 

A1:Injection(インジェクション)

SQL、OS、XXE、LDAPインジェクションの脆弱性は、インタプリタ(Interpreter)に信頼できないデータが命令語や、クエリのー部が伝達された時現れます。この時インタプリタは、攻撃者の悪意のあるデータによって、予想できない命令を実行したり、適切な権限もないままに重要データにアクセスして、被害を受ける可能性があります。 その結果、IPアドレスやパスワード、そして他の個人情報が流出される可能性も、同時に高くなります。 この攻撃に対応するためには、ユーザが個人情報を入力する画面に、特定の特殊文字入力禁止やSQLサーバーエラーメッセージ表示の禁止、そして一般利用者の権限では、システムセーブプロシージャへの接近をができなくようにする方法などの、色々な対策があります。 (参考テキスト:【3分ITキーワード】SQLインジェクション)

 

A2: Broken Authentication and session management(脆弱な認証とセッションの管理)

認証およびセッションの管理が間違って実行される場合、攻撃者は他のユーザーの身元を盗用したり、暗号鍵とパスワード自体を損傷することができます。

 

A3:Cross-Site Scripting(クロスサイトスクリップティング、XSS)

信頼できないデータがアプリケーションの新しいウェブページに含まれたり、使用者が提供したデータで、JavaScript作成機能のあるブラウザAPIで既存のウェブページがアップデートされた時、よく発生する脆弱点です。この方法を通じて、攻撃者はブラウザにスクリプトを挿入し、それを実行することができます。 このようなスクリプトは、ウェブサイトに被害を与えたり、他の使用者たちを悪意のあるサイトにリディレクションすることもできます。 この攻撃に対応するには、攻撃者が文字列にスクリプト入力するのを防ぐのが大事です。そのするため、<,>,&,"などを文字変換関数(Functions for Transforming Text)やメソッドを利用して、&It, &gt, &am p, &quotに変換しなければなりません。また、HTMLタグを許容する掲示板の場合、ホワイトリストを選定し、当該タグだけ入力ができるように設定しなければなりません。 (参考テキスト:【3分ITキーワード】XSS)

 

A4:Broken Access Control(脆弱なアクセス制御)

使用者へのアクセス制御が、真面に認証されていない場合に発生する脆弱点です。 この問題が発生すると、サイバー攻撃者が、一般使用者のアカウントおよびデータにアクセスして、重要ファイルを見ることができるようになります。その上に、攻撃者は直接アクセス権限修正にも関与できるようになります。このように、攻撃者は非認可されている機能にアクセスするため、正常的要求に変造して攻撃を実行しにきます。これに対応するため、UI(User Interface)でみられる特定の機能を遂行する前に、機能へのアクセス制限の権限を正確な検証をする必要があります。

 

A5:Security Misconfiguration(セキュリティ設定エーラ)

安定的なセキュリティは、アプリケーション、フレームワーク、サーバ、プラットフォームなどの構成と共に構成されます。アプリケーション、フレームワークアプリケーションサーバ、データベースサーバープラットフォームなどに、セキュリティ設定を正確にし、最適化された状態を維持して、ソフトウェアも最新アップデートされたままにしなければなりません。

 

A6:Sensitive Data Exposure(重要データの露出)

財務記録および健康記録のような重要なデータは、完全に保護しなければなりません。 ウェブアプリケーションは、カード番号などの個人情報を適切に保護していないため、攻撃者に簡単に狙われてしまします。このように保護されていないデータは、様々な犯罪に簡単に利用されてしまいます。 データ保護のためには、データセーブする時、暗号化およびデータ伝送する中にも、SSLなどを利用しなければなりません。

 

A7:Insufficient Attack Protection(不十分な攻撃保護)

ほとんどのアプリケーションとAPIは、手動攻撃と自動攻撃を検出、防止、応答するための基本的な能力が欠けています。完璧な攻撃防御のためには、あらゆるサイバー攻撃を自動で検出し 、ロギングや、アクセスに対する応答が必要です。 また、アプリケーションの管理者を、攻撃から保護できるように、迅速にパッチを配布しなければなりません。

 

A8:Cross-Site Request Forgery(クロスサイト・リクエスト・フォージェリ)(CSRF、リクエスト強要)

ログインされている被害者のウェブブラウザを通じて、セッションCookieおよび他の認証情報が含まれている、 正常要求に偽装されたHTTP要求を伝送させ、買い物や、勝手にサイトの記事を修正など、悪意のある行動ができてしまう脆弱性を意味します。CSRF攻撃を試行すると、被害者のブラウザは、偽のHTTP要求を脆弱なウェブアプリケーションに伝送します。脆弱なアプリケーションは、 伝送 されたのが、偽物にも知らずに応答しまうのです。  (参考テキスト【3分ITキーワード】リクエスト強要

 

A9:Using Components with Known vulnerabilities(知られている脆弱性があるコンポーネントを使用)

脆弱なコンポーネントを攻撃して、サーバ自体のが掌握され、深刻なデータ損失が生じる可能性があります。このようなコンポーネントを未だに利用するアプリケーションとAPIは、アプリケーションを悪化させるだけではなく、多様な攻撃に影響を与えるかもしれません。

 

A10:Unprotected APIs(保護されていないAPI)

不十分なロギングや及びモニタリングと事故対応との統合が抜け落ちされたり、非効率的に行われている場合、攻撃者のシステム侵入につながったり、データ改ざんや流出されるだけではなく、破壊されてしまう可能性もある脆弱性です。 最近のアプリケーションは、API(SOAP/XML、REST/JSONRPGGWT)に連結される、ブラウザおよびモバイルアプリケーションのであるJavascriptのようなRich Client ApplicationとAPIを含む場合が多いです。 このようなAPIは保護されていない場合が多くて、様々な脆弱点を持っています。この問題を解決するためには、クライアントとAPI間の通信が保護されているかどうかを確認し、APIの強力な認証方式が全ての認証情報、暗号鍵およびトークンを保護しているか調べなければなりません。

 

この4年間沈黙してきたOWASPが、2017年のリストに新たにAPI(application programming interface)が追加したことは、尋常のことではないと専門家は言及しました。これは、セキュリティ脅威方式が、大きく動いているのを表している発表だと、関係者たちは分析しています。

 

OWASP Top 10はウェブアプリケーションセキュリティ分野で、すごく肝心な文書です。この文書を通じて、ウェブアプリケーションセキュリティリ脅威に関して、幅広い共感を得ることができます。専門技術を共有した全世界のセキュリティ専門家たちが、意見を交わし、作成するのがOWASP Top 10です。このリストを参考すると、いわゆるWebアプリケーションセキュリティ脅威に適切に対応することができるでしょう。

 

インタプリタ:人間が作ったプログラムを、コンピューターが理解して実行できるようにする仕組みの一つ

 

出典

  • OWASP Top 10-2017 rc1が公開されました―LAC WATCH

  https://www.lac.co.jp/lacwatch/people/20170424_001276.html

 

f:id:PentaSecurity:20170706113641p:plain

関連記事
  • CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは? CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは? はてなブックマーク - CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは?
    日に日に高度化かつ巧妙化するサイバー攻撃に対応するため、よりセキュアな製品開発・サービス提供を実現することを目的として、CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)を積極的に活用する動きが広がっています。本記事では、CTIの概観、CTIを企業が活用するメリット・事例について紹介していき…
  • 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説 はてなブックマーク - 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説
    EDRとは、PC、サーバー、スマートフォン、タブレットなどの個人デバイス(エンドポイント)で不審な挙動を検知・対応するセキュリティ・ソリューションを意味します。 EDR(Endpoint Detection and Response 、エンドポイントでの検出と対応)とは、エンドポイントをモニタリングし、不審な挙動を検知、分析、報告すること…
  • 【3分ITキーワード】 フレームワークとライブラリの違いは? 【3分ITキーワード】 フレームワークとライブラリの違いは? はてなブックマーク - 【3分ITキーワード】 フレームワークとライブラリの違いは?
    フレームワーク : Webアプリケーションを開発する際、枠組みとして機能する開発ツール ライブラリ : Webアプリケーション開発する際、簡単に活用できるコードの集まり フレームワークとライブラリを自動車に例えると、自動車の仕組みがフレームワークであり、ヘッドライト、ナビゲーション、タイヤ等の部分的な要素がライ…
  • ニューノーマル時代を支えるIT技術 ニューノーマル時代を支えるIT技術 はてなブックマーク - ニューノーマル時代を支えるIT技術
    ニューノーマルとは元々、世界金融危機と大景気後退の後、以前のような経済状況には戻らなくなり、別物の経済が当たり前になったことを意味する言葉として使われてきました。しかし、新型コロナウイルス感染症によって生活の在り方が急変した2020年現在、ニューノーマルは非対面型サービスへの取り組みなど新たな生活様式…

PentaSecurity


コメントを書く